DPO Anonimi (Lettera #3): Miss Informativa

Gentile, spettabile, celebre, illustrissima Redazione della DPO Anonimi,

sono in una situazione disperata. Per tal motivo vi scrivo allegando, come da vostre ultime puntuali istruzioni ricevute via Telegram e ai fini di palese raccomandazione, una banconota da 500 euro per garantire una priorità alla mia missiva, visto il gran numero di lettere che ricevete quotidianamente.

Sono una DPO. Anche io. Da diciassette anni. Sono stata nominata DPO ancor prima che il Regolamento fosse concepito. Ancor prima che i considerando iniziassero i preliminari. Anzi, quando mi hanno nominata DPO, i considerando erano ancora ideando.

Il motivo di questa nomina precox è semplice: lavoro per un’associazione di maghi, astrologi, paragnosti e medium che già avevano pre-visto (è il loro lavoro, del resto!) la futura normativa e gli adempimenti prossimi venturi. E hanno, quindi, anticipato la mia nomina a DPO.

Non vi disturbo, pertanto, con le solite domande tipiche e legittime (direi quasi rituali) da DPO quali “Quanto rischiamo in caso di ispezione?”, “Possiamo essere soggetti a una ispezione?”, “Di quanto sarà la multa?”, “Potete spostare la macchina che la Ferrari del Titolare non entra?”, "Posso essere pagato in nero?", “Mio nipote ha usato il registro dei trattamenti come album delle figurine, è un problema?”.

No, tutto questo i miei clienti lo sanno già. Sono paragnosti. Pensi che riusciamo anche ad anticipare le richieste di esercizio dei diritti da parte degli interessati. Ancor prima che ci domandino qualcosa, siamo già intervenuti. La nostra è una privacy predittiva, insomma.

Ma scusate, stavo divagando, ma parlare con voi mi appassiona.

Vi disturbo per una questione molto più importante. Mi sono candidata alla prima  edizione di Miss Informativa 2020 che si terrà, come ben sapete, a Lido Adriano nel mese di agosto.

Ci sarà un bellissimo palco, sfileremo subito prima della “Corsa Annuale dei Cani Randagi in Fuga dalle Cantine del Nuovo Ristorante Vietnamita” e giungeremo nella piazza di fronte al chiosco dei dolci e delle Haribo tra le giostre e i libri usati. Dove sarà incoronata, appunto, la prima Miss Informativa della storia del GDPR.

Ci tengo tantissimo, davvero. Ho già superato le selezioni provinciali e, modestia a parte, anche quelle regionali. Ho stra-vinto con due informative veramente molto ben fatte (una era, addirittura, profumata). I miei clienti medium mi hanno però anticipato, ed è stata una doccia gelata, che nella loro sfera hanno visto che la concorrenza sarà fortissima e che vincerà un DPO di una videoteca hard di Trani. So che vi ha già scritto, quel maledetto DPO. Presenterà una Informativa molto dinamica, redatta per immagini prese dal retro delle sue videocassette migliori (l'ha poeticamente ribattezzata “Informattiva”).

In questi giorni ho visto per quindici volte “Ritorno al Futuro” e ho avuto una illuminazione che mi ha portato a scrivervi. Possiamo cambiare il presente, per cambiare il futuro!

Sono quindi a chiedervi dei suggerimenti per alterare il futuro intervenendo ora. Vorrei sapere come redigere l’informativa perfetta per presentarmi con un nuovo elemento non previsto dal corso del tempo. E sbaragliare l’avversario di Trani.

Sapevo che tra tutte le lettere avreste scelto la mia (sempre grazie ai miei paragnosti), ma ho egualmente allegato i 500 euro per maggior sicurezza ("valutazione del rischio").

Non vedo l’ora di leggere la risposta. Grazie, come sempre, per la vostra empatia. Scusate se devo chiudere, ma sto scrivendo mentre sto guidando in una strada di campagna buia e devo evitare degli animali notturni ("valutazione del riccio") e con una mano sola mi risulta difficile.

Sempre vostra...

DPO anonima veggente futura Miss Informativa

:: :: :: :: :: :: :: ::

Carissima DPO Anonima Veggente futura Miss Informativa,

grazie per la sua lettera tanto accorata.

In effetti, la capiamo.

Il titolo di Miss Informativa è, oggi, uno dei più ambiti, insieme a Miss Consenso Bagnato, Mister Papà DPO e alla vittoria nel Data Breach All Star Contest (per il data breach più clamoroso dell’anno).

