I principi della privacy introdotti (o rafforzati) dal GDPR stentano ancora ad affermarsi nell’applicazione concreta, nonostante siamo entrati nel secondo anno di vita della nuova normativa.
Le difficoltà più evidenti sono quelle incontrate dalla figura del Responsabile per la protezione dei dati (DPO), che pur essendo già presente in numerose organizzazioni, stenta ancora ad assumere la fisionomia delineata dal Regolamento Ue e dal Garante privacy, per diversi motivi che andremo di seguito ad approfondire.
Le brevi considerazioni che seguono, pertanto, senza pretesa di essere esaustive e al solo fine di stimolare la discussione su alcuni aspetti operativi, si propongono dare spazio alla prospettiva “rovesciata” dei titolari e dei responsabili del trattamento, nonché di quella dei Responsabili della Protezione dei Dati.
Maggio, tempo di bilanci per la privacy
Del resto, per chi si occupa di data protection è ora, a maggio – e non a gennaio con l’inizio dell’anno o a settembre con l’inizio della scuola- il momento dei bilanci, il periodo di riflessioni e, perché no, di buoni propositi.
A maggio del 2016 veniva pubblicato ed entrava in vigore il GDPR e sempre a maggio, il 25 maggio del 2018, a distanza di due anni, si dava avvio alla sua attuazione.
E pochi giorni fa, era il 7 maggio, l’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici e Licia Califano, ha presentato la Relazione sull’attività svolta nel 2018 facendo il punto sullo stato di attuazione del GDPR in Italia e delineando alcuni temi privacy che si porranno nei prossimi anni.
Nei due giorni successivi abbiamo poi assistito alla pubblicazione in gazzetta dei due nuovi regolamenti interni del Garante che hanno rispettivamente completato la disciplina delle procedure di tutela innanzi al Garante, delle regole deontologiche e dei codici di condotta (Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali) e hanno individuato la durata dei procedimenti presso il Garante e le unità organizzative competenti ad effettuare la relativa istruttoria (Regolamento n. 2/2019, concernente l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali).
Ancora, il 18 maggio scorso, è stato portato a termine attraverso un Protocollo emendativo il processo di modernizzazione della Convenzione 108 del 1981 sulla protezione degli individui rispetto al trattamento automatizzato dei dati personali.
E domenica scorsa, il 19 maggio, è scaduto il periodo di tolleranza previsto dall’art. 22 del D.lgs. 10 agosto 2018, n. 101 e da ora in poi il Garante potrà applicare senza alleggerimenti le sanzioni previste dal GDPR.
Infine, il 20 maggio, la presidenza rumena del Consiglio dell’Unione europea ha pubblicato una relazione sullo stato di avanzamento della proposta di regolamento relativo alla vita privata e alle comunicazioni elettroniche (proposta di Regolamento e-privacy) al fine di sostituire l’attuale Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 (Direttiva e-privacy).
Insomma, sia sul piano europeo sia su quello nazionale è questo il momento in cui si tirano le somme sullo stato di attuazione del GDPR e, in generale sulle recenti evoluzioni nel mondo della Privacy.
La Relazione del Garante privacy
Per ripercorrere le novità dello scorso anno in ambito nazionale, un ottimo riferimento è senz’altro costituito dalla citata Relazione 2018 in cui il Garante ci illustra le principali tematiche con cui si è confrontato a partire dal momento in cui il GDPR è divenuto operativo, tra cui, per citarne alcune tra le più significative: il principio di accountability (responsabilizzazione), la figura del responsabile per la protezione dei dati, la valutazione d’impatto ex art. 35 GDPR (che ha sostituito la verifica preliminare di cui all’ormai abrogato art. 17 Codice Privacy), il più severo quadro sanzionatorio, i meccanismi di certificazione, i codici di condotta e le regole deontologiche, i trattamenti effettuati per fini di polizia e di giustizia penale regolati non più dal Codice Privacy ma dal d.lgs. 18 maggio 2018, n. 51 (che ha recepito la Direttiva 2016/680) e la cooperazione tra le autorità di controllo sui casi di impatto sovranazionale, sensibilmente rafforzata anche grazie all’impiego della piattaforma condivisa IMI (sistema di Informazione del Mercato Interno).
Dobbiamo tuttavia considerare che la chiave di lettura offerta dalla Relazione necessariamente risente delle finalità stesse del documento e del punto di vista, pur indubbiamente privilegiato, dell’autorità che l’ha redatta.
