È una tradizione italiana quella di fare le cose all’ultimo minuto, dunque perché cambiare abitudini così ben radicate? D’altronde nemmeno il legislatore italiano può essere preso a modello se consideriamo che solo negli ultimi quindici giorni ha provato a capire cosa fare del D. Lgs. 196/2003, il caro vecchio Codice della Privacy: dapprima si è parlato di una radicale quanto illegittima abrogazione, poi, ravvedendosi, ha ben pensato di scrivere un decreto legislativo che, alla fine, andrà a rimuovere le parti del Codice Privacy in aperto contrasto con il GDPR e che ci si augura possa vedere la luce prima del 25 maggio 2018.
Sul GDPR si scritto e detto parecchio, tanto da parte di esperti titolati quanto da parte di esperti improvvisatisi tali all’ultimo momento e tutto ciò non ha fatto altro che contribuire ad aumentare la confusione di chi deve effettivamente adeguarsi al GDPR. Dal canto mio, ho preferito non scrivere alcunché per non alimentare ulteriormente il panico di questi giorni. Mi preme, tuttavia, scrivere questo (lungo) post solo adesso per provare a tranquillizzare un po’ chi vede il GDPR come un mostro.
Il GDPR è stato demonizzato un po’ troppo soprattutto da soggetti che avevano ogni interesse a mantenere la materia un po’ oscura per fini di lucro; in realtà il GDPR è qui per aiutare, non per terrorizzare, e per dare (finalmente) una normativa uniforme e omogenea nel trattamento dei dati personali, in modo tale da superare le ovvie differenze legislative che esistono Fra i diversi paesi membri dell’Unione. L’incoerenza legislativa europea ha agevolato, fino a oggi, i big player dell’informatica USA come Apple, Facebook, Google e tutti gli altri che conosciamo: costoro, in quanto entità commerciali residenti in USA, hanno sempre fatto un uso disinvolto dei dati personali dei cittadini europei. Le autorità USA e la UE hanno provato a creare protocolli alle quali le aziende USA avrebbero potuto aderire (su base volontaria) per far sì che i dati dei cittadini europei trovassero tutele simili anche fuori dall’UE. Fallito ogni tentativo, in tal senso, l’unica soluzione rimasta è il Regolamento UE n. 679/2016 (il GDPR) il quale prevede, in maniera del tutto univoca, l’estensione della tutela dei dati personali dei cittadini UE anche fuori dal territorio dell’Unione e l’applicazione di sanzioni che possono arrivare a 20 milioni di euro o al 4% del fatturato globale annuo. Appare immediatamente evidente che a rischiare maggiormente sono i soggetti definiti “over the top” e non il piccolo imprenditore; nonostante questo, però, tutti coloro i quali effettuano un trattamento di dati personali devono adeguarsi al Regolamento perché il cambiamento nelle logiche alla base del trattamento dati è radicale – anche se non sconvolgente. Andiamo con ordine.
Don’t panic!
Poniamo un primo punto fermo: chi fino a oggi ha effettuato un trattamento dati formalmente corretto, ha ben poco di cui preoccuparsi in ottica GDPR; chi ha implementato un trattamento dati tecnicamente avanzato, oltre che formalmente corretto, adottando soluzioni che rappresentavano lo stato dell’arte, può stare ancora più tranquillo; chi, invece, fa un trattamento dati “Alla buona”, allora dovrebbe preoccuparsi almeno un po’ perché deve rivedere il trattamento che effettua e deve vedere cosa gli manca per essere conforme al nuovo Regolamento. Sia ben chiaro: nonostante tutto, il GDPR non pone grosse complicazioni, anzi lo spirito è quello di consentire maggiore libertà d’organizzazione e maggiore semplificazione delle comunicazioni all’utente finale – il soggetto definito “interessato”, colui i cui dati saranno oggetto del trattamento.
Quel che bisogna fare, quindi, è fare un esame approfondito del trattamento dati che si è posto in essere, prendere nota di ogni dettaglio tecnico e, Regolamento alla mano, esaminare la situazione – cosa è già conforme al GDPR e cosa non lo è e, quindi, come correggere. Bisogna tenere sempre presente, però che il corretto assetto tecnico/tecnologico deve essere affiancato da un corretto assetto organizzativo e documentale.
