Il 25 maggio il GDPR darà il “mortal sospiro” all’abitudine delle aziende di delegare al fornitore di servizi tutte le problematiche relative ai dati.
Secondo il Regolamento europeo sul trattamento dei dati personali, infatti, l’azienda come Titolare del trattamento dei dati personali ne risponde sempre e comunque.
Titolare e Responsabile sono considerati complici a eguale titolo.
Cosa deve fare quindi il Titolare del Trattamento (assistito dal Responsabile del trattamento)?
Prima di tutto deve censire i dati personali (attenzione: la norma non prende in considerazione i dati relativi a persone giuridiche) di cui dispone: quando e come li ha ottenuti, per quali ragione li ha chiesti, a quale trattamento sono stati o saranno soggetti, chi opererà questo trattamento, se e come saranno condivisi.
Giudice di me stesso
Un “Ei fu” si impone anche per l’abitudine italiana di giocare a rimpiattino con l’Autorità. Il GDPR infatti assegna al Titolare il compito di chiedersi se ha il diritto di acquisire e trattare questi dati, bilanciando i suoi diritti (e fare business è un diritto come altri) con i diritti della persona alla quale appartengono i dati (l’interessato secondo il gergo del Regolamento europeo 2016/679).
Nel bilanciamento occorre considerare da una parte i rischi che l’interessato corre (per esempio se i suoi dati venissero divulgati) dall’altra le misure di sicurezza prese per prevenire questi rischi. Nel caso del GDPR non c’è un elenco di cose da fare o proibite. Ci sono dei criteri da seguire “e tu Azienda sei abbastanza grande da giudicare se sei nel tuo diritto o meno” dice in pratica il GDPR a ogni organizzazione, piccola o piccolissima che sia.
Il consenso può non esserci
È questo bilanciamento, e non il consenso come spesso si sente dire, il cuore del GDPR. Certo, dal 25 maggio in poi i consensi andranno redatti secondo certe formule (saranno praticamente da rifare tutti i moduli presenti su carta e su web) e dovranno essere arricchiti di molte informazioni scritte in modo chiaro.
Anche sui cookie occorrerà lavorare. Ma non è detto che i dati raccolti in precedenza debbano essere cancellati o utilizzati solo dopo aver richiesto un esplicito consenso agli interessati. La regola del pollice al riguardo è “l’interessato sarebbe sorpreso di sapere che il Titolare possiede e tratta questo o quel dato personale?“.
Se la risposta è no: per esempio perché il dato rilasciato era funzionale all’esecuzione del servizio richiesto, allora non c’è nessun problema il consenso è soft vale a dire implicito. Al massimo si avvertirà l’interessato che l’organizzazione dispone dei tali dati e intende utilizzarli in un certo modo per certe ragioni.
Contratti dettagliati
Una volta definiti i flussi dei dati personali, il diritto di utilizzarli e aggiornati i consensi, Titolari e Responsabili dovranno definire i loro rapporti sulla base di contratti molto dettagliati.
Il contratto è l’unico documento che permette davvero al Titolare di ridurre le sue responsabilità nel trattamento dati.
Nel libro che Alberto Pattono ha autoprodotto sull’argomento, “GDPR, lo stretto indispensabile per le Pmi“, e che è disponibile su Amazon, è proposto un contratto tipo che occupa diverse pagine.
Il contratto discende dal registro dei dati e spiega semplicemente chi fa cosa, perché, come e quando. Il contratto potrà indicare nel dettaglio le misure di minimizzazione del rischio previste.
Ad esempio pseudonomizzazione, cancellazione dei dati inutili, date di scadenza automatiche dei dati e backup.
Anche l’importante e complesso capitolo della distribuzione di dati su cloud andrà ben chiarito in sede di contratto, così come andranno definiti gli accordi che prevedono la condivisione delle informazioni con terzi.
DPIA e formazione
Il 25 maggio il GDPR non impone ai Titolari di stendere una DPIA (una valutazione di impatto relativa a un singolo trattamento o a più trattamenti).
Circola l’idea che la DPIA possa essere redatta solo da un consulente esperto, un DPO. Non è sempre vero. Anzi per una piccola impresa il modo migliore per dimostrare l’adesione al GDPR è proprio redigere una mini-DPIA, vale a dire un documento a uso interno che elenca nel dettaglio i flussi dei dati, le lavorazioni a cui sono soggetti, gli utilizzi che ne sono stati fatti o se ne intende fare, i rischi per la privacy dell’interessato e le misure messe in atto per minimizzarli, magari aggiungendo la modulistica relativa a ogni interazione con persone fisiche.
Questo documento, anche se magari riempie decine di pagine, si stende facilmente, quasi discende in modo naturale, dalla documentazione precedente.
Un documento di questo tipo poi è indispensabile per effettuare la formazione del personale che a qualunque titolo interviene nel trattamento dati. Insomma il segreto della adesione al GDPR è descrivere, descrivere, descrivere.
