Analizzare il linguaggio utilizzato e i comportamenti agiti, cioè gli adempimenti privacy messi in atto (o non messi in atto) e la modalità con cui questi sono implementati consente ad esempio di capire quanto un soggetto abbia approfonditamente consultato la normativa in materia di protezione dei dati personali o se viceversa la sua conoscenza sia legata a una superficiale lettura di opinioni di altri e della partecipazione a qualche corso/convegno.
Purtroppo, l’entrata in vigore del GDPR ha moltiplicato il numero dei soggetti, spesso provenienti da altri settori, che si sono improvvisati esperti privacy (e in alcuni casi sono anche convinti di esserlo).
Nell’affrontare questo articolo o più in generale la normativa privacy non va tuttavia dimenticato un assunto di base che cito spesso: nella pratica questa normativa non può essere rispettata nella sua interezza.
È talmente contorta e invasiva che spesso il rispetto di una parte di essa comporta la violazione di altre parti della normativa stessa e per evitare che ciò accada occorre effettivamente una grande padronanza dell’enorme mole di documenti che costituiscono la base della normativa sulla protezione dei dati personali e una lunghissima esperienza.
Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza
Indice degli argomenti
Una corretta lettura del GDPR
La recente sanzione al Parlamento europeo da parte dell’EDPS, per il mancato rispetto della normativa privacy che lo stesso Parlamento ha emanato, è una riprova di questo fatto.
Non è possibile essere esaustivo di tutti i comportamenti e le affermazioni che nel corso di oltre 20 anni ho avuto modo di intercettare e che dimostrano una padronanza o viceversa una conoscenza molto superficiale della materia, per cui mi limiterò ad alcuni esempi.
La presenza di leggende metropolitane nel mondo privacy ha origine remota, considerando che sono passati oltre 25 anni dall’emissione della 675/96, recepimento italiano della vecchia direttiva 95/46/CE, sostituita da poco dal GDPR.
Gli errori più frequenti, che spesso ho riscontrato anche negli allievi dei miei corsi (spesso consulenti di alto livello e DPO) mi hanno portato anche alla stesura del mio ultimo libro in ambito privacy “GDPR la privacy nella pratica quotidiana. Tutte le domande a cui un DPO deve sapere rispondere”.
Spesso sono proprio le basi che mancano, quali il perimetro di applicazione del GDPR o l’oggetto di tutela del GDPR stesso.
Chi non ha mai sentito l’infelice affermazione utilizzata anche dalle istituzioni (ma inaccettabile se il nostro interlocutore è il nostro consulente privacy): il GDPR tutela i cittadini europei?
L’affermazione è falsa.
Infatti l’articolo 3, “Ambito di applicazione territoriale”, prevede 2 casistiche:
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
Quindi per il comma 1 quello che determina l’applicazione del GDPR è la collocazione dell’amministrazione centrale di chi tratta i dati, indipendentemente dalla collocazione del soggetto di cui si trattano i dati e ovviamente della sua nazionalità.
E per quanto attiene il comma 2:
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Secondo questo comma, quindi, è sufficiente che il soggetto si trovi nell’UE per essere tutelato, indipendentemente dalla sua cittadinanza (peraltro esattamente come per qualunque altra legge).
È evidente inoltre, che un cittadino europeo che si trovi al di fuori dall’UE non è tutelato dal GDPR.
Adempimenti di poco conto e obblighi dimenticati
Questo è un caso emblematico di quanto sia lontana la realtà (e la reale conoscenza della normativa) rispetto ad affermazioni semplicistiche riportate anche da rappresentanti delle istituzioni.
Per quanto riguarda l’oggetto di tutela basterebbe leggere l’articolo 1 del GDPR:
1. Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati.
2. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
Per capire che l’oggetto di tutela sono le persone fisiche e in particolare i loro diritti e le libertà fondamentali; il riferimento alla protezione dei dati personali è ovviamente l’elemento fondamentale, richiamato anche nel titolo del Regolamento, ma non l’unico.
Spesso mi è capitato di intercettare documenti privacy prodotti per conoscenti, fornitori, clienti, realizzati da consulenti il cui livello di competenza è quantomeno discutibile.
In un caso, relativo ad un cliente molto significativo, documenti anche accettabili erano fra loro totalmente incoerenti e quindi non era chiaro alla fine quali fossero le reali finalità di trattamento perseguite dal Titolare. Era evidente che i vari documenti erano stati realizzati da componenti diversi del gruppo di lavoro della società di consulenza, ma questi erano fra loro totalmente scoordinati, vanificando in tal modo l’uno il lavoro degli altri. Il Titolare, in caso di una visita ispettiva, avrà molta difficoltà a dimostrare la propria conformità vista l’incoerenza esistente fra i vari documenti. Infatti, una funzione di controllo valuterebbe questa incoerenza come mancanza di un reale presidio sulla gestione del modello privacy del Titolare.
Ai tempi della D.lgs. 196/03 (o per meglio dire quando c’era solo questa normativa, visto che è tutt’oggi in vigore) suggerivo un semplice criterio per distinguere i consulenti improvvisati da quelli più preparati: vi hanno dato la loro informativa? In altre parole il consulente privacy rispetta la normativa privacy?
Oggi sono diversi i criteri che è possibile utilizzare.
