GDPR: Adeguamento aziende e criticità
A oltre due anni e mezzo dall’emanazione e ad oltre sette mesi dall’entrata in vigore del GDPR 1 diverse aziende si sono correttamente conformate alle nuove disposizioni normative in tema di protezione dei dati personali. Molte, che non si sono mosse con adeguato anticipo, si sono comunque attivate per riuscire ad adempiere alle principali prescrizioni (DPO, informative, contratti, registro, diritti degli interessati) entro il 25 maggio e hanno predisposto un appropriato piano per completare successivamente il processo di adeguamento con una roadmap che spesso va anche oltre il 2018. Purtroppo, diverse realtà, private e pubbliche, risultano ancora impreparate; non si sono adeguate o non hanno ancora predisposto un efficace piano di adeguamento al GDPR; altre hanno invece erroneamente interpretato il processo di adeguamento ritenendolo un mero e sterile adempimento burocratico fatto solo di documenti, procedure e nomine, questo non sempre e non solo per propria colpa.
Vi sono alcune tematiche relative al GDPR che non sempre sono state oggetto di una interpretazione condivisa. Se possiamo considerare finalmente superate le controversie, che hanno tenuto banco per mesi, sulla figura del Responsabile del Trattamento (Art. 4.8 GDPR), che non può che essere un soggetto esterno alla struttura del Titolare del trattamento 2, e quelle sull’Incaricato, figura giuridica prevista all’art. 30 del Codice Privacy italiano 3 e non più prevista dal GDPR, ci sono ora altre fondamentali tematiche oggetto di controversie o di errate interpretazioni; qui di seguito tratteremo brevemente solo alcune fra quelle più frequentemente riscontrabili.
Nomine non necessarie
Nomine non necessarie e non richieste dalla norma, ma utili a produrre ‘carta’ e a far crescere i costi; fenomeno questo che ha raggiunto il suo apice nell’imminenza dell’entrata in vigore del Regolamento, con un bombardamento incrociato di e-mail dove ci si ‘battezzava’ l’un l’altro, vuoi Responsabile, vuoi Titolare, magari senza nemmeno prima aver provveduto alla revisione dei contratti o alla predisposizione di specifici addendum al contratto. La nomina a Responsabile del trattamento non esiste tra le previsioni del GDPR e tale figura giuridica si concretizza nel momento in cui, sulla base di un contratto o altro atto giuridico vincolante, si esternalizza o si affida a un soggetto terzo un servizio che prevede il trattamento di dati personali (Art. 28 GDPR). Il GDPR non è una fabbrica di carte inutili e costose.
Informative inadeguate
L’informativa costituisce uno dei presupposti fondamentali affinché un trattamento di dati personali avvenga in modo corretto e lecito ma soprattutto trasparente ed è sempre tra le principali cose che sono verificate in fase di ispezione; nonostante questo, capita ancora di imbattersi online in vecchie informative che fanno riferimento al D.Lgs. 196/2003; questo grave inadempimento, non dovrebbe più esistere nemmeno per una piccola azienda; ma non è assolutamente accettabile ed è gravissimo quando questo accade con un importante cloud provider europeo, presente in decine di paesi con oltre un milione di clienti; il quale, come abbiamo appurato, non ha informative conformi al GDPR, non ha pubblicato sul proprio sito i dati di contatto del proprio DPO e questo in aggiunta ad altri gravi inadempimenti da noi riscontrati.
Anche in aziende virtuose che hanno concluso la prima fase di adeguamento al GDPR entro il 25 maggio (fase questa in cui si è quanto meno provveduto a nomina del DPO, revisioni contrattuali, revisione informative, esercizio dei diritti degli interessati e registro delle attività di trattamento) è capitato talvolta di rilevare comunque l’inadeguatezza delle informative.
A volte le informative risultano non adeguate perché non sono ancora state aggiornate al GDPR, a volte perché troppo generiche e carenti delle informazioni obbligatoriamente richieste dagli articoli 13 e 14, altre volte per mancanza o non completezza delle ulteriori informazioni richieste per specifiche tipologie di trattamenti, come la profilazione e i processi decisionali automatizzati, che ricadono sotto le previsioni dell’art. 22 GDPR. Questi tipi di trattamenti risultano insidiosi e molto pericolosi da governare sotto il profilo giuridico se non si padroneggia perfettamente la norma.
Trattamenti che contemporaneamente fondano la propria base di legittimità su contratto e consenso
In un trattamento di dati personali legittimato da contratto, non va richiesto anche il consenso, in quanto la sovrapposizione del consenso al contratto diviene strumento per ‘estorcere’ dati ulteriori rispetto a quelli strettamente necessari all’esecuzione del contratto.
