Prosegue l’analisi del Nuovo Regolamento europeo sulla Privacy, del quale non sfuggono approssimazioni e incongruenze, in particolare, negli articoli dedicati alle modalità di comunicazione tra gli interessati e le nuove figure alle quali è demandata la funzione di acquisizione e trattamento dati.
Gianluca Pomante
Avvocato
Esperto in tema di Privacy e IT
Continua l'analisi “step by step” del Nuovo Regolamento europeo sulla Privacy, attraverso il principio sancito dall'art. 27, secondo il quale è necessario che ciascun “incaricato” riceva istruzioni dal “responsabile” e dai suoi delegati prima di procedere materialmente alle operazioni di trattamento.
La norma non specifica se sia necessaria la forma scritta per tali istruzioni ma, data la necessità di conservare tutta la documentazione inerente il trattamento operato, prevista dal successivo art. 28, probabilmente è questa la tesi per cui propendere.
È fatta salva la diversa disciplina dello Stato Membro, che potrebbe, quindi, decidere di specificare quali argomenti potranno essere trattati senza preventiva autorizzazione.
Previsione che richiama alla memoria le Autorizzazioni Generali del Garante Privacy italiano per determinate tipologie di trattamenti.
L'art. 28 citato pone regole che appaiono decisamente in contrasto con la necessità di snellezza tipica di un'azienda privata e che rischiano di “burocratizzare” pesantemente il trattamento dei dati personali.
Il problema della storicizzazione
Documentare tutti i trattamenti effettuati sotto la responsabilità di ciascun incaricato può essere interpretato come onere di redigere una scheda riassuntiva delle operazioni eseguite, che è assolutamente irragionevole.
Si tratterebbe di un compito oltremodo gravoso per qualsiasi azienda.
Potrebbe anche essere interpretato come obbligo di storicizzare i trattamenti effettuati, attraverso la creazione di un registro interno degli eventi che tenga conto delle modifiche apportate a ogni record del database, ma anche tale soluzione comporterebbe un enorme dispendio di energie e di risorse per la memorizzazione dei dati.
Peraltro, senza un limite temporale per la storicizzazione, si otterrebbe un profiling sistematico dell'evoluzione storica delle posizioni degli interessati, che risulterebbe palesemente in contrasto con gli obiettivi di tutela del Regolamento.
Probabilmente, per “Documentazione”, l'estensore del Regolamento intende la stesura di linee guida alle quali l'interessato dovrà attenersi nella gestione dei dati, affinché l'archivio sia modificato secondo regole certe che assicurino la tutela dei diritti richiamati dalla norma.
Ma ciò non toglie che, incombendo sul responsabile del trattamento l'onere probatorio, quello della storicizzazione resta un problema difficilmente risolvibile senza un intervento della Commissione che stabilisca cosa deve essere conservato e cosa costituisce elemento liberatorio rispetto alla contestazione della violazione dell'obbligo di documentazione del trattamento.
Documentare per informare
La documentazione deve contenere “almeno” le informazioni previste dai punti a-h del secondo paragrafo dell'art. 28, con un’evidente apertura alla personalizzazione da parte del Responsabile del trattamento, al fine di adeguare i precetti di base alla propria realtà, in ossequio ai principi di cui agli artt. 5 e 22 del Regolamento.
Con l'obbligo di indicare il nome e le coordinate di contatto del responsabile del trattamento o dei suoi delegati, il Legislatore Comunitario ha inteso sancire l'obbligo di fornire un valido interlocutore al cittadino, per evitare ogni possibile tentativo di sottrarsi all'onere di procedere al trattamento in modo corretto, rendendo difficoltoso l'accesso agli archivi e l'esercizio dei diritti dell'interessato.
La necessaria indicazione delle finalità del trattamento, compresi i legittimi interessi perseguiti dal “responsabile”, delle categorie di interessati e delle rispettive tipologie di dati, ha lo scopo di certificare gli scopi perseguiti dal soggetto che procede all'utilizzo dei dati e di rendere conseguentemente edotto il cittadino dell'obiettivo perseguito dalle operazioni che lo riguardano, affinché il diritto di opporsi o chiedere la modifica dei propri dati possa essere esercitato in modo consapevole.
L'onere di documentare i destinatari delle informazioni e l'eventuale trasferimento dei dati all'estero ha come obiettivo quello di consentire il c.d. “inseguimento” dei dati, di evitare di perderne il controllo, affinché l'interessato possa conoscere in ogni momento le generalità del soggetto che detiene le notizie che lo riguardano e il luogo in cui sono conservate, selezionando così i soggetti ai quali vuole effettivamente lasciar trattare i propri dati.
Questo precetto comporta un ulteriore onere di storicizzazione a carico del responsabile del trattamento, che dovrà registrare non solo le generalità del soggetto a cui cede i dati, ma anche i limiti della cessione.
Cedere dati ai fini dell'esecuzione di un'obbligazione (con divieto, quindi, di trattarli autonomamente o cederli nuovamente), infatti, è cosa ben diversa da una cessione a titolo oneroso con ogni facoltà di gestione.
Questi elementi dovrebbero essere comunicati all'interessato, affinché possa valutare correttamente la potenziale pericolosità, per i suoi interessi, del nuovo trattamento.
