Gentilissima Redazione della DPO Anonimi,

grazie di vero cuore, innanzitutto, per il servizio di supporto psicologico che ci fornirete regolarmente nel 2020 – e, per di più, gratuitamente – su queste preziose pagine del Legal Tech Club.

Sino a ieri eravamo soli. Soli contro i Titolari, che ci vessano e, soprattutto, che ci hanno scambiati per dei consulenti privacy. Soli contro il Garante, che vuol parlare sempre con noi, e unicamente con noi, anche al cellulare. Soli contro gli Interessati, che ci vedono come la loro ultima salvezza e che vogliono far causa ai Titolari. E con la nostra giacchetta che viene tirata, ogni giorno, in tre direzioni chiaramente in conflitto tra loro, siamo sovente presi dallo sconforto. Ma ora, tutti insieme e uniti, ce la possiamo fare. Anche grazie a Voi.

Mi chiamo Mario. Sono un DPO. Da 18 mesi.

Dopo aver giurato ritualmente sul registro dei trattamenti, come prescritto nei lavori preparatori all'Articolo 30, ho avuto l'onore di essere stato designato DPO dell’ultima videoteca rimasta aperta in tutta la zona geografica del Sud d’Italia: la "Video Mare" di Trani in via Napoli al 7/A. La gestiamo io e mia moglie, congiuntamente alla curatela, a dire il vero, di una piccola azienda agricola in Basilicata. La nostra attività è resistita ai colpi delle crisi di mercato, all’avvento del web, di Netflix e (soprattutto) di YouPorn e al crollo del prezzo dei cetrioli (nella videoteca vendiamo anche i prodotti della nostra azienda, soprattutto cetrioli, zucchine, carote e broccoli: ci siamo costruiti la fama di Blockbuster vegano a Km. 0).

Nei mesi scorsi, su suggerimento (a dir poco geniale) del mio commercialista e del mio consulente del lavoro, ho trasferito gratuitamente l’intero pacchetto delle quote della mia proprietà a mia moglie per poter svolgere liberamente, e senza costrizioni, il ruolo di DPO.

Fare il DPO era il mio sogno fin da bambino. I miei amici ammiravano il draghetto Grisù alla televisione, e volevano fare i pompieri. Io guardavo il Tenente Colombo, e volevo fare il Data Protection Officer. Quando giocavamo a nascondino, ero io quello che verificava la corretta anonimizzazione dei miei amici celati dietro agli angoli e, allo stesso tempo, controllavo l’eventuale presenza di telecamere.

Il mio commercialista e il mio consulente del lavoro, messi al corrente del mio sogno, mi hanno convinto, per evitare conflitti di interesse e garantire la mia assoluta indipendenza, a vendere a mia moglie tutte le mie proprietà. E io mi sono fidato. Li ho incontrati al pub la sera proprio dopo il rogito, che brindavano, e li ho sentiti urlare, tra i fumi dell’alcool, “a noi ci hanno costretto a fare i responsabili esterni, mo’ lui si becca questo”, e facevano anche il gesto dell’ombrello, ma non ho capito se si riferissero a me. E per motivi di privacy, non ho voluto approfondire.

Veniamo al punto per cui vi ho scritto. La videoteca gestisce un database di circa settemila clienti, e il Titolare ha ideato, il mese scorso, un evoluto sistema di carte fedeltà e di notifica via SMS in tempo reale di disponibilità del video prenotato. Ma soltanto per i film hard.

Vorrei sapere se sto implementando correttamente il GDPR, anche perché non riesco più ad avere un dialogo con il mio Titolare (mia moglie) da quando è diventata unica proprietaria. Mi ha cambiato le serrature di casa, e sono dovuto andare ad abitare al Motel "Il Granchio". Mia moglie mi ha anche nominato responsabile esterno, e mi ha detto che da responsabile esterno non posso entrare più in casa (devo rimanere esterno, appunto!), ma vorrei evitare di dilungarmi con questioni personali (sul punto manderò una seconda lettera a Donna Moderna) e vorrei condividere con voi, subitamente, i miei dubbi su sei punti.

