A distanza di poco più di due mesi da quando il Regolamento UE 679/2016 – noto come GDPR (General Data Protection Regulation) e relativo alla protezione delle persone fisiche circa il trattamento e la libera circolazione dei dati personali – è direttamente applicabile in tutti gli Stati membri, proviamo a tracciare un decalogo, non certo esaustivo, degli errori più comuni: le cosiddette worst practice del GDPR che si possono verificare in fase di adempimento alla normativa europea sia nelle aziende e nelle grandi organizzazioni, sia nelle PA.
Indice degli argomenti
I. Fatto l’adeguamento, concluso l’adeguamento
Un primo errore è considerare l’adeguamento al GDPR finito, una volta compiuto. Soprattutto per quelle realtà aziendali complesse (come banche, assicurazioni, ASP ecc.). Si tratta di una erronea impostazione, anche concettuale.
Il Regolamento impone, come noto, una serie di obblighi. L’adempimento a questi ultimi segue altresì le dinamiche aziendali. Dal momento che si tratta di un sistema di gestione esso dovrà essere costantemente verificato ed aggiornato alla luce di eventuali cambiamenti ovvero nuovi inserimenti: come ad esempio l’introduzione di funzioni/uffici non previste prima, l’introduzione di nuove tecnologie o sistemi ad impatto privacy (videosorveglianza, impronta digitale, geolocalizzazione).
Oppure come l’ampliamento dell’organico oltre ai cambiamenti del contesto interno o esterno, attivazione di nuovi trattamenti, presenza di nuove minacce e rischi. Pertanto, un corretto adeguamento è quello “tempo per tempo”, “funzione per funzione”.
II. Scarso coinvolgimento del personale
Un secondo errore da evitare è rappresentato da non infrequenti situazioni in cui si palesa un insufficiente coinvolgimento del personale. Non solo le funzioni apicali, ma anche quelle di stretto raccordo devono essere coinvolte.
Da qui l’opportunità di nominare referenti privacy. Tale sistema realizzabile solo dopo aver individuato “chi fa che cosa” creando così un organigramma privacy utile peraltro ad una gerarchizzazione delle persone autorizzate oltre alle attività di sensibilizzazione, diffusione di policy e procedure.
III. Adeguamento come un “passa carte”
Un terzo errore purtroppo comune è quello di limitarsi a considerare l’adeguamento ad una serie concatenata di adempimenti/incartamenti. Così concepito non solo si perde di vista l’obiettivo che è quello di creare un efficiente sistema di gestione, ma anche si finisce col ritenerlo una “seccatura”; in particolare per quelle realtà aziendali piccole.
Anziché viverlo come una opportunità di riordino, riesame e miglioramento dei processi aziendali. Un corretto sistema di gestione privacy, anche nelle realtà di piccole dimensioni, rappresenta invece non soltanto un’opportunità di riordino dei dati personali e dei relativi strumenti utilizzati per il loro trattamento, ma altresì uno strumento che consente di tutelare il patrimonio aziendale innalzando il profilo curriculare e reputazione dell’azienda stessa.
IV. Fare il “minimo indispensabile”
Altro punto, quarto errore, è quando l’interlocutore (libero professionista) che deve adeguarsi al GDPR, chiede che venga fatto “… il minimo indispensabile”. Non esiste un minimo indispensabile, va fatto quel che occorre, a seconda del contesto. È evidente che un esercizio commerciale di piccole dimensioni (come un negozio di animali pet store) che non ha dipendenti ed è privo di personal computer, con clienti – persone fisiche – ma dei quali non raccoglie dati di nessun tipo, nemmeno per l’attività di marketing, dovrà fare una valutazione privacy calibrata sulla sua realtà: redazione di informative per i fornitori; di contratto da responsabile ex art. 28 qualora si avvalga, per esempio del commercialista; non occorrerà il registro dell’attività di trattamento, dovrà comunque fare l’analisi dei rischi, e prevedere misure di sicurezza adeguate al contesto che lo riguarda.
V. “Strafare”
Quinto errore, assai comune, risiede nel concetto opposto di cui al punto precedente aggravando inutilmente l’attività di adeguamento. Tale wrost practice si riscontra nella proliferazione della modulistica spesso standardizzata, in aperto contrasto con lo spirito del Regolamento che, invece, impone la predisposizione di atti (informative, nomine, contratti) specifici e ad hoc per la singola realtà, come fossero tanti abiti su misura.
VI. Informative generiche e identiche, con richieste indiscriminate di consensi
Di conseguenza, si commette inevitabilmente l’errore di inviare informative del tutto generiche, recanti molteplici finalità non realmente applicabili al trattamento posto in essere sui dati dell’interessato. L’erronea convinzione di inserire molteplici finalità “così in almeno qualcuna rientrerò…” non soddisfa affatto i requisiti richiesti dal Regolamento violando altresì il principio di trasparenza (cfr. linee guida WP29).