Infatti sono enfatizzati alcuni adempimenti di poco conto o inesistenti (ad esempio spacciando per obblighi dei semplici suggerimenti o esempi, come nel caso delle misure di sicurezza) e sono dimenticati obblighi molto invasivi ed impegnativi, quali l’analisi dei rischi.
Ad esempio se il vostro consulente privacy non hai mai svolto per voi un’analisi dei rischi forse è meglio cambiarlo.
Ma su questo tema rimando ai miei precedenti articoli sulle misure di sicurezza nel GDPR, sulle analisi dei rischi nel GDPR e sui soggetti tutelati dal GDPR.
Individuare le tutele del GDPR
In merito all’esempio dell’informativa alcuni potrebbero obiettare circa il fatto che l’informativa va rilasciata alle persone fisiche e che se il nostro consulente privacy sta operando per la nostra organizzazione, che è una persona giuridica, l’informativa non va rilasciata.
In realtà questo non è del tutto vero.
In primo luogo le organizzazioni non interagiscono fra di loro direttamente, ma per il tramite dei loro dipendenti/collaboratori.
Quindi anche se le aziende non sono tutelate dal GDPR lo sono i loro dipendenti/collaboratori e quindi quando l’azienda A interagisce con l’azienda B sono i dipendenti di una che interagiscono (e quindi trattano i dati) dei dipendenti dell’altra azienda.
A dire il vero quindi l’azienda A dovrebbe dare l’informativa ai dipendenti dell’azienda B e non all’azienda B come tale, ma per ora limitiamoci a considerare il fatto che un’informativa va comunque data.
Inoltre, se è vero che le aziende non sono tutelate dal GDPR, non è vero che esse non siano tutelate dalla normativa privacy.
Di fatto, l’unica parte del D.lgs. 196/03 che è rimasta invariata dopo l’entrata in vigore del GDPR riguarda le comunicazioni elettroniche, quella parte cioè di normativa privacy (recepimento della direttiva e-privacy tutt’ora in vigore), che regola ad esempio l’inoltro di comunicazioni con finalità di marketing, che si applica anche alle aziende (e a qualunque altro soggetto).
Quindi, se desidero mandare una mail con finalità di marketing a un’azienda devo aver raccolto il suo preventivo consenso (non entriamo nel merito, circa il non perfetto allineamento fra le normative, considerando che l’informativa ed il consenso riguardano, in teoria, gli interessati).
Un corretto adeguamento al GDPR
Attenziona anche a chi utilizza il termine adeguamento al GDPR, riferendosi ad una serie di adempimenti che in realtà sono in vigore in alcuni casi da 25 anni.
Rientrano in questa casistica ad esempio la determinazione dei tempi di conservazione o l’implementazione di una serie di misure di sicurezza.
In particolare le misure di sicurezza previste dall’Allegato B del D.lgs. 196/03 pre GDPR ovviamente dovrebbero essere già in vigore.
Se le sto implementando ora (ad esempio per garantire la minimizzazione nell’accesso ai dati secondo l’art. 25.2) sto ovviamente evidenziando (e documentando) che tali misure in precedenza non erano presenti.
Ulteriore tema molto importante anche perché molto frequente è quello del conflitto di interesse.
Capita spesso che il consulente (persona fisica o azienda) che abbia implementato il modello privacy si proponga anche come DPO o come auditor.
È evidente che tale situazione appare non conforme, in particolare per quanto attiene la posizione del DPO. Un soggetto non può controllare sé stesso.
Chi propone quindi un servizio che comprenda sia la parte di consulenza, sia la parte di DPO non offre una buona prestazione ai propri clienti, nemmeno se si utilizzano soggetti diversi per svolgere le due attività.
Ovviamente una scelta di questo tipo non è senza conseguenze, sia per chi la propone, sia per chi ne usufruisce.
Infatti se ho implementato un modello non posso anche verificare se quel modello è valido (e questo è fra gli altri il compito di “sorveglianza” del DPO).
Interpretare l’attività di sorveglianza/verifica come la semplice spunta del fatto che quanto previsto nel modello privacy sia agito (ad esempio viene raccolto il consenso là dove previsto?) omette la parte più importante del lavoro di verifica: la verifica del modello implementato.
Quindi affidare allo stesso professionista/azienda l’attività prima di consulente e poi di DPO comporta conseguenze non banali per il Titolare:
- lo priva di una reale verifica, con il rischio quindi di perseverare con un modello privacy non conforme e le relative conseguenti sanzioni;
- lo pone nella condizione di essere sanzionato per non aver scelto correttamente un DPO, operando quello che ha scelto il conflitto di interessi.
Il Titolare comunque può tranquillamente rivalersi sul DPO in questo caso.
Infatti è proprio compito del DPO evidenziare una non conformità, causata in questo caso non solo da una sua mancanza, ma da una sua azione volontaria.
Non va infatti dimenticato che per il DPO la normativa privacy non prevede sanzioni, ma che il DPO risponde civilmente nei confronti del Titolare per le conseguenze derivanti dalle sue inadempienze.
Per maggiori dettagli su questo tema rimando al precedente articolo: Il DPO e il rischio di conflitto di interessi: profili e allocazione delle responsabilità.
Si potrebbe continuare con molti altri esempi, ma il tempo e lo spazio sono limitati.
