Finalmente il 25 maggio è passato, siamo tutti più tranquilli? Quante email, fax, telefonate sull’argomento Protezione dei dati personali, GDPR (General data protection regulation) abbiamo fatto/ricevuto nell’ultimo mese?
Ecco, ormai sappiamo tutti come funziona anche se molti si chiedono: che succede ora per chi non ha ancora iniziato l’aggiornamento ai requisiti del GDPR? E per chi, peggio ancora, avrebbe dovuto nominare e quindi comunicare al Garante il nome del DPO (Data Protection Officer – Responsabile Protezione dei dati) entro il 25 maggio e non lo ha fatto?
Non è l’allarmismo e nemmeno il terrorismo psicologico a convincere le persone che ricoprono un ruolo di responsabilità a prendere provvedimenti consapevoli e lungimiranti. Sarà l’informazione, la formazione, la maturazione culturale che dovrà fare il suo corso.
Una precondizione per alimentare il giusto approccio ed individuare la giusta prospettiva sicuramente è la “conoscenza” di come stanno realmente le cose; fare in modo che tutti diventino consapevoli del fatto che una falla in un punto costituisca un pericolo per se e per gli altri. Non dimentichiamo che proteggere i dati equivale a proteggere le persone e che il GDPR considera il dato come un “bene economico”. I beni economici sono al servizio della persona e dunque vanno protetti. E’ vero anche, come in tutte le cose, che bisogna adottare un approccio equilibrato. Si rischia di passare da un eccesso all’altro, o si ha un atteggiamento eccessivamente prudenziale e attento nei confronti del regolamento e dei relativi adempimenti oppure si pensa di ridurre tutto ad una “compilazione guidata di carte e firme” inutili. L’insieme degli adempimenti richiesti può essere visto come una complicazione ma alla lunga è un segno di rispetto e di tutela per “la persona”. Non dobbiamo né dare ne avere una visione apocalittica ma rimanere nella realtà, analizzandola e attualizzandola.
Procediamo per ordine, analizziamo il Regolamento Europeo 679/2016 sotto tre diversi punti:
- Semplice adeguamento normativo o qualcosa di più?
- Il 25 maggio è passato, a che punto siamo, qual è lo stato?
- A questo punto, cosa dobbiamo fare nel futuro immediato?
Regolamento Europeo 2016/679: semplice adeguamento normativo o qualcosa di più?
Il processo di connessione di tutte le cose e fra cose e persone sembrerebbe preludere alla creazione di un “pianeta intelligente” ; un pianeta dove tutto è “smart” (che in estrema sintesi significa “facile, semplice, veloce”), e la “password” è il nostro stesso corpo (pensate al riconoscimento facciale e delle impronte digitali per i telefonini). Un pianeta dove tutto è a portata di mano, per chiunque, dalla massaia all’Ingegnere nucleare perché tutto è “smart” tutto è facile e tutto è (quasi) “gratis”. Un pianeta che “pensa per noi” (IoT -internet of things – letteralmente “internet delle cose”), dobbiamo solo viverci, sfruttarlo, utilizzarlo e“non pensare” è già tutto programmato e pensato. Le nostre case posso essere gestite direttamente dal nostro smarthphone e al controllo della funzionalità di tutti gli impianti ci pensa la domotica. Per il resto abbiamo il “bimby” che (quasi)i sostituisce la massaia, la mamma, la nonna, abbiamo “ambrogio” il robottino intelligente senza fili che taglia l’erba mentre ci godiamo la frescura o il sole o semplicemente ci dedichiamo alla lettura di un libro. Ecco, tutto questo rappresenta il principale canale di accesso elettivo per attacchi informatici di hacker capaci di sfruttarne la vulnerabilità. Non solo, rappresenta anche il principale canali di sorveglianza delle nostre vite e della nostra intimità. L’Apparente innoquià legata alla funzionalità ed alla comodità non deve illuderci e distrarci dalla capacità che hanno di rivelare, mediante l’uso secondario di dati raccolti, sitli di vita, capacità economiche e persino le patologie e le dipendenze di ogni persona. Provate a digitare su un motore di ricerca il nome di un qualsiasi oggetto un libro, un apparecchio da cucina, un apparecchio acustico. Dopo qualche secondo provate ad entrare nel profilo vostro social o nella vostra e-mail; vi ritroverete il prodotto che cercavate proposto in tutte le salse. Tutto questo deve essere letto con lungimiranza e senza alcuna disattenzione. Solo un atteggiamento “vigile” ci potrà consentire di minimizzare i rischi cui oggi siamo esposti, ci consentirà di non cristallizzare il futuro nel passato, leggendo sempre il primo con gli schemi del secondo, consentendoci di assumere le “correlazioni come relazioni necessarie da gestire”.
