Le linee guida, le indicazioni e le FAQ sul Gdpr, rilasciate anche da parte degli Organi istituzionali, sembrano non essere in grado di veicolare la semplificazione necessaria per creare quel «clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno» auspicato dal Considerando 7 ma, piuttosto, sembrano, paradossalmente, produrre quella burocratizzazione che il Regolamento intendeva eliminare.
La “mission” del Gdpr
Il Gdpr armonizza una disciplina che fino al 25 maggio 2018 si presentava frammentaria e incerta, con notevoli differenze tra gli Stati membri. Causate, per lo più, dalle “divergenze nell’attuare e applicare la direttiva 95/46/CE” (considerando 9). E’ un Regolamento che abbandona il linguaggio “legalese”, spesso foriero di scarsa comprensione, e mira alla sostanza: non più oneri formali, ma sostanziali; non più “privacy”, ma “protezione dei dati personali”; non più “carte” o comunque adempimenti standardizzati per dimostrare la conformità alla disposizione normativa, ma principi, tra i quali quello della accountability, che impongono al Titolare di preoccuparsi del trattamento dei dati personali valutando, lui stesso, il rischio che incombe su quel trattamento e le misure da adottare per limitarlo il più possibile.
Linee guida e prime interpretazioni “dal basso”
Appare utile richiamare le fonti che, più di altre, rischiano di determinare un effetto indesiderato. La burocratizzazione, infatti, nasce come effetto indesiderato in risposta alle istanze di chiarimento per l’interpretazione del nuovo impianto normativo. Una prima categoria di fonti che ha determinato un aumento degli adempimenti riguarda le azioni intraprese dalle associazioni di categoria e da altri enti, anche istituzionali, chiamati a dare risposte concrete tramite l’emanazione di FAQ e di linee guida ai propri iscritti.
Se da un lato è apprezzabile il tentativo di ricondurre a una interpretazione unitaria le problematiche inerenti l’applicazione del nuovo quadro normativo, all’interno di una medesima categoria professionale, dall’altro si è assistito ad un effetto contrario alla semplificazione, individuando misure di sicurezza eccessivamente onerose, sotto vari profili. Infatti, dovendo rivolgersi sia alle piccole realtà, sia alle aziende più organizzate, al singolo professionista nonché allo studio associato, le risposte sono spesso caratterizzate da una omogeneità di adempimenti, tale da determinare un aumento degli adempimenti formali a discapito di quelli sostanziali. Tali soluzioni hanno favorito l’effetto del cosiddetto “copia-incolla”, limitando la portata dei principi di accountability, privacy by design e privacy by default, che, invece, rappresentano la pietra angolare del nuovo sistema normativo.
Le FAQ del Garante su DPO e registro del trattamento
Una seconda categoria di fonti, certamente più autorevole, è rappresentata dalle FAQ pubblicate dal Garante per la protezione dei dati personali negli ultimi mesi. Si ricordano le FAQ sul Responsabile per la protezione dei dati che, indicando alcune categorie di settori di trattamento, hanno determinato una generale “corsa” alla nomina del DPO, da parte dei titolari del trattamento, senza un’effettiva valutazione dell’obbligatorietà di nomina, senza, dunque, valutare tutti i requisiti richiesti dall’art. 37 Gdpr, in ragione di un generale richiamo alle FAQ del Garante.
Ben più incisivi, invece, sono gli effetti delle FAQ pubblicate dal Garante l’8 ottobre in tema di Registro del trattamento, con le quali sono state individuate alcune categorie di titolari del trattamento che, a titolo di esempio, dovrebbero dotarsi del registro del trattamento. Tra le categorie citate, fanno la loro comparsa: bar; officine; parrucchieri e estetisti. Tuttavia, il Garante precisa che viene concessa una semplificazione: l’obbligo di tenuta del registro riguarderebbe solo talune specifiche attività di trattamento riguardanti le particolari categorie di dati del (anche solo unico) lavoratore dipendente. Tale semplificazione è invocata dallo stesso Regolamento europeo, che nel Considerando 13 indica alle Autorità di controllo di tenere nella dovuta considerazione la situazione specifica delle PMI.