Responsabile protezione dati, lo stato dell’arte
Partiamo con le nostre considerazioni cominciando dalla categoria dei DPO.
Stiamo parlando di una categoria professionale di cui, stando ad un recentissimo studio IAPP , si sono dotate circa 500.000 organizzazioni in tutta Europa.
Tra queste, più di 48.000 organizzazioni sono riferibili all’Italia come risulta dalle comunicazioni dei dati di contatto pervenute al Garante (48.591 alla data del 31/03/2019 – erano 43.629 al 31/12/2018).
Questo primo dato, in linea di principio, può considerarsi incoraggiante rispetto alla media europea che in base allo studio sopra riportato dovrebbe aggirarsi intorno alle 18.000 organizzazioni con DPO nominato (sui 28 paesi dell’UE) e alle 31.000 organizzazioni con DPO nominato (in rapporto ai 12 paesi europei, Italia inclusa, che da soli rappresentano l’80% del prodotto interno lordo dello Spazio Economico Europeo).
Tuttavia, se tale dato comprova il fatto che le organizzazioni hanno preso atto della necessità/opportunità della nomina, dall’altro lato esso va letto in combinato con altri fattori che vanno dalla numerosità delle organizzazioni presenti sul territorio fino alle modalità concrete di impiego di tale figura.
Il Garante se ne è occupato diffusamente con riferimento allo specifico settore sanitario – tra i più complessi ai fini del trattamento dei dati – pronunciandosi in merito alla possibilità di conferire l’incarico ad un unico soggetto da parte di tutte le strutture sanitarie di un’unica regione. In particolare, il Garante ha riconosciuto la validità del RdP “unico” subordinandone la nomina ad una previa attenta valutazione da parte delle aziende sanitarie e al rispetto dei requisiti richiesti dal GDPR per la suddetta designazione (Clicca qui per approfondire).
DPO, aspettative vs realtà
Proprio su questi ultimi requisiti è necessario soffermarci per capire perché, nonostante il dato numerico incoraggiante sopra riportato, la figura del Responsabile della protezione dei dati, oggi, almeno in Italia, fatica ad affermarsi.
Più precisamente, possiamo dire che essa ancora non ha assunto la fisionomia indicata dagli artt. 37 e 38 GDPR e dalle “Linee guida sui responsabili della protezione dei dati” adottate dal Gruppo Art. 29 il 13 dicembre 2016 e successivamente emendate il 5 aprile 2017 e su cui il nostro Garante è intervenuto con i chiarimenti di cui alle “Nuove Faq sul Responsabile della protezione dei dati (RPD) in ambito pubblico” (leggi qui) e alle “Nuove Faq sul Responsabile della Protezione dei Dati (RPD) in ambito privato” (leggi qui).
In base a quanto sopra, infatti, il Responsabile della protezione dei dati deve in primo luogo essere in possesso del requisito di professionalità che comprende l’elevata conoscenza delle tematiche privacy e, ove la complessità del settore lo richieda, anche adeguate conoscenze specialistiche con riferimento al settore in cui si trova ad operare.
Inoltre, il DPO deve essere messo in grado di operare in piena indipendenza e autonomia prevenendo eventuali conflitti di interesse.
Non è tuttavia quello che si riscontra nella realtà. Fatte salve alcune realtà organizzative e alcune figure professionali di indiscussa serietà, alla maggior parte dei DPO viene richiesto di intervenire nelle procedure, di rivedere la documentazione privacy aziendale ed è prassi che le organizzazioni impartiscano loro istruzioni chiedendogli di interagire attivamente con la struttura operativa.
Se ciò è comprensibile in qualche misura nella realtà delle piccole imprese, è assolutamente ingiustificato per le realtà medio-grandi come pure nelle organizzazioni pubbliche.
Ovviamente, il trade-off tra le richieste dell’organizzazione e la difesa del proprio ruolo e della propria indipendenza da parte del DPO risente in primo luogo dei rapporti di forza tra le parti, ma deriva altresì dalla mancata comprensione del ruolo e del modus operandi propri del DPO.
A tal proposito sono quindi certamente apprezzabili le iniziative di professionalizzazione delle figure in discorso e le attività formative che il Garante continua ad indirizzare ai responsabili della protezione dati e, soprattutto, alle organizzazioni pubbliche e private, anche nell’ambito dei progetti finanziati dall’Ue T4DATA e SMEDATA.