Alcuni passaggi non possono sfuggire alla nostra intelligenza perché ogni cosa non è neutrale. La “centralità culturale e sociale dell’uomo” va mantenuta anche nell’era internettiana della società digitale. Assistiamo invece ad una quasi riduzione dell’uomo a ”codice” ed alla affermazione della tecnica e della sorveglianza totale.
La tendenza del nostro tempo è l’abbandono, da parte della tecnica del suo carattere strumentale per assurgere a fine in sé, esponendo l’uomo al rischio di divenire egli stesso strumento della tecnica e non suo “dominatore”. Quindi mentre nel passato il pericolo era che gli uomini diventassero schiavi, nel futuro che uomini diventino robot. Ci sono macchine che si comportano come uomini e uomini che si comportano come macchine. Solo una settimana fa il TG riportata la notizia di un operaio licenziato motivando così: il suo lavoro verrà svolto da un robot. Per molti è un timore, per tanti è già una realtà che fa indignare. Con internet, la tecnologia da strumento si è fatta dimensione, un sistema in cui siamo così profondamente immersi da non renderci conto fino in fondo delle sue implicazioni”.
Ed ecco allora che la normativa di protezione dei dati, rappresenta un fondamentale presidio di garanzia tanto in termini di diritti esercitabili dall’utente quanto in termini di complessiva responsabilizzazione dei titolari a vario titolo coinvolti nella filiera in cui si snodano questi dati. Dovrebbe servire a minimizzare il rischio inaccettabile sul piano culturale di pagare il tributo per la fruizione dei vantaggi.
Quando il soggetto di diritto rischia di diventare mero oggetto di calcoli predittivi e tecniche manipolative il diritto alla protezione dei dati rappresenta una straordinaria risorsa per mantenere la persona nella sua libertà e responsabilità al centro della società…digitale.
E’ un passaggio storico e non un semplice adeguamento normativo. Si tratta davvero di ristabilire le priorità e la centralità dell’uomo.
Tutto questo dovrebbe indurci ad un supplemento di riflessione. Riflessione che ha spinto la
Conferenza Episcopale Italiana nella 71ª Assemblea Generale svoltasi a Roma dal 21 al 24 maggio ultimo scorso ad approvare un aggiornamento del Decreto Generale “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza”, risalente al 1999 finalizzato a “garantire che il trattamento dei dati diretto ai fedeli, agli enti ecclesiastici, alle aggregazioni ecclesiali, nonché alle persone che entrano in contatto con i medesimi soggetti, sia svolto nel pieno rispetto della persona alla buona fama e alla riservatezza riconosciuta dal can. 220 del codice di diritto canonico (CIC) e dal can. 23 del codice dei canoni delle Chiese orientali (CCEO)”. Il passaggio era necessario, si legge sul sito ufficiale della Chiesa Cattolica (www.chiesacattolica.it) “per rendere tale testo conforme – nel rispetto dell’autonomia della Chiesa e della peculiare natura dei suoi enti e delle sue attività – al Regolamento dell’Unione europea in materia di protezione dei dati personali, che dal 25 maggio 2018 è applicato in tutti i Paesi membri”. E’ evidente che, l’esigenza di proteggere sempre più il diritto alla riservatezza rispetto ad ogni forma di acquisizione, conservazione e utilizzazione dei dati personali è avvertita con sensibilità sempre crescente sia dalle persone che dalle istituzioni.
Il 25 maggio è passato, a che punto siamo, qual è lo stato?
Facciamo ora il punto sula Legislazione Comunitaria: dalla Direttiva (CE) 95/46 al Regolamento (EU) 201/679.