Modelli identici ovvero tanti “copia incolla” per dipendenti, fornitori, clienti ecc., che richiedono, in maniera indiscriminata, consensi anche laddove non necessari (ad esempio per obbligo di legge), non appaiono conformi alla ratio legis ed espongono il titolare ad un appesantimento amministrativo rappresentato dalla necessità di gestire anche i consensi negati per trattamenti che di consenso non necessitavano – se l’interessato mi ha negato il consenso cosa faccio? Non tratto il dato? E se lo devo trattare per un obbligo di legge? Lo faccio lo stesso ma ho reso un’informativa inadeguata comunicando all’interessato una base giuridica errata, e via seguitando.
VII. Un esercizio indiscriminato di tutti i diritti
Settimo ed ulteriore errore: non tutti i diritti possono essere esercitati. Gli artt. 11 e 12 del Regolamento disciplinano, in linea generale, le modalità per l’esercizio di tutti i diritti sorgenti in capo all’interessato. Rispetto alla previgente normativa, il GDPR ha introdotto l’onere in capo al titolare di “valutare la complessità del riscontro all’interessato, al fine di stabilire l’ammontare dell’eventuale contributo da richiedere all’interessato“, solo nei casi in cui le richieste del medesimo siano manifestamente infondate e ripetitive.
Il Legislatore sovranazionale ha previsto poi l’obbligo – gravante sul titolare – di rispondere regolarmente in forma scritta alle richieste dell’interessato, anche attraverso strumenti elettronici che ne favoriscono l’accessibilità. Le informazioni richieste potranno esser concesse all’interessato in forma orale solo nel caso in cui, sia lo stesso a farne esplicita richiesta.
VIII. Non fare una formazione mirata; non studiare e non aggiornarsi
Altro aspetto di rilievo e novità concerne la formazione obbligatoria. Come arcinoto, il Regolamento europeo introduce l’obbligo della formazione a tutti i livelli, ovvero per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori), all’interno sia di società che di Pubbliche Amministrazioni.
Il mancato adempimento di tale obbligo determina sanzioni “… fino a 10 milioni di euro o, per le imprese, fino a 2 % del fatturato mondiale annuo dell’anno precedente se superiore” (art. 83). L’errore risiede nel non pianificare e predisporre una formazione che sia mirata. Senza dimenticare che la formazione costituisce una misura di sicurezza per le organizzazioni, un onere a carico del titolare, un diritto e dovere per i dipendenti e i collaboratori.
IX. Non calibrare le misure di sicurezza in base al contesto
Altro errore risiede nel non calibrare le misure di sicurezza in base al contesto. Sul punto, il Regolamento europeo ribalta l’impostazione romanistica a cui tutti noi eravamo abituati. Il D.lgs. 196/2003 con l’allegato B ci diceva esattamente quali misure minime adottare per garantire la corretta tutela dei dati personali trattati. Il GDPR di matrice anglosassone ci chiede di valutare misure idonee in relazione allo stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento.
Il compito è molto più arduo poiché si impone ai titolari valutazioni che devono essere calibrate sulle loro singole realtà aziendali confermando una volta di più il concetto di sistema di gestione privacy quale “abito sartoriale” da costruire su misura per ogni realtà.
X. Non avere un modello organizzativo privacy, con procedure non integrate
Da ultimo, ma non ultimo, è il punto di caduta sul quale merita meditare un poco. Il non dotarsi di un cosiddetto MOP (Modello Organizzativo Privacy) può diventare un errore nella misura in cui, soprattutto per le realtà complesse, occorra verificare e controllare il sistema di gestione della privacy creato o implementato e scongiurare così il rischio di un eventuale data breach. Dal che si capisce il significato e l’importanza di detto MOP: quel manuale che coaguli e tenga insieme la mappatura, le evidenze, i documenti, le procedure. Queste ultime andranno integrate. Col che l’errore risiede nel non ritenerle parte integrante dei processi aziendali. La privacy deve anch’essa permeare le procedure aziendali.
Si faccia l’esempio dell’inserimento di un nuovo dipendente, ovvero della dimissione o licenziamento di un altro. Le procedure sono fondamentali ai fini delle dinamiche che vedono l’HR (l’ufficio delle risorse umane) aprire o chiudere account di posta elettronica.
Questo il valore aggiunto, dal quale si evince che la nuova privacy o meglio la data protection è un tema trasversale, non un fine, ma un mezzo, non un insieme di adempimenti e di burocrazia, ma un sistema di gestione. Molto di più o meglio cosa diversa rispetto alla privacy del D.lgs. 196/2003 che ha caratterizzato quasi un ventennio, ormai passato e disapplicato – stante il decreto di armonizzazione di prossima uscita – senz’altro per tutte quelle parti in cui è il Regolamento a dettar la disciplina.