Piani paralleli: la tecnologia e la documentazione.
Per come la vedo io, l’introduzione del GDPR segna la fine dell’era del trattamento dati “fai da te”: comunicare semplicemente chi fosse il “responsabile” del trattamento (secondo la terminologia del Codice della Privacy), non basta più. Il GDPR ti dice “privacy by design”, quindi la privacy (termine assolutamente inadeguato) dev’essere progettata a tavolino, esattamente come ogni altra attività dell’organizzazione; bisogna individuare “chi fa cosa” e “perché lo fa”, senza lasciare nulla al caso.
Il GDPR richiede che il “titolare del trattamento” abbia una profonda conoscenza del viaggio che fa il dato personale, dalla sua acquisizione fino alla fine del trattamento, passando per il trattamento stesso, il mantenimento dell’integrità e dell’esattezza, nonché il suo ripristino in caso di violazioni. Ai tempi del GDPR, il motto socratico “so di non sapere” non può più essere usato come paravento in caso di guai con il trattamento dei dati personali – e lo stesso peso delle sanzioni avrebbe dovuto spingere gli addetti ai lavori ad organizzarsi per tempo e senza l’assillo dell’ultimo minuto.
Una volta a posto con la pianificazione tecnica del trattamento, il principio “chi fa cosa” si sposta su un piano parallelo a quello tecnico: la redazione del cd. “corpo documentale”, non una vera novità poiché già sotto la vigenza del Codice della Privacy si sarebbe dovuto curare l’aspetto informativo nei confronti dei soggetti interessati. Chi lo ha fatto, oggi deve solo adeguare quel corpo documentale e non deve scrivere da zero le informative, quegl’immani papelli chilometrici spesso scritti con caratteri microscopici. Anzi, per il GDPR le informative dovrebbero essere rimaneggiate ma nel senso della loro riduzione e sintesi con un linguaggio chiaro e non legalese, pertanto le informative privacy già realizzate potrebbero ben essere convertite in informative estese che nuove informative brevi potrebbero richiamare per consentire l’approfondimento delle informazioni riportate. Per il GDPR la trasparenza è un principio fondamentale poiché, contemporaneamente, consente:
- Al soggetto interessato di sapere quali dati personali gli sono richiesti, come verranno trattati, per quali finalità, da chi e per quanto tempo;
- Al titolare del trattamento di manifestare i processi del trattamento che effettua e, quindi, di avere uno strumento di difesa nel caso di vertenze sul trattamento dei dati personali.
Libertà decisionale.
Una delle caratteristiche salienti del GDPR è il non dettare alcuna regola tecnica per ciò che riguarda l’effettuazione del trattamento e, in particolare, nella tutela dei dati trattati. Spetta al titolare del trattamento pianificare (appunto: privacy by design) come maneggiare i dati personali e tutelarli da possibili violazioni. Il GDPR chiede solo che si adottino misure di sicurezza che rappresentino “lo stato dell’arte”, una posizione, questa, diametralmente opposta al Codice della Privacy che, invece, richiedeva l’adozione di misure minime di sicurezza. In buona sostanza, il GDPR ti dice “proteggi i dati meglio che puoi” ma non ti dice come farlo. Devi farlo e basta. E dire al pubblico come lo fai.
Se, poi, vuoi utilizzare un server con configurazioni degli hard disk “comuni” o con configurazioni RAID “esotiche”, la scelta spetta solo a te che stai progettando il trattamento dati; il discorso non cambia se il backup vuoi farlo localmente, nel server, oppure in remoto, in un server collocato in un’altra località: basta che tu faccia il backup e preveda delle procedure d’emergenza che contemplino tanti i possibili incidenti all’infrastruttura informatica quanto la violazione dei server.
Nessuno slittamento.
