Ad un anno dall’entrata in vigore del Regolamento generale protezione dati (Rgpd, noto in Europa come Gdpr), è opportuno fare il punto sullo stato di applicazione della normativa europea da parte delle aziende italiane.
Va in primo luogo ricordato che il Decreto legislativo 101/18, entrato in vigore il 19 settembre 2018, prevedeva quello che erroneamente è stato inteso come un differimento dei termini di entrata in vigore del Regolamento. Veniva invece previsto dalla norma di diritto interno che per un periodo di 8 mesi (scaduti il 19 maggio scorso) il Garante, nell’irrogazione di una eventuale sanzione, avrebbe tenuto conto anche “della fase di prima applicazione delle disposizioni sanzionatorie”, lasciando intendere una certa indulgenza sulla quantificazione della sanzione.
Trascorso quindi il periodo di “rodaggio”, e considerato che molte le imprese sono rimaste ferme al palo nella corsa all’adeguamento, sembra opportuno ricapitolare e fare chiarezza su alcuni dei punti più oscuri della normativa.
Il Regolamento impone pochi adempimenti formali, e un solo obiettivo: il Titolare deve adottare misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che i trattamenti siano effettuati conformemente al Regolamento.
La scelta del percorso per raggiungere l’obiettivo, così come i mezzi e la scelta delle misure tecniche e organizzative da adottare, sono lasciati al Titolare, il quale dunque si trova davanti a una sfida che prima di essere affrontata deve essere compresa.
Al di là del percorso che il Titolare deciderà di intraprendere, è opportuno procedere in primo luogo ad un censimento dei dati, e la conseguente compilazione del Registro dei trattamenti previsto dall’Art. 30 del Regolamento.
Quest’ultima operazione, molto spesso trascurata anche dagli addetti ai lavori, fornisce invece utilissimi elementi per comprendere quale sia il punto di partenza per guidare l’impresa verso l’obiettivo.
Sebbene il Regolamento imponga la tenuta del Registro dei trattamenti solamente ad alcune categorie di Titolari, il Garante ne raccomanda infatti l’adozione a tutti i Titolari in quanto “strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Sebbene questa attività fosse già oggetto di previsione normativa, con il Regolamento assume una rilevanza fondamentale ai fini della responsabilizzazione. Le misure di sicurezza tecniche e organizzative devono infatti essere scelte ed attuate “tenuto conto dei rischi aventi gravità e probabilità diverse”.
La difficoltà di assolvere a questo obbligo deriva dalla circostanza che non esiste una metodologia univoca per la redazione di questo documento che può tuttavia rivelarsi fondamentale in sede probatoria.
Si consiglia di partire dai rischi elencati dal Regolamento (distruzione, perdita, modifica, divulgazione non autorizzata dei dati, nonché accesso abusivo o non autorizzato) e di considerare per ciascun rischio la gravità (entità dell’eventuale danno) e la probabilità che l’evento dannoso si verifichi.
Tale operazione andrà ripetuta per tutti i trattamenti effettuati dal Titolare. Solo in questo modo si potrà dire che le misure di sicurezza adottate in conseguenza di quanto emerso dall’analisi dei rischi siano adeguate.
L’obbligo di nomina (e di comunicazione al Garante dell’avvenuta nomina) di un Responsabile protezione dati costituisce una delle innovazioni più rilevanti del Regolamento. Se da un lato c’è certezza sui soggetti obbligati alla nomina, risulta ancora complesso per le aziende individuare delle figure adatte a ricoprire il ruolo.
Ad esempio, la scelta del Responsabile Protezione Dati viene spesso effettuata secondo criteri di “economicità”, non tenendo nella dovuta considerazione il necessario requisito della professionalità, che deve essere adeguata alla specificità ed alla complessità del settore in cui opera l’azienda.
Ci si riferisce in particolare al settore sanitario, nel quale la competenza del Responsabile Protezione Dati deve essere valutata anche tenendo conto del livello più elevato di conoscenze specialistiche che caratterizza il settore.
Queste, bisogna evidenziare, sono solo gli adempimenti che sono risultati più problematici per le imprese – alla luce del lavoro e dell’attività svolta sul campo nel corso di questo anno – e non un elenco delle attività necessarie per un trattamento conforme al regolamento.
Un’ultima raccomandazione riguarda l’approccio alla materia del trattamento dei dati personali in termini di processo e non di prodotto. Il prodotto “adeguamento” necessita infatti di una costante cura, monitoraggio ed eventualmente modifica di quanto in origine è sembrato adeguato.
Instagram @studiolegaleponari