Tra i temi al centro della proposta di posizione sull’applicazione del GDPR, pubblicata dai membri delle rappresentanze permanenti degli Stati membri presso il Consiglio dell’Unione europea, trova spazio anche la necessità di avviare quella semplificazione per le PMI e gli enti no profit non ancora realizzata. Diversi nuovi obblighi introdotti dal Gdpr hanno creato difficoltà per queste realtà. Vediamo quali sono le aspettative.
Il Gdpr verso il primo tagliando
Entro il 25 maggio 2020, la Commissione europea dovrà infatti trasmettere al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del GDPR, dopo i primi due anni di applicazione. Un analogo momento di verifica e bilancio dovrà ripetersi ogni quattro anni. È il GPDR stesso a prevederlo, all’art. 97.
Nella preparazione di questa relazione, la Commissione può richiedere informazioni agli Stati membri e alle Autorità di controllo. Inoltre, essa tiene conto delle posizioni e delle conclusioni del Parlamento europeo, del Consiglio, nonché di altri organismi o fonti pertinenti. Se del caso, la Commissione può presentare proposte di modifica del GDPR tenuto conto «in particolare» (ma non esclusivamente), degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione.
Il 19 dicembre 2019, i membri delle rappresentanze permanenti degli Stati membri presso il Consiglio dell’Unione europea hanno pubblicato una proposta di posizione del Consiglio sull’applicazione del GDPR. Dopo la sua formale adozione, il documento verrà presentato dal Consiglio alla Commissione europea.
I temi al centro del documento
I due temi oggetto di maggiore attenzione nel documento sono: la riforma della disciplina del trasferimento di dati personali verso Paesi extra UE e una verifica di tenuta dei due meccanismi fondamentali connessi al passaggio dalla “vecchia” direttiva (la 95/46/CE, recepita con differenze fra gli Stati membri) a un Regolamento direttamente applicabile in tutti gli Stati membri (il GDPR), cioè:
- la cooperazione fra le Autorità di controllo,
- la coerenza nell’applicazione del GDPR nei vari Stati membri.
Tuttavia, opportunamente, il documento del Consiglio affronta anche altri problemi applicativi. Fra questi, la necessità di avviare quella semplificazione per le PMI finora non realizzata, pur essendo stata incoraggiata dallo stesso GDPR (per esempio al considerando 13, secondo cui le istituzioni e gli organi dell’Unione e gli Stati membri e le loro Autorità di controllo sono invitati a considerare le esigenze specifiche delle PMI nell’applicare il GDPR).
Peraltro, il Consiglio estende le sue considerazioni su alcune difficoltà di rispettare il GDPR nelle PMI anche a associazioni di beneficenza e di volontariato (enti no profit) che condividono con le PMI – spesso, in misura più accentuata – quelle caratteristiche economiche e organizzative che rendono problematico attuare l’oneroso sistema di conformità previsto dal GDPR.
Obblighi Gdpr: le sfide per le PMI
Secondo il Consiglio, il GPDR ha sì superato alcuni formalismi della precedente normativa introducendo un approccio più sostanziale, ma ha anche creato obblighi nuovi. L’aumento del carico di lavoro che ne è derivato ha interessato in particolare le PMI. Sebbene ci siano differenze fra Stati membri, in media le PMI sono state – fra i destinatari della normativa – le entità che hanno posto più quesiti sull’applicazione del GDPR. Allo stesso modo, alcuni Stati membri hanno fatto presente che le associazioni di beneficenza e di volontariato hanno dovuto affrontare le maggiori sfide sul fronte dell’accountability (o documentazione delle scelte) e della creazione di un sistema interno di compliance (gestione della conformità) al GDPR.
Due istituti che il Consiglio individua come onerosi per le PMI e per gli enti no profit – dunque, meritevoli di una rivisitazione ad hoc per queste categorie di Titolari – sono la creazione/manutenzione dei registri dei trattamenti e la gestione delle violazioni dei dati personali, con la relativa notifica all’Autorità di controllo.