Bisogna, pertanto, chiedersi se “imporre” il registro del trattamento a realtà di così piccole dimensioni, come quelle descritte nelle FAQ (bar, officine, parrucchieri, estetisti, ecc.), sia in linea con lo spirito del Gdpr. Nelle stesse FAQ il Garante auspica la più ampia diffusione del registro del trattamento come misura di accountability, fornendo alcuni modelli semplificati (fogli di calcolo excel) per la redazione dei registri. Ci si chiede, tuttavia, quale sia il valore aggiunto di un registro che debba tenere memoria del trattamento dei dati del (unico) lavoratore dipendente del parrucchiere o del barista? Il registro del trattamento è strumento imprescindibile in realtà complesse, nelle quali si debba, ad esempio, effettuare la verifica dei database,piuttosto che per la predisposizione di un “inventario” dei soggetti destinatari, anche al fine della stipula di Data Processing Agreements.
Burocrazia senza valore aggiunto
Allo stesso modo, può risultare utile in piccole medie aziende con più funzioni aziendali, al fine di aumentare la consapevolezza del titolare del trattamento. Venendo meno tali necessità, e imponendo il registro ad imprese con trattamenti di dati personali minimi, privi di rischi probabili per gli interessati, si rischia di imporre burocrazia senza creare valore aggiunto per la gestione dei dati nell’azienda. Se il registro del trattamento non svolge alcuna funzione nei processi aziendali, lo stesso sarà abbandonato e avvertito dal titolare come l’ennesimo inutile orpello.
L’orientamento del (fu) Article 29 Data Protection Working Party in tema di Registro del trattamento
La posizione espressa dal Garante, tuttavia, è frutto di un’interpretazione dell’art. 30 Gdpr condivisa a livello europeo dal Article 29 Data Protection Working Party, che ha espresso il proprio orientamento con un Position Paper che afferma che una organizzazione con meno di 250 dipendenti deve adottare il Registro del trattamento quando, alternativamente, vi sia uno dei seguenti requisiti:
- possibilità di determinare un rischio per i diritti e per le libertà degli interessati;
- non occasionalità del trattamento;
- trattamento di particolari categorie di dati ex art. 9 Gdpr, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Ebbene, non pare che tale Position Paper sia in linea con i numerosi richiami al principio di semplificazione per le Pmi contenuti nel Gdpr. Considerando, infatti, la struttura del quinto paragrafo dell’articolo 30 Gdpr, si dovrebbe giungere a una conclusione del tutto differente che tenga sempre conto dell’effettivo rischio per i diritti e le libertà degli interessati.
L’interpretazione letterale data dal WP29, infatti, non convince.
La versione originale in testo inglese del quinto paragrafo dell’art. 30 Gdpr, infatti, afferma che l’obbligo di tenere un Registro del Trattamento non si applica “to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10”.
Da tale lettura si nota che viene utilizzata la terza persona singolare, e che, quindi, devono essere intesi in modo diverso i tre scenari rappresentati dalla norma (“is likely to result” riferito al trattamento che può comportare rischi per i diritti e le libertà degli interessati; “isnot occasional” riferito al requisito della non occasionalità; “includes special categories of data ”riferito ai tipi di dati che sono coinvolti nel trattamento).
Al contrario, il WP29 nel suo Position Paper utilizza la forma plurale “There are three types of processing“ (tre tipi di trattamento), in tal modo identificando il trattamento con la singola circostanza che il trattamento sia non occasionale, o che coinvolga dati di categorie particolari, o che comporti un rischio. In tale modo, il Working Party Article 29 ritiene gli elementi tra loro alternativi in senso orizzontale, indicando espressamente che il verificarsi di uno solo dei trattamenti suindicati, che considera tra loro alternativi (“o”), innesca l’obbligo di mantenere il registro delle attività di trattamento.