Scervellarsi oggi, a meno di una settimana, sulla progettazione del trattamento dati conforme al GDPR non serve assolutamente e, per certi versi, potrebbe persino essere controproducente. Hai fatto male a non organizzarti in questi due anni di tempo che il legislatore europeo ha concesso e non sperare in differimenti dell’ultim’ora. Fosse stato il legislatore italiano, allora sarebbe stato lecito attendersi un rinvio ma il GDPR è frutto del legislatore europeo, al quale il termine “rinvio” è del tutto ignoto. Il GDPR acquisterà efficacia il 25 maggio 2018 e, con esso, anche il sistema sanzionatorio. A ciò si aggiunga che un regolamento UE è direttamente applicabile e non serve una legge quadro italiana per recepirlo – lo specifico perché (ahimè) ho letto con i miei occhi la risposta di un consulente al supporto per un software in cui scriveva “verrà rilasciata una versione conforme al GDPR (…) la normativa è molto confusa e manca pure una legge quadro per uniformare le norme”. Spiacente, la confusione è nella sua testa e nessuna legge quadro dovrà recepire il GDPR ma si avrà solo un decreto che renderà il Codice Privacy compatibile con il GDPR.
Purtroppo qualcuno ha ben pensato a far circolare una vera e propria “bufala” per cui il Garante Privacy italiano avrebbe comunicato di differire l’applicazione del GDPR per sei (o più) mesi: è una notizia falsa smentita dallo stesso Garante, pertanto già il 25 maggio chi non è regola è virtualmente passibile di sanzioni; tuttavia, perché si venga sanzionati è necessario che il trattamento illecito dei dati sia segnalato al Garante, dunque non è detto che già il 26 maggio saranno irrogate le prime sanzioni. Pertanto, se ci si trova al 19 maggio senza aver adeguato il proprio trattamento dati, scapicollarsi a rispettare la deadline è inutile: meglio sforare di un paio di giorni (“giorni”, non “settimane”) e verificare con la dovuta calma ciò che si è realizzato, essendo ben consapevoli di essere già un po’ troppo borderline.
DPO, responsabile interno/esterno, registro trattamenti e altri mostri.
Di tutte le baggianate lette in queste settimane, la maggior parte è stata prodotta da esperti improvvisati, persone che il GDPR magari l’hanno letto ma, non possedendo una formazione giuridica di base, hanno capito poco o male quel che il regolamento effettivamente prescrive. La peggior confusione è stata fatta in merito al limite dei 250 dipendenti del titolare del trattamento: qualcuno è arrivato persino a sostenere che oltre tale soglia la nomina del DPO fosse obbligatoria. Due errori in uno:
- La nomina del DPO è obbligatoria in certune circostanze previste dall’art. 37 – non vi dirò quali e vi spiegherò il perché più avanti;
- L’istituzione di un registro dei trattamenti è sì obbligatoria quando l’organizzazione del titolare del trattamento impiega più di 250 dipendenti ma anche se ve ne sono meno e, contestualmente, si verifica la condizione del trattamento di dati “ad alto rischio”.
Ulteriore motivo di confusione è stata la diatriba sul DPO (“interno o esterno?”) e sul “responsabile del trattamento dati (anche questo “interno o esterno?”): anche qui sedicenti esperti hanno gettato nel panico decine di persone alle quali hanno propinato soluzioni fantasiose e di ogni genere. Resta il fatto che mentre il responsabile del trattamento può anche essere interno alla propria organizzazione, è opportuno (quando non necessario) che il DPO sia esterno poiché esso deve non essere in conflitto d’interessi con il titolare del trattamento. La traduzione in italiano della terminologia usata dal GDPR non ha facilitato le cose ed è per questa ragione che per far riferimento al responsabile per la protezione dei dati, personalmente userò solo l’acronimo anglosassone DPO da Data Protection Officer. Prima di tutto bisogna chiarire che, a dispetto dei termini italiani, le due figure hanno ruoli diversi e in posizione anche “conflittuale”: il responsabile del trattamento è colui che organizza ed esegue materialmente il trattamento mentre il DPO ha il ruolo di sorvegliare il trattamento, promuovere azioni migliorative e coordinare le operazioni in caso di data breach. In parole povere, il DPO è una specie di arbitro e perciò non deve trovarsi in un rapporto di dipendenza dal titolare, tanto che i poteri conferitigli dal Regolamento possono metterlo persino in posizione di supremazia rispetto a costui. Il DPO può anche essere interno (salvo le limitazioni che il GDPR prevede) ma il rapporto con il proprio datore di lavoro/titolare del trattamento potrebbe non essere del tutto indipendente.