Termini ultimi per la cancellazione dei dati
Un elemento che nella legislazione italiana mancava, in relazione agli obblighi di informazione al cittadino, è quello contenuto nel punto 2, lett. g), del citato art. 28, ossia l'indicazione generale dei termini ultimi per cancellare le diverse categorie di dati.
Ovviamente non si riferisce al diritto di accesso dell'interessato, che non può venir meno per effetto del solo trascorrere del tempo, ma al duplice obbligo di eliminare i dati del trattamento dopo la scadenza del termine e di comunicare tale data all'interessato, affinché possa controllare - ed eventualmente chiedere - l'applicazione delle relative sanzioni al soggetto inadempiente.
Dal lato del responsabile del trattamento, si tratta di un ulteriore onere di storicizzazione e automatizzazione dei dati, anche tenendo presenta la possibilità di proseguire il trattamento in forma anonima.
Onere al quale si aggiunge quello del punto successivo, contenente l'obbligo di dare atto delle misure adottate, ai sensi dell'art. 22, per garantire l'idoneità del trattamento e delle misure di sicurezza adottate.
Sono esonerati dall'obbligo di documentare le persone fisiche che non fanno un uso commerciale dei dati e le imprese e organizzazioni con meno di 250 dipendenti, che trattano dati personali solo accessoriamente rispetto alle attività principali.
Questo passaggio “sibillino” sta a indicare la differenza tra chi tratta dati perché deve adempiere ad altre tipologie di obbligazioni (la vendita di un bene comporta solitamente l'acquisizione dei dati dell'acquirente) rispetto a chi del trattamento dati fa l'attività principale della sua impresa, come nel caso di aziende che si occupano di marketing, profiling, promozione e advertising, ecc.
A queste ultime non potrà essere applicata l'esenzione dall'obbligo di documentazione dell'attività, in caso di dimensioni modeste, poiché anche una sola persona, è evidente, nel gestire un database di decine di migliaia di record per tali finalità può essere potenzialmente lesiva e pericolosa quanto una grande azienda.
La Commissione si riserva la facoltà di adottare atti delegati per precisare i criteri e i requisiti per la realizzazione della documentazione, realizzando “moduli standard” da mettere a disposizione dei responsabili.
Tale approccio conferma il rischio di attività di documentazione fine a se stessa, con conseguente aggravio dei costi e tempi aziendali. In un periodo di crisi come l'attuale non è certo una buona notizia.
L'art. 29 dispone un generale obbligo di cooperazione con le Autorità di controllo, prevedendo anche un obbligo di risposta alle richieste di informazioni entro un termine ragionevole fissato dall'Autorità stessa.
La risposta dovrà comprendere una descrizione delle misure adottate a seguito dei rilievi dell'Autorità ed una valutazione dei risultati raggiunti.
Ambigui criteri di sicurezza
Con l'art. 30 si entra nel vivo delle misure di sicurezza, ancora una volta individuate con il termine non tecnico di “adeguate”, per ciò solo foriero di dubbi e interpretazioni, soprattutto a distanza di tempo.
La Commissione sembra non considerare che l'evoluzione tecnologica, soprattutto nel settore informatico, è talmente rapida da non essere auspicabile che tale discrezionalità nella valutazione possa essere lasciata all'Autorità di Controllo, mentre sarebbe certamente più logico un intervento periodico della Commissione o di un partner tecnico super partes, a stabilire i criteri standard delle misure di sicurezza, al di sotto delle quali il trattamento si considera automaticamente illecito, lasciando all'Autorità di controllo solo una minima discrezionalità sulla valutazione dell'eventuale inadeguatezza delle misure rispetto alle situazioni concrete.
Invece, il Regolamento prevede, a carico del responsabile del trattamento, l'obbligo di predisporre un “documento di valutazione dei rischi”, sulla scia della regolamentazione relativa alla sicurezza sul lavoro e all'ambiente, da confrontare successivamente con le opinioni della Commissione, che saranno presumibilmente desunte dagli atti delegati di cui al successivo paragrafo 3.
Un approccio non troppo chiaro, che rischia di innescare una continua rincorsa tra i pareri della Commissione e quelli degli esperti, con l'imprenditore nel mezzo, a far da ferro tra l'incudine e il martello.
Se lo scopo della Commissione è quello di stabilire i criteri di sicurezza necessari per garantire la tutela dei dati rispetto all'accesso non autorizzato, alla presa di cognizione, comunicazione e diffusione non autorizzati o illegittimi, a qualsiasi illiceità del trattamento, sarebbe opportuno che le regole fossero certe fin dall'inizio e non solo attraverso “eventuali” atti di esecuzione.
Del resto, gli obblighi di comunicazione di cui al successivo art. 31, particolarmente incisivi e dettagliati, mal si sposano con una genericità nell'individuazione delle misure di sicurezza che dimentica, ad esempio, la protezione da virus informatici e programmi distruttivi o disturbanti che, invece, era uno degli elementi fondamentali della disciplina italiana; così come non sembra prevedere il semplice blocco del sistema informatico, dovuto a un danneggiamento hardware o all'interruzione di corrente, che comunque comporta conseguenze per il trattamento e dovrebbe rientrare tra le ipotesi di prevenzione.
