Il GDPR è sempre più vicino … responsabilizziamoci!

Il Regolamento 679/2016 entrerà in piena applicazione, come ormai ben noto, il prossimo 25 maggio. Dall’analisi delle norme contenute nel GDPR è facilmente deducibile, rispetto alla normativa attualmente vigente, una maggiore flessibilità posto che, nel raffronto con le precedenti disposizioni, emerge che quelle nuove sono state emanate con una filosofia assolutamente diversa, volta non soltanto a disciplinare espressamente quanto oggi debba essere oggetto di tutela privacy ma anche e soprattutto le ulteriori novità che in tale campo potranno essere introdotte e che proprio in virtù di tale maggiore flessibilità avranno modo di trovare idonea disciplina pur in presenza di impianto normativo costruito in un periodo precedente.

L’attenta e approfondita lettura del GDPR consente, altresì, di affermare che, rispetto al pregresso, coloro che dovranno confrontarsi con l’applicazione delle norme riscontreranno di dover assolvere a meno adempimenti formali e non potranno non applicare il principio cardine sul quale si fonda il regolamento 679/2016: quello della responsabilizzazione, tecnicamente definito “accountability”.

La filosofia della responsabilizzazione vuole e richiede che colui che deve adottare e rispettare le regole privacy, debba conoscere la realtà in cui opera, gli strumenti di cui è dotato, il personale che ha a disposizione ed i contenuti della propria attività così come si presume conosca la propria persona; tale percorso di apprendimento non potrà prescindere dall’adozione del registro dei trattamenti.

Non potrà più giustificarsi il volere o dovere delegare ad altri competenze che sono proprie a causa della mancata conoscenza della realtà tecnica e organizzativa di ciò che circonda colui al quale le norme del GDPR sono riferite; responsabilizzarsi significa anche acquisire nuove conoscenze, attraverso le quali porre in essere tutta una serie di attività che, una volta attuate, potranno quanto meno abbattere, se non eliminare del tutto in quel determinato settore, il verificarsi di quelle situazioni critiche e di pericolo che il regolamento vuole evitare che accadono.

Non a caso è stata istituita la figura del DPO che, tra le sue funzioni, ha anche quella di informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonchè ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR e verificare che la normativa e le policy interne ed i suggerimenti dati e prescritti, vengano in effetti rispettati.

Una vera e concreta responsabilizzazione non potrà riguardare solo il titolare o il responsabile del trattamento, posto che la stessa, come principio, come filosofia, dovrà essere partecipata e dovrà coinvolgere in maniera fattiva tutte le risorse umane presenti nella struttura, anche e soprattutto attraverso la formazione, che dovrà avere quale obiettivo primario anche e soprattutto quello di allertare, tanto le figure apicali, quanto tutte le altre dall’astenersi dal porre in essere comportamenti pericolosi tali da compromettere la tutela e la protezione dei dati.

Solo ove comprenda e si adegui al principio della responsabilizzazione potrà, ove necessario, assolvere all’onere di provare l’avvenuto adeguamento al GDPR, così come disposto e richiesto dall’articolo 5, paragrafo 2, del Regolamento 679/2016: “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”.

E’ possibile altresì affermare che il principio dell’accountability venga rispettato in ogni situazione nella quale il titolare del trattamento possa dimostrare non solo di essersi attenuto alle regole del GDPR ma che, addirittura, sia andato oltre, ponendo in essere tutta una serie di attività dalle quali sarà facilmente deducibile la soglia di attenzione del soggetto rispetto alla privacy; non a caso il Garante italiano ha più volte affermato che accountability significa, volendo fare un pratico esempio, dotarsi del registro dei trattamenti o della figura del DPO in tutte quelle ipotesi nelle quali il titolare o il responsabile del trattamento potrebbero farne a meno. Andare oltre il richiesto è, quindi, sinonimo di massima responsabilizzazione.