L’argomento, sebbene possa apparire mero esercizio filologico, ha un impatto pratico enorme. Nel passaggio dal singolare al plurale, l’autorevolissima interpretazione del Working Party ha moltiplicato i soggetti obbligati alla tenuta del registro: qualsiasi trattamento, di per sé considerato, può, potenzialmente, ricadere nella disposizione dell’articolo 30 Gdpr in quanto “non occasionale”. Si ritiene che l’obbligo di redazione del registro per le PMI con meno di 250 dipendenti trovi la sua ratio nella possibilità del verificarsi di un rischio per i diritti e le libertà degli interessati, a condizione che ricorrano congiuntamente o disgiuntamente gli altri due requisiti: da un lato la non occasionalità; dall’altro il trattamento di particolari categorie di dati personali. La congiunzione disgiuntiva “o”, infatti, collega esclusivamente gli ultimi due requisiti rendendoli tra loro alternativi, mentre “il rischio per i diritti e le libertà dell’interessato” sembra rappresentare, in ogni caso, il criterio richiesto per disinnescare la deroga dalla tenuta del registro per le PMI e rappresenterebbe la vera chiave di volta dell’operatività della deroga dell’art. 30 GDPR. Portare invece a compimento l’interpretazione del Working Party con i suoi effetti “moltiplicativi” significa ridurre la semplificazione esclusivamente a trattamenti di per sé occasionali, posti nell’angusta intercapedine tra i trattamenti non occasionali e i trattamenti domestici (per definizione non disciplinati dal Regolamento Europeo) e, pertanto, i plurimi inviti alla semplificazione sarebbero
diretti solo a situazioni assolutamente marginali e non frequenti.
Un registro che non aumenta il livello di tutela degli interessati, crea solo, per l’appunto, un incremento di burocrazia.
Dalla “nomina” dei responsabili ai “Data Processing Agreements”
Le diatribe, per lo più italiane, che si stanno creando attorno all’articolo 28 GDPR per la nomina o meno dei responsabili del trattamento, determinano, inevitabilmente, un allontanamento da quelle che erano le finalità della normativa. Responsabile del Trattamento è, secondo il Regolamento, quella figura che “tratta i dati personali per conto del Titolare”. E’ il “Data Processor” al quale il Titolare affida in tutto o in parte il trattamento.
Negli ultimi mesi si è passati da una tendenza alla nomina compulsiva di qualunque soggetto a Data Processor, alla negazione di tale qualifica per intere categorie professionali, per via di comunicati di associazioni di categoria.
Affidarsi ad un Responsabile, nella concezione attuale derivante dal Regolamento, non è cosa di poco conto, ma non rientra nella disponibilità delle parti: si tratta di fotografare una situazione di fatto. Significa preoccuparsi di scegliere la figura idonea che a sua volta si preoccupa del trattamento dei dati e offre adeguate garanzie in merito; significa che il Titolare ha l’obbligo di fornire al Responsabile adeguate istruzioni su come trattare quei dati personali (anche legittimando eventuali Sub-Responsabili) e, soprattutto, fa sorgere in capo al Titolare il diritto/dovere di controllare quanto sta facendo il Responsabile in ogni momento. Non tutti gli outsourcer del Titolare devono quindi essere considerati Responsabili del Trattamento, ma solo quelli ai quali il Titolare ha affidato concretamente una parte di trattamento e sui quali può esercitare un reale controllo.
Il copia/incolla di “lettere di nomina”, alcune delle quali scritte persino dagli stessi candidati a Responsabile del Trattamento, senza condurre alcuna trattativa con il Titolare, è un comportamento deprecabile. Non è sufficiente un generale richiamo alle “misure di sicurezza dell’art. 32 GDPR”, come troppo spesso si legge, ma è necessario individuare le misure di sicurezza inerenti il processo cui il Responsabile è deputato. Il contratto, o atto giuridico equivalente, dev’essere pensato e ragionato tra Titolare e Responsabile e deve contenere la realtà dei fatti, pena l’inutilità dello stesso. Si passa quindi dalla “lettera di nomina” statica a un contratto che deve regolamentare i processi gestiti dal Data Processor e i rapporti effettivi tra le parti.
Professionisti iscritti agli Albi: titolari o responsabili?
Proprio la necessità di specificare i contenuti dell’accordo ex art. 28 GDPR con puntuali istruzioni evidenzia un ruolo di controllo del Titolare nei confronti del Responsabile del Trattamento che, a parere di chi scrive, mal si concilia con alcune tipologie di soggetti quali i professionisti iscritti agli Albi.
