Si pubblica di seguito un articolo tratto da ItaliaOggi che, a pochi giorni dall’operatività del GDPR, evidenzia alcuni errori da evitare sin da subito.
“Il responsabile della protezione dei dati non è un factotum; le sanzioni non sono sospese; il responsabile esterno non è il DPO; gli amministratori di sistema, anche se non sono nominati dal regolamento Ue, sono da licenziare. Sono alcuni degli scivoloni che possono capitare nei primi giorni di operatività del regolamento Ue sulla privacy, che lo scorso 25 maggio ha esordito. Nonostante l’assenza di un decreto italiano di coordinamento. Proprio mentre il Gdpr muove i suoi primi passi, Antonello soro, presidente del garante per la protezione dei dati, lo scorso 24 maggio a Bologna durante la convention dei responsabili della protezione dei dati, ha fatto un appello al Parlamento: si faccia in fretta a mandare avanti lo schema di decreto attuativo della legge 163/2016. Ecco i 10 errori da evitare fin da subito.
Formalismi Dappertutto si sente dire che il Regolamento ha un approccio basato sul rischio. Seguendo questa impostazione vanno privilegiate scelte da cui deriva un incremento di sicurezza delle reti, dei dispositivi, dei locali e così via. Meglio avere una buona sicurezza e una buona organizzazione. Un errore è scambiare la privacy europea con la stesura di moduli e moduli. Un comportamento virtuoso è dotare i propri uffici, computer, server di sistemi di protezione fisica e tecnologica.
Tecnicismi Un errore è quello di pensare che la disciplina della protezione dei dati sia solo un problema di sicurezza informatica. La sicurezza informatica è certamente importante, ma è solo un pezzo del problema. Posso avere un sistema informatico sicuro e custodire dati inesatti e, quindi, violare clamorosamente la privacy. La privacy è preoccuparsi dell’effetto che fa l’uso dei dati sulla vita delle persone, e attivare condotte virtuose e rispettose.
Informazioni Sotto la vigenza del codice della privacy (DLgs 196/2003) si parlava di informative e si citava, appunto, questo decreto legislativo. Lasciare a disposizione degli interessati modelli di informativa contenenti quel riferimento può essere indicativo della mancata presa in esame del regolamento europeo. Avere un modello di informativa buono nei contenuti, anche se con un riferimento normativo scorretto non è di per sé invalidante. Peraltro le informazioni devono essere, appunto, esaustive nel merito. Meglio correre ai ripari e inserire i riferimenti giusti e anche le informazioni in linea con il regolamento.
Responsabili interni Sulla scorta delle norme del codice della privacy, enti pubblici e privati hanno nominato responsabili interni del trattamento. Si tratta di un’organizzazione che non ha più ragion d’essere con questa denominazione. L’organizzazione può mantenere centri interni di imputazione di attività. Ma non bisogna continuare come se nulla fosse.
Responsabili esterni Non sono da confondere con il responsabile della protezione dei dati. Hanno compiti diversi: solo i responsabili esterni trattano dati per conto del titolare.
Autorizzati al trattamento I vecchi incaricati del trattamento non si chiamano più così. Si chiamano autorizzati al trattamento. Meglio ricordarsene nei moduli in preparazione.
DPO Il responsabile della protezione dei dati è una figura importante, ma non è un factotum. Nominare un Rpd e affidargli tutta la privacy vuol dire non aver compreso bene il suo ruolo. Il responsabile della protezione dei dati non è un gestore degli adempimenti privacy, ma è un soggetto che informa, consiglia, ma anche sorveglia. E non può sorvegliare se stesso per non essere in clamoroso conflitto di interesse. In quest’ultimo mese di maggio 2018, si sono viste procedure di gara per l’affidamento contemporaneamente degli adempimenti per l’adeguamento al regolamento europeo sulla protezione dei dati e per la funzione di responsabile della protezione dei dati. Si tratta di un approccio criticabile, proprio alla luce dell’obbligo di evitare il conflitto di interesse: il Rpd non può valutare se ha condotto un buon adeguamento del trattamento di dati. Altro errore è assumere come responsabile della protezione dei dati un soggetto inesperto, tanto per coprire una casella. Il responsabile della protezione dei dati deve sapere quello che fa, altrimenti si espone a responsabilità.
Responsabilità del DPO Si sente dire e si legge che il responsabile della protezione dei dati non è responsabile. Attenzione a non fraintendere. L’affermazione è vera se si vuol sostenere che il responsabile della protezione dei dati non è il parafulmine del titolare del trattamento, che rimane l’unico responsabile per le violazioni del regolamento Ue. Ma attenzione, un cattivo consiglio o un cattivo parere del responsabile della protezione dei dati espone quest’ultimo a responsabilità contrattuale nei confronti del titolare.
Amministratori di sistema Un errore è pensare che siccome non sono nominati dal regolamento Ue sono da licenziare. Tutti i presidi della sicurezza sono validi ai fini della dimostrazione del proprio grado di responsabilizzazione.
Sanzioni È un errore pensare che tanto il Garante per sei mesi non applicherà sanzioni. È una falsa notizia: se al Garante arriverà una notizia di illecito non potrà che esercitare i poteri assegnati dal Regolamento, a prescindere dall’eventuale sospensione del provvedimento del 22 febbraio 2018 sul monitoraggio.”
Avv. Federica Spuri Nisi