1. Ho separato accuratamente i video hard da quelli che non sono vietati ai minori. Purtroppo, però, quelli che non sono vietati ai minori presenti in videoteca sono solo una quindicina (la saga di Harry Potter, Cristo si è fermato a Eboli,  tre vecchi film con Al Bano, tutti i Rambo e i Rocky, qualche film di indiani e la produzione pre-Maradona di Nino D’Angelo), mentre quelli hard sono circa undicimila (in passato abbiamo adottato una precisa politica commerciale dopo aver analizzato le esigenze del territorio, e il territorio ha assai apprezzato). Ora, ho fatto esporre tutti i video hard in un hangar adiacente che condividiamo con la parrocchia locale (in cambio, i parrocchiani hanno avuto una tessera VIP All Access Lifetime Platinum plastificata) e con un piccolo club amatoriale di volo da turismo (in cambio, i piloti possono girare alcune scene sopra i 5.000 metri).  I nostri clienti, quando si recano nell’hangar per scegliere un video, sono purtroppo visibili dagli altri numerosi avventori, anche se all’ingresso ho apprestato un servizio di camuffamento con  baffi finti e cappello (l’impermeabile lo vestono già i miei clienti abitualmente) gestito, nel tempo libero, dal Cancelliere che noleggia le toghe all'ingresso del Tribunale. Pensavo di conformarmi ancora di più al dettato del GDPR allestendo delle distanze di cortesia (anche in muratura), separé e paraventi, doppi vetri e tornelli per dirigere il traffico, soprattutto durante le feste, nonchè stanze meccanizzate con specchi e oblò che ho visto per la prima volta diciottenne ad Amsterdam (ah, che tempi, beata gioventù...). Come vi sembra l’idea? Potrebbe aumentare il livello di riservatezza dei locali? Eviterei, se siete d’accordo, l’accesso con riconoscimento biometrico. Soprattutto della mano.

2. Per la gestione di quei film con trattamento transfrontaliero dei dati, soprattutto tutta la serie di “Rocco invade la Polonia”, “Rocco invade la Serbia”, “Rocco invade San Marino”, “Rocco invade la Francia” e “Rocco invade la Luna”, non so bene come comportarmi. Cosa mi consigliate?

3. Vorrei sapere su quali serie di video devo fare la valutazione d’impatto, visto che mi sembra che di impatto ce ne sia un bel po’ in tutti i film che noleggiamo e ho difficoltà nell’interpretare le linee guida del vecchio Working Party.

4. Nelle tessere-fedeltà che approntiamo per i clienti più fedeli (fedeli per modo di dire...) è indicata la dizione “Tessera VIP Videoteca a Luci Rosse SVP (Sconto Vecchio Porcone)”, con il disegno di una fragola addentata e un coniglio ammiccante. È il caso di cambiarla? Potrebbe rivelare qualche informazione sensibile sul proprietario? O, con il riferimento alle “luci rosse” è sufficiente per travisarla in un'innocua tessera di un Club di Magia alla Harry Potter?

5. Quando c’è ritardo nella riconsegna di una cassetta, di solito telefono a casa, esclusivamente al numero fisso, e comunico nel dettaglio il titolo e i sottotitoli al primo soggetto che risponde all’apparecchio. Ai bambini devo spesso fare lo spelling. È corretto? O dovrei anche fare un sunto della trama? Al momento lo evito, per motivi di privacy.

6. Vorrei sapere come devo trattare le tracce di dati genetici che, spesso, sono sulle videocassette che mi vengono restituite. Sono dati particolari? Occorre un consenso specifico, o è sufficiente quello esplicito che ben si nota e che mi sembra - detto tra noi - una evidente ed esuberante manifestazione di volontà? Devo, ogni volta, ripulire le custodie delle cassette, affinché il consenso non appaia come pre-flaggato?

Grazie, davvero, anche a nome di mia moglie, per tutto il lavoro di supporto che fate nei nostri confronti.

Veramente: ci fate sentire meno soli.

DPO Anonimo di Trani

:: :: ::

Caro DPO Anonimo di Trani dell'unica videoteca ancora esistente del Sud d'Italia in via Napoli al n. 7/A,

grazie a te per la lettera e, soprattutto, per le parole di affetto.

Complimenti, intanto, per il lavoro meritorio che porti avanti nel cercare di tenere vivo un business nostalgico come quello delle videoteche, cui tutti siamo ancora legati.

La nostra generazione ha ricordi molto vivi dell’importanza delle videocassette per la formazione culturale dei giovani e meno giovani, e abbiamo letto la tua missiva con una punta di commozione. Ci è venuta voglia, persino, di rivedere Clerks. Grazie, davvero.