La legge, infatti, richiede che l’attività degli iscritti agli Albi professionali sia svolta in autonomia e con discrezionalità rispetto alla libertà di scelta delle modalità di estrinsecazione dell’attività stessa. Pensiamo al commercialista che cura la contabilità o all’avvocato che viene incaricato per la difesa in giudizio anche in qualità di sostituto di udienza o domiciliatario: come si può pensare che un cliente Titolare del trattamento (dal salumiere ad una società di grandi dimensioni) possa realmente esercitare una funzione di controllo e di audit sul commercialista o sull’avvocato? I professionisti (cui si possono certamente equiparare altre figure di “contorno” che offrono mere prestazioni di servizi) sono soggetti che svolgono attività nell’interesse del Titolare ma non necessariamente sotto il suo controllo, nel senso che non vi è un reale trattamento “per conto del Titolare”, come non vi è un controllo su come il professionista operi in concreto. I dati personali vengono sì comunicati al professionista (e di questo il Titolare ne darà certamente atto nella sua informativa o a seguito di istanza di accesso da parte dell’interessato), ma quest’ultimo li tratta per l’adempimento del mandato conferito, quale autonomo Titolare del trattamento. Tra l’altro i professionisti iscritti in Albi sono già tenuti al rispetto di elevate garanzie in ordine alla segretezza, per precisi obblighi di legge e deontologici. Gli strumenti a tutela dell’utilizzo dei dati conosciuti nell’ambito di un’attività esercitata nell’interesse del Titolare per scopi estranei è già punito da norme europee e nazionali.
Nulla vieta, ad integrazione dei contratti di incarico professionale, di prevedere norme che regolino le responsabilità in ordine al trattamento dei dati personali, al fine di valorizzare i principi privacy by design e privacy by default. Cosa ben diversa è, invece, prevedere contrattualmente un rapporto di controllo che rischia di diventare prova di non-accountability nel caso in cui il Titolare non sia in grado di dimostrare di aver esercitato i propri poteri di controllo e di verifica dell’operato del professionista-responsabile.
Se l’accountability vuol dire “creare carta”
Quelli finora affrontati sono solo due degli istituti che, a parere di chi scrive, sono stati interpretati in senso “burocratico” senza porre attenzione all’effettiva funzione di tutela svolta.
Citando il dott. Buttarelli, Garante Europeo per la protezione dei dati, in una intervista rilasciata a un quotidiano nazionale: “ Chi regola deve cambiare pelle, pensare alle garanzie e non alle formalità. Deve conoscere la tecnologia, avere un approccio meno da legale alla materia… Bisogna capire quali sono le sfide evitando di strozzare l’evoluzione della tecnologia”.
D’altra parte, il segnale dato da Bruxelles alla recente quarantesima Conferenza Internazionale sulla protezione dei dati è chiaramente rivolto a una rivoluzione etica digitale, che non significa affatto burocrazia, quanto, piuttosto, un concreto cambiamento culturale, agevolato dalla normativa.
Diversamente, il continuo espandersi dell’ambito di applicazione dei singoli istituti ad opera di FAQ e documenti di associazioni di categoria, tende a far sì che diminuisca lo spazio di valutazione del titolare del trattamento: in tal modo, il risultato è quello di imporre analoghi adempimenti a soggetti profondamente differenti tra loro, sia in termini dimensionali, sia in termini qualitativi (dal parrucchiere alla società di comunicazione).
Appare preferibile fornire strumenti per facilitare le scelte del titolare del trattamento (si pensi, tra tutti, alle numerose risorse di self assessment per le piccole organizzazioni di ICO, il software open source della CNIL per l’effettuazione della Valutazione di impatto o l’Handbook in Security of personal data pubblicato da ENISA, che suddivide le misure di sicurezza per diversi livelli di rischio, facilitando, così, l’individuazione delle misure adeguate per la propria organizzazione).
La valutazione del rischio nell’organizzazione dovrebbe essere posta al centro, favorendo il passaggio da una cultura della privacy statica (mera redazione di documenti) a una gestione dinamica, basata sui processi.
A ben vedere, infatti, lo stesso Regolamento Europeo ha ad oggetto i trattamenti piuttosto che i dati personali in sé. Tale approccio richiede una funzionalizzazione degli adempimenti a vantaggio dei processi aziendali, così da integrare le misure di sicurezza ai processi stessi (privacy by default e privacy by design).
Accountability è, quindi, un processo diretto alla creazione di consapevolezza e volto all’introduzione delle misure adeguate al contesto: non è un concetto statico legato alla documentazione da creare, ma un concetto dinamico legato alla fattualità, alla capacità di applicare le regole alla propria organizzazione, alle idee che facilitano l’integrazione delle misure di sicurezza nei processi.
