Sito del Ministero della Giustizia. Durante la procedura di prenotazione di un certificato giudiziario (ad esempio, quello sui carichi pendenti, il documento che evidenzia se una persona ha processi penali in corso) all’improvviso spunta lei: l’informativa privacy aggiornata alla L. 196/2003.

Ad oggi, purtroppo, il livello di attenzione sulla privacy, in diverse istituzioni pubbliche (e non solo) è piuttosto basso. Frequentemente ci si imbatte in portali di enti pubblici con informative “aggiornate” all’art. 13 della 196/2003[1] (che, come sappiamo, è stato abrogato e sostituito dall’art. 13 del Regolamento (UE) 679/2016) senza alcun accenno alla più recente normativa Europea. Non a caso, ad un anno dalla piena applicabilità del GDPR, gli esperti si domandano quale sia il reale livello di adeguamento nazionale, sia in ambito pubblico, che privato.

È opportuno richiamare l’attenzione sul principio cardine del Regolamento, ossia quello di accountability (responsabilizzazione): colui che deve adottare e rispettare le regole privacy è chiamato a conoscere in primis la realtà in cui opera, gli strumenti di cui è dotato, il personale che ha a disposizione ed i contenuti della propria attività. Solo attraverso questa indagine interna, propedeutica per la conoscenza della propria struttura ci si può realmente rendere conto dello stato in cui si versa.

Il titolare del trattamento deve perciò poter dimostrare non solo di essersi attenuto alle regole del GDPR, ma, addirittura, di aver posto in essere tutta una serie di attività (che egli stesso dovrà essere in grado di giustificare) dalle quali sarà facilmente deducibile la soglia di attenzione del soggetto rispetto alla privacy;

Uno dei tanti esempi di arretratezza nell’adeguamento normativo è proprio il caso del portale del Ministero della Giustizia, accennato in precedenza. Per la richiesta online di visure e certificati giudiziari è presente un’informativa privacy che riporta quale riferimento la L. 196/2003.

In sostanza, chi prenota tramite il sito un certificato giudiziario, come, per esempio, quello sui carichi pendenti, affida i suoi dati a un portale che non risulta conforme ai dettami previsti dal GDPR. Le falle presenti nell’informativa del casellario sono poi numerose: è ancora presente l’art. 7 della L.196/2003 riferito ai diritti degli interessati (ormai abrogato e sostituto dagli art. 15- 22 del GDPR). Lo stesso vale per le misure minime di sicurezza contenute nell’Allegato B del Codice privacy (allegato ormai abrogato) sostituite dalle misure di sicurezza adeguate al rischio presenti all’art. 32 del GDPR.

Insomma, un livello di adeguamento generale abbastanza critico, non solo in ambito pubblico, ma anche in quello privato. Secondo una recente indagine solo un quarto delle aziende italiane risulta pienamente rispondente ai requisiti imposti dal GDPR. La restante porzione risulta invece divisa tra imprese agli inizi del percorso di adeguamento e realtà ancora lontane da questa fase.

È dunque fondamentale che gli enti (pubblici o privati che siano) raggiungano un adeguato livello di consapevolezza della propria realtà interna, soprattutto in previsione dell’apparato sanzionatorio previsto dal GDPR, adottando le soluzioni e gli strumenti previsti in materia. Ad esempio, il Regolamento 679/2016 (art. 37) prevede poi l’obbligo per le autorità pubbliche e gli organismi di diritto pubblico di nominare un DPO – Data Protection Officer (in italiano, RPD o responsabile della protezione dei dati personali), o ancora ai sensi dell’art. 30 è prevista (per tutti i Titolari e i Responsabili del trattamento) la tenuta di un registro delle attività di trattamento che non è altro che una “fotografia” delle attività attuate dall’ente.

Non resta che augurarci un rapido passo in avanti in tal senso da parte degli enti in modo da raggiungere un adeguato livello di compliance alla normativa europea.

 

---

[1] È utile ricordare che il Codice Privacy non è stato abrogato, ma è stato oggetto di modifiche da parte del D.Lgs 101/2018 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679…(..)”