Proprio nel corso di una intervista rilasciata a IUSLAW WEBRADIO, è stato il Garante Europeo, dott. Giovanni Buttarelli, ad invitare i destinatari del GDPR, ad affrontare con serenità l’entrata in vigore del GDPR precisando che “… il 25 maggio non è una data entro la quale tutto deve essere a posto e poi è finito, ma è una data di partenza di un lungo percorso che comporterà innanzitutto conoscere la propria organizzazione, valutare i rischi, attuare nel tempo i principi del cosiddetto “privacy by design e privacy by default” e quindi congegnare i propri sistemi informativi in maniera tale da minimizzare i rischi ma, al tempo stesso, nel fare consulenza, nel fare attività stragiudiziale o contenziosa, bisogna conoscerla molto meglio di prima questa disciplina perché ci sono delle novità … che prevalgono su qualunque norma contrastante anche non necessariamente di protezione dei dati…”.

Il dott. Buttarelli ha anche, nel concreto, dato indicazioni, suggerendo il criterio per individuare quando una figura deve considerarsi titolare autonomo del trattamento o responsabile del trattamento come ad esempio “nel rapporto tra l’avvocato ed il commercialista che tiene la sua contabilità”. Abbiamo l’esigenza di individuare, in maniera corrispondente alla realtà dei fatti, quando è possibile chiamarsi A e quando è invece possibile chiamarsi B: il titolare del trattamento, nello spirito del GDPR, deve quindi essere identificato come colui che prende le decisioni di fondo ossia colui che fa le grandi scelte sugli scopi, le finalità, i mezzi e magari anche sulla sicurezza. L’esperienza ha anche dimostrato, prosegue il dott. Buttarelli, che possono esserci dei contitolari del trattamento quando solidalmente o per aree separate, si hanno delle responsabilità precise. Con la nuova normativa però, questo problema, secondo il Garante Europeo, è meno ossessivo in quanto il responsabile del trattamento, pur avendo una certa autonomia decisionale, non è sicuramente colui che fa le grandi scelte; bisogna quindi comprendere che cosa fa la persona che noi individuiamo come A o come B, motivo per cui, se affidiamo le nostre fatture al commercialista per farci le denunce dei redditi o la fatturazione, non risulta possibile designarlo come responsabile del trattamento in quanto nulla si saprebbe del modo in cui svolge l’attività e ancora meno di ciò che farà nel suo studio, di come si regolerà con i suoi colleghi e di come gestirà le informazioni, per cui sarà autonomo titolare del trattamento posto che saranno tutte attività gestionali che un soggetto esplicherà nel mio interesse, ma non necessariamente sotto la mia giurisdizione, perchè io non avrei nessuna autorità e possibilità di sapere cosa fa, nel quotidiano, con i miei dati, ma so soltanto come dovrà utilizzarli per gli scopi per cui a lui li ho affidati.

“La funzione strumentale di un commercialista rispetto all’avvocato, non autorizza, per questo fatto, di designarlo come responsabile del trattamento e quindi sarà autonomo titolare del trattamento. Ciò si verifica nella prevalenza dei casi, a meno che non vi sia una attività “molto condivisa”, come ad esempio nei rapporti tra investigatori privati e avvocati. Possono esserci diverse soluzioni: potrei commissionare un qualche cosa ad uno studio di investigazione esterno -di cui non conosco il modus operandi- oppure potrei inserire un investigatore privato nel mio studio, il quale agisce sotto la mia diretta autorità, seguendo istruzioni nel quotidiano: il che cambia le cose, facendolo qualificare come incaricato del trattamento. Bisogna guardare, conclude il dott. Buttarelli, a ciò che è in concreto senza usare le prassi del passato perché possono fuorviarci”.

Credo che su tali ultime precisazioni del dott. Buttarelli, si aprirà un bel dibattito che coinvolgerà gli studiosi e gli esperti della materia.