A ciò si aggiunga che il DPO dovrebbe avere tanto conoscenze tecniche quanto nozioni giuridiche, motivo per cui il DPO ideale dovrebbe essere un team guidato da un giurista affiancato dai tecnici che il trattamento l’hanno progettato, in modo tale da risultare efficiente in caso di emergenza, sia sotto il profilo degli interventi tecnici sia sotto quello della comunicazioni previste dal caso di specie.
Privacy by default: addio alle furbate.
Fino ad oggi è stata pratica diffusa quella di iscriversi ad un servizio online e di ritrovarsi con le caselle per l’iscrizione alle newsletter già spuntate, finendo col ricevere centinaia di messaggi inutili solo perché per la fretta non abbiamo dato retta a quella minuscola casellina. Ecco, tutto ciò con il GDPR dovrà finire perché uno dei requisiti fondamentali è l’applicazione del concetto “privacy by default”, per il quale:
- Il consenso al trattamento deve essere raccolto in maniera chiara e persino in maniera esplicita in certe condizioni;
- Il consenso non si estende automaticamente ad ogni attività non direttamente connessa alla finalità principale del trattamento.
Pertanto, la casella che permette di iscrivermi alla newsletter deve essere sempre deselezionata e spetta all’interessato decidere esplicitamente quella newsletter.
Allo stesso modo, quando l’interessato deve manifestare il consenso per più scopi afferenti al medesimo trattamento e solo alcuni di questi sono necessari per l’erogazione del servizio, il titolare deve esplicitamente indicare quali consensi sono opzionali, così da far capire all’utente che può fruire del servizio anche senza accettare tutti i tipi di trattamento dati (es.: accettare la geolocalizzazione da parte del cellulare ma rifiutare l’invio di comunicazioni commerciali basate su quella geolocalizzazione).
Addio al “fai da te”.
Considerato quanto sopra, possiamo pacificamente affermare che il “fai da te” nel trattamento dati è destinato all’estinzione. La privacy – recte: il trattamento dati – oggi va pianificata in ogni suo aspetto e non è più un mero adempimento burocratico. Per evitare le sanzioni, sarebbe opportuno effettuare veri e propri investimenti per farsi assistere da giuristi esperti della materia e da tecnici in grado di concepire sistemi di trattamento dati all’avanguardia; nemmeno sarebbe da scartare, ove possibile, l’idea di delegare il tutto ad un responsabile esterno del trattamento dati, quale, per esempio, un’azienda che offra un gestionale da remoto con database collocato nei server della stessa azienda e non nell’infrastruttura informatica locale del titolare (che altri non è se non il cliente del gestionale). Così facendo, quasi ogni responsabilità relativa ai dati personali ricadrebbe sul soggetto designato quale responsabile esterno e per il titolare sarebbe un grattacapo in meno.
In conclusione.
Questo post non ha fornito deliberatamente spiegazioni tecniche dettagliate sull’argomento GDPR: ad oggi esistono centinaia di articoli e messaggi sui gruppi di discussione nei vari social media. Basta cercare.
Altrettanto deliberatamente, non ho approfondito alcuni temi e altri ancora nemmeno li ho trattati. Anche in questo caso: basta cercare e se proprio volete saperne di più, a questo link trovate il testo ufficiale.
Questo post vuole solo rappresentare una riflessione sul nuovo Regolamento europeo e sul marasma che gli si è creato intorno in queste ultime settimane.
La morale è la seguente: con il trattamento dei dati personali non si scherza più e bene ha fatto chi ha investito per farsi assistere da bravi consulenti giuridici e tecnici, poiché la gestione del dato personale è divenuta quasi una vera e propria attività professionale. Sappiamo, quindi, che l’attività professionale, quando non è eseguita da un professionista, alla fine potrebbe risultare più costosa della parcella che il professionista avrebbe potuto chiedere.
Meditate, gente.