Fanno eccezione i casi in cui un trattamento di dati personali, che si basa sul contratto, deve trattare categorie particolari di dati (Art. 9 GDPR); in questo caso il consenso 4, che deve essere ‘esplicito’, diviene precondizione per poter eseguire il contratto. Questo non deve comunque rappresentare un alibi per poter così ‘estorcere’ ulteriori dati all’interessato rispetto a quelli strettamente necessari all’esecuzione del contratto. Anche in questo caso il Titolare deve garantire che sia sempre rispettato il principio di minimizzazione dei dati e che il contratto sia stato sottoposto a test di necessità per poter così individuare ex ante e dimostrare ex post quali siano i dati che sono risultati essere indispensabili per l’esecuzione del contratto.
Soggetto che nel Registro risulta sia Titolare che Responsabile dello stesso trattamento
Questo è il caso della non corretta compilazione del Registro delle attività di trattamento (Art. 30 GDPR) dove, per un determinato trattamento, uno stesso soggetto risulta ricoprire contemporaneamente il ruolo di titolare e di responsabile del trattamento. Questa anomalia è stata a volte riscontrata nelle società appartenenti a un gruppo, dove una società del gruppo fornisce un determinato servizio a sé stessa in qualità di Titolare, ma anche ad altre società del gruppo in qualità di Responsabile. Si tenta di giustificare questa scelta con le più disparate esigenze di praticità e opportunità aziendale. Tutte argomentazioni queste, che se a volte potrebbero anche rappresentare una semplificazione dal punto di vista aziendale, sono contrarie alla normativa. Il caso più classico riguarda i trattamenti del servizio paghe per i dipendenti. In questo caso nel Registro vanno mappati più trattamenti: quello che la società svolge per sé stessa in qualità di Titolare (buste paga per i propri dipendenti) e quello svolto per le altre società in qualità di Responsabile (buste paga per i dipendenti delle altre società del gruppo).
Ciascuno dei temi sopra esposti richiederebbe una sua specifica trattazione molto più estesa per poterne affrontare nel dettaglio tutti gli aspetti e per poter far comprendere appieno le possibili conseguenze, sia in termini di rischi per i diritti e le liberà degli interessati, sia in termini di rischio per l’azienda, non solo in merito alle sanzioni, ma anche in tema di risarcimento del danno, materiale o immateriale (Art. 82 GDPR), esperibile dinnanzi al giudice ordinario, non solo dagli interessati, ma anche da parte di soggetti terzi, comprese le associazioni ex. Art. 80 GDPR.
Note
- GDPR – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati è stato pubblicato in Gazzetta Ufficiale Europea il 4 maggio 2016, entrato in vigore il ventesimo giorno successivo alla pubblicazione in Gazzetta Ufficiale (25 maggio 2016) e divenuto pienamente applicabile dal 25 maggio 2018.
- Stefano Luca Tresoldi, Le figure dell’Incaricato del trattamento e del Responsabile interno tra Direttiva, Codice Privacy e Regolamento in https://www.ictsecuritymagazine.com/articoli/le-figure-dellincaricato-del-trattamento-del-responsabile-interno-direttiva-codice-privacy-regolamento/ , ultima consultazione 10/12/2018.
- Art. 30 D.lgs 196/2003 – Incaricati del trattamento – 1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. (Abrogato dal D.lgs del 10 agosto 2018, n. 101) - Consenso che in questo caso, oltre che essere informato, libero, specifico, inequivocabile, espresso, deve anche essere esplicito.
Si deve considerare ‘esplicito’ il consenso non desumibile da comportamento concludente, in quanto per tali casi il consenso sarebbe implicitamente desumibile dalla condotta.
L’art. 7 GDPR “Condizioni per il consenso”, al coma 1, pone sempre in capo al titolare del trattamento l’onere della prova del consenso “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.”
Bibliografia
- Pizzetti – G. D’Acquisto – Altri, Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, Milano, 2018
- Bolognini, Follia artificiale, Rubbettino, Milano, 2018
- Bolognini – E. Pelino – C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, Milano, 2016
Articolo a cura di Stefano Luca Tresoldi
Data protection advisor, esperto nell'implementazione del GDPR in contesti operativi complessi anche in ambiti internazionali.
Ha maturando una significativa esperienza nella progettazione e nello sviluppo di Metodologie DPIA ad hoc per importanti gruppi internazionali. Ha ricoperto il ruolo di DPO ad interim per importanti gruppi industriali.