- Regolamento (EU) 2016/679 del Parlamento Europeo e del Consiglio dell’Unione del 27/4/2016 (sulla Protezione delle persone fisiche con riguardo al trattamento dei dati personali, denominato Regolamento Generale sulla Protezione dei Dati o GDPR) ha portata generale ed è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri e quindi anche in Italia in vigore dal 25 maggio 2018.
Dal 25 maggio 2018 la fonte del REGOLAMENTO (EU) 2016/679 prevale sulla legislazione nazionale (D. Lgs. 196/03), emerge dunque la necessità di un coordinamento tra le norme applicabili.
Rispetto al “coordinamento” interviene l’art. 13 L. 25/10/2017 n. 163, legge che ha delegato il Governo ad adottare uno o più decreti legislativi per:
- Abrogare espressamente le disposizioni del Codice (D. Lgs. 196/03) incompatibili con il Regolamento (UE) 2016/679
- Coordinare le disposizioni vigenti con il Regolamento (UE) 2016/679
- Prevedere specifici provvedimenti attuativi/integrativi da adottare dal Garante per la protezione dei dati personali (Garante Privacy)
- Adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679
La normativa di coordinamento ad oggi è in itinere (conosciamo tutti la situazione parlamentare) e la situazione attuale è la seguente: lo Schema di Decreto Legislativo è stato approvato in via preliminare dal Consiglio dei Ministri il 21 marzo 2018.
Prima dell’approvazione definitiva è necessario:
- – Parere del Consiglio di Stato
- – Parere delle Commissioni parlamentari
- – Parere del Garante per la protezione dei dati personali
L’unica certezza dunque è che il 25 maggio 2018 è la data che segna la piena ed effettiva entrata in vigore del Regolamento Europeo 2016/679.
E allora chi ha fatto nulla o poco, cosa deve fare nel futuro immediato?
Diciamo subito questo: l’errore è già stato fatto, ma lo sappiamo, siamo abituati a ragionare per “emergenze” e fino a quando non arriviamo sotto scadenza, rimandiamo sempre.
I due anni di tempo per adeguarsi al GDPR (il regolamento è stato approvato il 27/4/2016) sono trascorsi e la mancanza di un quadro completo nazionale non autorizza gli enti, le aziende e le organizzazioni in generale a fare nulla… La situazione oggettiva ci suggerisce di muoverci per avvicinarci quanto più possibile alla conformità che ci richiede il Regolamento 2016/679 con la consapevolezza che potrebbe esserci la necessità di apportare modifiche e aggiustamenti nei modelli organizzativi che comunque dovranno essere mutevoli e improntati al miglioramento continuo.
Il consiglio è il seguente:
- Calma e sangue freddo. Muoversi ora con ansia e fretta non aiuta nessuno: né chi si è mosso in ritardo, né il consulente che si trova a gestire un volume di lavoro importante in una situazione mutevole e in divenire;
- Non aspettiamo più! Il GDPR c’è ed esiste e bisogna cominciare a muoversi quantomeno porsi il problema. Trovate dunque tempo, modo e risorse (umane e materiali quindi anche economiche) per capire quali siano i passi da fare nel prossimo immediato futuro per arrivare all’adeguamento.
- Progettiamo il sistema. Entriamo nell’ottica che la protezione dei dati dal 25 maggio dovrà essere vista come un SISTEMA, un modello organizzativo che deve vivere all’interno dell’organizzazione (non in qualche armadietto chiuso a chiave in qualche stanza anonima) e che dovrà crescere nel tempo. Non possiamo più aspettarci di dedicare un’ora o un giorno all’anno al sistema di gestione della protezione dei dati per poi archiviare documenti e procedure fino all’anno successivo.
Certo risulta piuttosto complesso pensare che gli enti e le organizzazioni possano, oggi, essere conformi totalmente quando ancora molte cose sono in corso di definizioni.
Sicuramente il 25 maggio è la data di partenza più che una data di arrivo.
Fra le domande più ricorrenti delle ultime settimane:
- la mia, la mia congregazione, il mio Istituto, la mia organizzazione l’Ente giuridico che rappresento deve o no nominare un DPO?
- Come si declina il concetto di larga scala?