Circa i tuoi quesiti, partiamo dalle basi.

Il GDPR non è stato pensato esattamente con in mente un’attività come la tua, ma fai molto bene a preoccuparti, perché tratti dati molto delicati e un Interessato scontento potrebbe sollevarti problemi e suggerire al Garante un controllo. Anche se non mi sembra proprio che i vostri Interessati siano scontenti. Anzi.

Nel 2008 il Garante italiano effettuò una ventina di ispezioni nei confronti di altrettante videoteche e videonoleggi, soprattutto con riferimento all’acquisizione di clienti via web e al trattamento dei loro dati sensibili. Ti sintetizzo, qui di seguito, i principi che già allora emersero, e magari cerchiamo di adattarli insieme specificamente al tuo caso.

Circa il primo quesito che ci poni, la soluzione da te proposta ci sembra ottima. La separazione dei dati è chiaramente vista dal GDPR, insieme alla cifratura, come uno strumento essenziale per aumentare il livello di sicurezza complessivo del trattamento. Nel tuo caso, non si tratterebbe di una pseudonimizzazione ma, azzarderei, più di una porno-nimizzazione, ma non preoccuparti, l’effetto è simile, solo più divertente. Potresti, mi sentirei di aggiungere, affinare ancora di più il livello di compliance raggruppando i video hard per genere e sotto-categorie al fine di consentire al cliente/Interessato di evitare percorsi inutili ma di arrivare direttamente al punto ("porno by design") senza perdita di tempo. Potresti fare uso di apposita cartellonistica o adesivi sul pavimento, come le indicazioni della metro Lilla a Milano. Stai attento, però, ai film con indiani cui facevi cenno. Sono dati particolari.

Circa il secondo punto, i video con contenuti transfrontalieri ed extra-UE, ti consiglierei di inviare una lettera alla Commissione Europea (scrivi pure che ti mandiamo noi) con un elenco dettagliato degli Stati visitati da Rocco nella sua produzione cinematografica e in tutti i film che ti sembrano a rischio, per verificare se sono inclusi nella loro lista o se ci sono accordi specifici con i singoli Paesi, al di là di quelli già presi da Rocco brevi manu (almeno quella). Presta particolare attenzione al Liechtenstein: uno non lo direbbe mai, ma vantano una notevole produzione.

La valutazione d’impatto, poi, la farei innanzitutto sui video amatoriali dove le telecamere usate non sono provviste di regolare cartellonistica, nonché sui video con scene con più di dieci persone in contemporanea (dove sta avvenendo chiaramente un monitoraggio sistematico delle attività, congiuntamente a un trattamento su larga scala). Valuta, anche, su quest'ultimo aspetto, se fare la valutazione d’impatto sulle specifiche serie “L’imbianchino bussa due volte (e non alla porta)”, “Un pompiere sotto al letto (e non è il marito)” e “La scala è mobile (e anche noi, modestamente, non stiamo fermi)”: effettuano tutti trattamenti su (larga) scala.

Circa la tessera fedeltà, presta particolare attenzione: ci sono molte ispezioni in corso, anche in questi mesi. Io anonimizzerei sicuramente il coniglio (è sufficiente disegnare una maschera con Photoshop, se hai un nipote di otto anni con l'Iphone te lo può fare lui, oppure lo noleggi, il nipote), anche per evitare problemi con gli animalisti.

Per le telefonate a casa, ti consiglierei un approccio più generico e più privacy by default. Senza far nomi, semplicemente telefona, proferisci un generico “Pronto? Casa Rossi” con accento svedese, come quando si facevano gli scherzi al telefono, e domanda, al primo che risponde: “Chi è nella vostra casa che noleggia video porno?”. E attendi il nome da loro. Se il nonno risponde “Ah, non siete della Vodafone?”, è lui.

Circa i dati genetici, non ti preoccupare, mi sembra che, in questo quadro, sia il problema minore. Il consenso esplicito rende conforme il trattamento. Stai attento, piuttosto, ai consensi anticipati e, soprattutto, cerca di schivare i consensi multipli.

Un saluto caro, mio eroico DPO di Trani, tieni duro (ma, se mi posso permettere, non mi sembra proprio che nella vostra videoteca abbiate problemi in tal senso) e non scoraggiarti.

Il DPO è un mestiere complesso ma, vedrai, ti darà grandi soddisfazioni.

Buona compliance e buon 2020.

La redazione di DPO Anonimi