Accountability non significa precostituire delle prove, ma dimostrare in concreto che ci si è dati delle regole per il trattamento dei dati personali e che esse sono rispettate all’interno dell’organizzazione. Si pensi, ad esempio, ai disciplinari di utilizzo degli strumenti informatici. E’ nota la difficoltà di sensibilizzare il personale sulle regole di utilizzo degli strumenti o di garantire una formazione efficace che porti ad un’applicazione quotidiana di quanto previsto dal disciplinare. Oggi alcuni applicativi consentono di impostare direttamente dalle dashboard le regole da seguire. Alcuni strumenti consentono di impostare direttamente la crittografia dei messaggi, qualora venga riscontrato un contenuto precedentemente segnato come sensibile, o di creare pop-up che ricordino al personale di dover eseguire una certa azione all’avverarsi di una certa condizione. Strumenti MDM per la gestione dei dispositivi mobile consentono sempre più di integrare le regole dei disciplinari nell’utilizzo stesso del dispositivo, fornendo all’utente uno strumento sicuro e al titolare la possibilità di intervenire in modo centralizzato sui problemi di sicurezza. Non si scrivono documenti word, ma righe di codice che realizzino la regola di accountability stabilita dal titolare.
Si tratta di alcuni esempi, peraltro banali, ma che rappresentano misure di sicurezza identificabili a seguito di valutazioni del rischio anche da parte di titolari del trattamento di piccole dimensioni, che saranno chiamati a scegliere prodotti e servizi volti a garantire misure adeguate di default. Non si richiede la competenza nello sviluppo di software, ma di essere in grado di selezionare gli applicativi più in linea con le proprie esigenze, al fine di diminuire gli ostacoli tra la decisione di una certa misura di sicurezza e la sua concreta attuazione nella quotidianità.
L’aver installato un determinato applicativo o l’essersi avvalsi di determinate risorse vale, di per sé, come misura di accountability, dal momento che la regola di comportamento viene realizzata direttamente, superando la difficoltà di realizzare misure previste in disciplinari cartacei, ma abbandonati in qualche cassetto (quello sì chiuso a chiave!).
Accountability e principio di semplificazione
La “buro-privacy”, in conclusione, è l’approccio che richiede un eccessivo sforzo nella creazione di documentazione che non diventa mai operativa, che non è diretta all’integrazione nei processi, che rischia di rimanere un esercizio di stile.
Un approccio fattuale, dinamico verso il GDPR, richiede un’attenzione costante che non sempre si coniuga con la sofisticatezza dell’analisi del rischio: se “analisi del rischio” è processo, e non documento, la bilancia pende verso la fase di attuazione e rimeditazione dei controlli.
Come rilevato dal European Data Protection Supervisor nella Opinion 5/2018 “Preliminary Opinion on privacy by design”, il principio “privacy by design” può essere un volano per il progresso tecnologico e per introdurre nel Digital Single Market soluzioni commerciali in linea con le garanzie di sicurezza del GDPR, così da facilitare le scelte dei titolari del trattamento.
Per evitare una “buro-privacy” forte con i deboli, è importante mantenere soluzioni interpretative che semplifichino gli adempimenti per le PMI e spingano gli stakeholders a creare un Digital Single Market di valore con processi integrati alla corretta gestione dei dati personali. Certamente importanti saranno i meccanismi di certificazione, che consentiranno non solo ai soggetti interessati, ma anche ai “piccoli” titolari del trattamento di individuare prodotti e servizi in linea alle caratteristiche di sicurezza richieste dal GDPR. Fondamentale sarà sempre il ruolo del Garante Privacy nel fornire strumenti semplici volti ad aiutare, in particolare, le piccole-medie imprese e i professionisti ad un self assessment più immediato, rivedendo le proprie FAQ in funzione di una maggiore incisività degli strumenti e dei mezzi offerti.
E’ necessario riscoprire il principio di semplificazione che sta alla base di tutto il Regolamento: solo così gli operatori istituzionali e di categoria possono essere di effettivo supporto per l’adempimento di una normativa che può e deve essere sfruttata in tutto il suo potenziale.