Non è semplice rispondere perché ogni caso va valutato nella sua interezza, possiamo fare alcune riflessioni, senza entrare nel merito tecnico, che hanno solo valenza generale:
Nomina ed incarico DPO: Nei casi previsti per la nomina del DPO (art. 37 reg. eu. 2016/679) è consigliabile affidare l’incarico ad una persona (avente i titoli richiesti) per tutto l’ente religioso e/o gruppo ecclesiale, indipendentemente dalle attività svolte e dalla loro collocazione geografica;
designazione congiunta DPO: E’ ammessa la designazione congiunta anche per gli stessi ambiti di uno stesso DPO da parte di più soggetti a condizione che quest’ultimo sia facilmente raggiungibile da ciascuno;
Scuole e Strutture Socio-Assistenziali: I gestori di Scuole e strutture socio-assistenziali in particolare case di riposo sono invitati a riflettere e valutare attentamente la necessità o meno di nominare DPO. In questi casi si ritiene fortemente consigliata;
casa per ferie: le notifiche alla questura per gli alloggiati sono previste dalla vigente normativa dunque non si rende necessario la richiesta di consenso al trattamento dei dati.
È fortemente raccomandata la valutazione di soluzione alternative alla copia del documento d’identità dell’ospite, al fine di rispettare il principio di minimizzazione enunciato dal regolamento europeo, utilizzando ad esempio una scheda anagrafica per la raccolta delle informazioni necessarie alla notifica e la sola visione dei documenti, non la copia, dell’ospite solo ai fini del riconoscimento o semplicemente eseguendo l’operazione di notifica con restituzione del documento all’ospite
- appalti esterni (servizi infermieristici-ristorazione): prestare massima attenzione nella individuazione delle responsabilità rispetto ai dati che vengono gestiti delle ditte in appalto (es. cartelle sanitari, allergie etc);
- pubblicazioni Postulatorie: valutare con attenzione le modalità di invio e spedizione delle pubblicazioni in quanto identificative del credo religioso del destinatario. Evitare che si possa risalire alla natura del mittente. Diversa è l’attività di volantinaggio in quanto rivolta ad un pubblico indiscriminato;
registro del trattamento: è fortemente consigliato, indipendentemente da quanto stabilito dal Regolamento, per tutte le attività. La tenuta del registro del trattamento è considerata indice di corretto trattamento dei dati; - dati personali dei religiosi e consacrati: gli enti ecclesiastici, gli istituti di vita consacrata sono tenuti ad osservare quanto disposto del regolamento In quanto “enti” sono tenuti a garantire la protezione dei dati, la conservazione, la custodia;
- conservazione dei dati: è opportuno che i dati possono essere conservati in una forma che ne consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Possono essere conservati per più periodi a condizione che siano trattati esclusivamente a fini di archiviazione per interessi specifici e particolari (es. pubblico interesse, fini stastistici).
- Cosa si intende per “attività principale”: sono le operazioni essenziali necessarie al raggiungimento degli obiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento, comprese quelle attività per le quali il trattamento dei dati è inscindibilemtne connesso.
Ma la domanda che più ha tolto il sonno ai legali rappresentanti. In cosa incorre chi doveva nominare il DPO entro il 25 maggio e non lo ha fatto?
In teoria la mancata nomina nei termini è sanzionabili, in pratica non sappiamo cosa farà il Garante, nel dubbio meglio nominarli anche se in ritardo.
Sicuramente il GDPR è uno strumento “flessibile” ma allo stesso tempo complesso, e se da una parte le nuove regole caricano di maggiore responsabilità il titolare del trattamento dall’altra richiedono competenze elevate a professionisti con qualità umani e personali, riconosciute. E’ pur vero che la “flessibilità” del Regolamento rappresenta il suo pregio, ovvero quello di potersi adattare facilmente alle evoluzione gestionali. E’ sicuramente un valore da apprezzare perché consente alle norme di essere sostenibili per le imprese.
Certamente la volontà del legislatore è la protezione delle persone fisiche; i commenti le preoccupazioni, le ansie sono spesso segnati più dallo sforzo di adeguarsi agli adempimenti richiesti che dalla soddisfazione di poter partecipare ad una battaglia di civiltà a favore della liberà dei cittadini e contro il controllo capillare che le tecnologie digitali rendono possibile sulle nostre vite.
Dott. Massimo SCARPETTA