Il rapporto tra informative e registri trattamenti
Sempre avendo a mente la prospettiva operativa dei titolari e dei responsabili del trattamento, oltre che dei DPO chiamati a rivederne l’operato, altro aspetto su cui fare il punto è quello del rapporto tra le informative e i registri dei trattamenti.
Si tratta, in linea generale, dei primi documenti che vengono presi in esame nell’ambito dei procedimenti ispettivi del Garante e/o del Nucleo Speciale Privacy della Guardia di Finanza.
Da tali documenti, infatti, molto si può capire circa l’aderenza o meno dell’organizzazione ai principi di accountability e, soprattutto, di trasparenza.
La criticità principale che tuttavia si osserva nel confrontarsi con le organizzazioni, sia pubbliche, sia private, è la difficoltà nel riconciliare i trattamenti individuati nei registri con quelli dichiarati nelle informative.
Le motivazioni sono le più variegate e vanno dalla difficoltà che ancora titolari e responsabili (e rispettive organizzazioni) incontrano nel riconoscere un determinato trattamento come soggetto alla normativa privacy -e tale difficoltà non è solo sul piano cognitivo, ma anche su quello dell’accettazione perché nasconde un retro-pensiero a voler effettuare liberamente alcuni trattamenti- alla resistenza ad adottare una linea di trasparenza nei rapporti con gli interessati.
Riprendendo le parole del Presidente del Garante Antonello Soro a commento dei risultati del cosiddetto “Privacy Sweep” del 2018, l’indagine “a tappeto” a carattere internazionale coordinata dal Gpen (Global privacy enforcement network) che quest’anno ha avuto ad oggetto il livello di attuazione del principio di accountability da parte del titolare del trattamento dei dati e che in Italia ha riguardato le regioni, le province autonome e le loro società controllate, che svolgono trattamenti di dati personali per l’adempimento di compiti di pubblico interesse (3) “c’è ancora molto da fare – sia in Italia, sia all’estero – affinché i principi a tutela della privacy vengano declinati correttamente nelle pratiche quotidiane, nei processi organizzativi e lungo tutta la catena decisionale nel settore pubblico e in quello privato”.
La privacy by design
Di certo questo vale, ad esempio, per i principi di accountability e di trasparenza, ma è tanto più vero per quanto riguarda il principio della privacy by design.
Tale principio dovrebbe essere alla base della realizzazione di tutti i processi che comportano il trattamento di dati personali e senz’altro di quelli che afferiscono l’ambito della digital transformation.
Come è noto, la trasformazione digitale sta consentendo negli ultimi anni di ridisegnare e migliorare i processi che governano il business sfruttando la sinergia tra diverse soluzioni tecnologiche innovative che includono l’automazione, l’informatizzazione, il cloud, il machine-to-machine, l’Internet delle cose (IOT), l’intelligenza artificiale ecc., secondo una logica di convergenza esasperata tra sistemi e flussi informativi attraverso le reti e il Web.
La velocità con cui tali processi si compiono e le innovazioni a cui sono continuamente sottoposti, nonché la mole dei dati che trattano, da un lato richiedono ai titolari e ai responsabili del trattamento competenze e una sensibilità anche prospettica non sempre possedute o reperibili e, dall’altro lato, pongono preoccupazioni di grande impatto e richiedono un aggiornamento continuo oltre che dei processi stessi, della formazione delle persone.
Non parlo solo dei tecnici e dei professionisti, ma anche dei consumatori che da tali processi sono impattati.
E anche la sensibilità giuridica chiamata a valutare questi processi sotto il profilo della protezione dei dati personali deve necessariamente nutrirsi di concetti nuovi o comunque rinnovati bilanciando l’interesse alla valorizzazione dei dati e altri beni giuridici primari con le libertà e i diritti degli interessati, anche in una prospettiva di tutela del consumatore e quindi facendo leva sulla trasparenza e sull’informazione come primo elemento di enforcement della tutela, ma senza chiudere all’innovazione e alle opportunità di mercato.
Insomma, quando il gioco si fa duro anche i duri devono cominciare a giocare …con la tecnologia. Per chi non avesse ancora iniziato, può essere il giusto proposito per questo scorcio finale del mese di maggio.