È utile ricordare che l’istituto dei registri del trattamento è declinato al plurale perché i registri sono due: quello che l’ente deve tenere come Titolare e quello deve tenere, eventualmente, come Responsabile. Nonostante la regola (art. 30.5 del GDPR) sgravi formalmente da quest’adempimento le imprese o le organizzazioni con meno di 250 dipendenti, un’eccezione ha reso il registro di fatto obbligatorio per tutti. Infatti, è lo stesso art. 30.5 del GDPR a prevedere che stesura e aggiornamento del registro sono necessari anche per organizzazioni con meno di 250 dipendenti, laddove queste si trovino a trattare categorie particolari di dati (i dati “sensibili”), o dati personali relativi a condanne penali e a reati (i dati “giudiziari”).
L’osservazione del Consiglio è giusta. Qualsiasi organizzazione, anche minuscola, con almeno un dipendente può trovarsi a trattare dati sensibili (come l’assenza di quel dipendente per malattia). Perciò, per le organizzazioni piccole più prudenti è prassi cercare di dotarsi comunque del registro dei trattamenti, almeno per coprire i trattamenti soggiacenti alla norma. D’altra parte, la quasi totalità di queste organizzazioni, sprovvista al suo interno di professionalità con competenze di analisi organizzativa e di protezione dei dati personali, delega la compilazione del registro a consulenti e – ottenuta una bozza – fa molta fatica a comprendere, a validare e ad aggiornare periodicamente in autonomia il documento.
Le soluzioni (troppo prudenti) del Consiglio
Meno convincente è la proposta che – dopo quest’analisi – il Consiglio fa: che la Commissione promuova modelli semplificati di registro per le PMI. Questo in Italia è già avvenuto, per iniziativa del Garante. L’esperienza costante di chi scrive è che anche il modello semplificato del Garante genera notevoli difficoltà di compilazione e gestione. Non sarebbe meglio modificare l’art. 30.5 del GDPR eliminando o limitando fortemente le eccezioni alla regola dell’esonero dall’obbligo di tenuta del registro per le PMI?
L’altro tema critico segnalato nel documento sono gli adempimenti in caso di violazione dei dati personali. Realisticamente, il Consiglio prende atto che l’obbligo di notifica all’Autorità entro 72 ore ha creato – rispetto al passato – un notevole aggravio di lavoro sia per le organizzazioni che per le Autorità. In effetti, analizzare ed esporre correttamente una violazione dei dati personali entro 72 ore solari dal momento in cui se ne è avuta conoscenza è già problematico per grandi aziende multinazionali con professionalità dell’IT e del data security al proprio interno o fra i consulenti abituali. Figuriamoci per PMI e enti no profit.
Nuovamente – dopo avere messo a fuoco il problema – il documento del Consiglio appare troppo prudente nella soluzione, laddove si limita a suggerire un modulo armonizzato per la notifica. Forse, sarebbe più efficace mantenere l’obbligo di notifica solo per violazioni che presentano rischi elevati per gli interessati e – almeno per le PMI e gli enti no profit – tipizzare ragioni che giustificano un ritardo rispetto alle 72 ore.
Le difficoltà della nomina dei DPO
Pur osservando che per PMI ed enti no profit bisognerebbe trovare un bilanciamento fra l’approccio basato sui rischi e la forza economica ed organizzativa di quelle organizzazioni che incontrano difficoltà a gestirlo, il Consiglio non cita un altro istituto del GDPR che risulta di difficile adozione nelle micro-imprese e nel no profit: il DPO. Basti pensare a tante associazioni e fondazioni operanti nel settore della ricerca scientifica o dell’assistenza o del volontariato (che trattano dati sensibili su larga scala).
Oggi, per organizzazioni come queste, spesso l’obbligo di nominare un DPO è un problema: non hanno al loro interno professionalità adeguate, né hanno il budget per dare incarico a un DPO esterno. Per l’obbligo di designazione del DPO (dove è previsto), il GDPR non contempla eccezioni. Su questo tema, il nostro Paese potrebbe fare una proposta alla Commissione, rifacendosi ad un’altra norma del nostro ordinamento che vale per un caso simile. L’art. 6.4 del decreto legislativo 231/2001 prevede che negli enti di piccole dimensioni i compiti di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento possono essere svolti direttamente dall’organo dirigente. L’integrazione delle norme del GDPR sul DPO con una norma analoga potrebbe offrire maggiore flessibilità nell’applicazione della norma a realtà che oggi – per limiti di budget – sono condannate a una non conformità alle norme sul DPO, o a un rispetto solo di facciata delle stesse.