È finalmente online il Modulo per la comunicazione dei dati di contatto del DPO/RPD (Data Protection Officer – Responsabile Protezione Dati) all’Autorità Garante della Privacy in Italia.
Lo avevamo aspettato per mesi e negli ultimi giorni ho più volte detto ai miei clienti che, non essendoci ancora, dovevamo pazientare un poco, ma ora è qui, lo possiamo iniziare ad usare o possiamo prepararci di corsa per iniziare ad usarlo.
Ci sono le istruzioni ma in effetti è una operazione molto semplice.
Per compilarlo servono tutte le informazioni del titolare dei trattamenti, la sua esatta denominazione, il codice fiscale (se ne ha uno), la sede legale, un numero di telefono (è obbligatorio), un indirizzo fisico e un indirizzo PEC.
Servono anche tutte le informazioni del Responsabile cognome, il suo nome (come fossimo al servizio militare) il suo numero di telefono/cellulare un suo indirizzo di posta elettronica, e un indirizzo PEC.
Ma servono anche informazioni relative al soggetto che fa la comunicazione e la compila (e la dovrà firmare), cognome e nome (sempre come fossimo al servizio militare), e un indirizzo di posta elettronica. Questa persona dovrà anche firmare digitalmente un documento (quindi deve essere dotata, personalmente, di firma digitale).
Serve anche sapere dove e come si è resa nota l’esistenza del DPO/RPD, usando i “dati di contatto” pubblicati sul sito Internet o indicando dove sono stati indicati.
Bisognerà valutare se il gruppo ha pensato e valutato di designare un RPD/DPO di gruppo, in quel caso bisognerà indicare gli estremi della società controllante (se non è il soggetto per cui si sta facendo la comunicazione) anche indicando gli estremi della comunicazione (se in Italia) o verso quale Autorità di controllo straniera è stata fatta la comunicazione.
Il modulo dati non può compilarlo, apparentemente, per sé, il DPO – RPD. Anche se questa è una mera deduzione personale che potrebbe essere sbagliata, poichè niente vieta che il Responsabile per la Protezione Dati inserisca due volte il proprio nome: come persona che effettua la comunicazione su delega del titolare dei trattamenti.
Tuttavia le istruzioni e la modulistica non accennano nemmeno incidentalmente a questa ipotesi; questo ha quindi provocato la deduzione che il soggetto che effettua la dichiarazione non possa essere il DPO/RPD delegato dal titolare, ma, hai visto mai…
Semplice: si compila online il modulo in ogni parte con i dati necessari dell’RPD, si compila anche il “Codice di sicurezza” e si “Invia“, ricevendo a questo punto un messaggio di posta elettronica con un file allegato che dovrà essere firmato (e l’Autorità raccomanda di firmarlo persino senza aprirlo, già…).
Il file firmato con estensione .p7m deve a questo punto essere inviato e il soggetto che effettua la comunicazione riceverà un ID provvisorio di comunicazione.
L’Autorità effettuerà i controlli formali, verificherà tra l’altro che il file inviato e il file firmato siano identici (per questo raccomanda persino di non aprirlo).
Se l’Autorità verificherà che formalmente non ci sono vizi, accoglierà la comunicazione e di conseguenza:
Il numero di protocollo sarà quello che tutti dovranno indicare per le future comunicazioni con l’Autorità.
Finalmente è arrivata! È qui, la possiamo usare e la possiamo segnalare, è stato importante ed è certamente una procedura fatta in modo abbastanza snello. Tuttavia alcune cose fanno storcere un poco il naso, non tanto il fatto che nel modulo si indichi prima il cognome e solo dopo il nome (è poco elegante, ma è una quisquilia), penso invece l’uso della firma digitale con riferimento ad uno standard normativo nazionale, e all’uso della PEC come strumento di comunicazione.
Se da un lato è comprensibile la scelta di adottare lo strumento della firma digitale che velocizza le operazioni e che è uno strumento riconosciuto in ambito europeo, invece non è apprezzabile la scelta di rendere obbligatorio l’uso di una PEC.
La PEC è uno strumento limitato, non riconosciuto fuori dall’Italia e quindi è – secondo me – sconsigliabile adottarlo in un contesto internazionale, e, almeno, comunitario. Personalmente ero sempre riuscito a non adottarlo ma a questo punto obtorto collo saremo costretti a farne uso.
Da ultimo, invece che mettere un link dell’AgID che non indica l’elenco dei certificatori, potevano direttamente mettere quello che li indica in ordine alfabetico: Prestatori Attivi.
Da ultimo, mi sono messo a rileggere l’informativa per questa comunicazione adottata dal Garante, e ironicamente mi chiedo se non si poteva fare uno sforzo maggiore per adottare un linguaggio chiaro, adottando l’indicazione della Autorità stessa che raccomandava termini semplici usando, persino, l’italiano colloquiale.
Sono state sollevate alcune voci, un poco di confusione e qualche discussione, verso la fine della scorsa settimana a partire dal 19 aprile. Tutto è nato attorno al commento ad un provvedimento dell’Autorità Garante del 22 febbraio scorso, reso noto di recente sul sito dell’Autorità.
Su Agenzia Digitale, Gabriele Faggioli ha scritto che l’Autorità Garante ha rimandato di sei mesi controlli e sanzioni relativamente al Regolamento che entrerà pienamente in vigore dal 25 maggio 2018.
A seguito di questo articolo l’Autorità Garante ha scritto un comunicato nel quale ha dichiarato non veritiera la notizia riportata da Agenzia Digitale e Luigi Garofalo, su Key4biz, ha ripreso il comunicato bollando la notizia come una fake news.
Il giorno stesso l’autore è tornato sul tema precisando perché la notizia fornita era non scorretta (o almeno non così scorretta).
Trovo esagerato e impreciso sostenere che l’articolo di Gabriele Faggioli sia una notizia falsa, e trovo persino esagerata la smentita dell’Autorità Garante al punto da rendere sibillino il provvedimento citato che rimane, al momento, comunque sospeso nella sua efficacia.
Il cuore della querelle è quindi il provvedimento del 22 febbraio, che è a tutti gli effetti un’introduzione molto cauta e prudente, al Regolamento Europeo prossimo e venturo. In esso vengono semplicemente introdotti e anticipati i temi di cui inevitabilmente tratteranno nei prossimi mesi (e anni) l’attività delle Autorità di controllo Europee.
Si parla di:
Rispetto alle Linee Guida del WP29, nessuna significativa novità da segnalare. Rispetto agli obblighi di sorveglianza già individuati dal Regolamento nessun principio originale da registrare e sul legittimo interesse come analizzato dall’Autorità, solo timidi accenni a possibili interpretazioni future.
In ogni caso le novità sono effettivamente sospese, tutto il provvedimento è sospeso: nero su bianco questo è quanto riporta il provvedimento (le annotazioni in rosso sono mie):
Quindi:
In conclusione è sempre più urgente che venga esercitata la delega da parte del Governo Italiano. Ma, a questo punto entriamo nel delicato gioco di equilibri politici e ogni considerazione tecnica diventa inutile.
Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali (ormai noto con l’acronimo GDPR), da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).
Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:
Articolo 84 – Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del GDPR, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:
Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.
In concreto (ma in maniera non esaustiva) questo vuol dire che:
Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.
Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.
L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il GDPR ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.
Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.
Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.
È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.