E sappiamo anche che il ricco Primo Premio che è stato previsto quest’anno, un’ispezione gratuita del Garante a domicilio il giorno prima della chiusura del bilancio della vostra azienda, attirerà molti partecipanti, generando una competizione assai serrata.

Al contempo, però, ci chiedi, cara, una cosa molto complessa. Redigere un’informativa che sia, al contempo, bella, utile, non copiata da quella di Topolino e a prova di ispezione, è un’arte.

Ma noi siamo qui per aiutarti. Non sei sola. E non ci spaventano richieste così complesse.

Prendi nota, tesoro. Andiamo a vincere questo premio!

1. Il “blocchetto” dei contatti. Come sai, cara, ogni informativa si dovrebbe aprire con l’indicazione chiara dei contatti. Titolare e DPO in primis. Noi siamo dei puristi, su questo punto, ti avverto. Non ci piacciono quelle informative dove il riferimento del DPO è spostato in basso, insieme ai diritti, o alla fine dell’informativa. Titolare e DPO devono aprire l’informativa. Come Mel Gibson in Braveheart. Ma, soprattutto e ai nostri fini, ricordati che il blocchetto dei contatti è la prima cosa che i tuoi giudici guarderanno. Quindi il nostro suggerimento è di stupirli già in queste prime righe, proprio come una grande entrata in teatro. Ti consiglierei, innanzitutto, di cifrare il nome/riferimento del Titolare con un algoritmo incomprensibile. È uno scherzo poco frequente, ma che fa sempre la sua figura. Immaginati quanto lo apprezzerebbero anche gli ispettori in caso di controllo: un enigma che porti loro via almeno due mesi! Sai tu le risate? Le ispezioni subito bloccate perché non si riesce a decifrare il nome del Titolare nemmeno con i computer della NSA. E tutti a ridere. Poi, dopo aver cifrato il nome del Titolare, subito sotto, al posto del DPO, indica il numero di telefono del ristorante cinese sotto casa e la e-mail dell’indirizzo della CIA dove si possono segnalare sospetti terroristi (miovicinounterrorista@cia.gov). Così, quando la giuria farà la prima verifica (chiamando) il numero e dicendo “Pronto, è il DPO?”, si sentirà dire “mangia qui o polta via?”. E quando manderanno la e-mail, finiranno nella black list dei voli. E si faranno una crassa risata. Che ne dici? Un bell’esordio, vero? Dai che spacchiamo!

2. Il “blocchetto” con le finalità del trattamento. Carissima, qui il gioco comincia a farsi serio. Ormai ci sono i ninja delle finalità e le finalità sono in via di estinzione, come il sesso tra i Panda. Le hanno già prese tutte: è difficile essere originali. Ti consiglierei, allora, di stupire la giuria con finalità esotiche e poco comuni. Tieni presente che i giudici, prima di arrivare al concorso, avranno vagliato migliaia di informative, e tutte, come sai, riportano più o meno le stesse finalità. Ecco, tu inventa, esagera, stupisci! Vuoi qualche consiglio? “I dati saranno trattati per garantire l’atterraggio di un'astronave aliena”. “I dati saranno trattati per gestire il rapporto di lavoro in nero dei dipendenti” (questa piace soprattutto alla GdF). “I dati saranno trattati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati per le finalità di trattamento dei dati (questa si chiama finalità “inception”, o “loop”, e se ti sei letto/a tutte e quattro le righe qui sopra mi vuoi davvero bene e ti meriti un bacio). “I dati saranno trattati per le finalità di tua sorella” (dizione greve, ma funziona tantissimo con i giudici toscani). Oppure, in chiusura, potresti usare la classica finalità da concorso di Miss (“I dati saranno trattati per la pace nel mondo”).

3. Il blocchetto con la base giuridica. Eh, anche qui, mia cara, cerca di essere originale. Non limitarti alle sei basi giuridiche indicate dal Regolamento, ma cerca di inventarne di nuove. Ciò, come sai, è chiaramente permesso dal GDPR, e i giudici apprezzano molto. Scrivi, che ne so, “base giuridica per base giuridica diviso due”. Oppure individua come base giuridica “la tutela del koala”, oppure il “legittimo disinteresse”. Una solida base giuridica possono essere anche le colonne di un tribunale. Insomma, anche qui, lascia correre la tua fantasia, e sarai premiata.

4. Il blocchetto con i destinatari dei dati e i trasferimenti dei dati all’estero. A questo punto, giocati il Jolly: prendi la Mappa del Malandrino e scegli tutti luoghi inesistenti o misteriosi. Scrivi che i dati saranno trasferiti sull’Isola che non c’è, a Loch Ness, nel Giardino dell’Eden, a El Dorado, nel pozzo di San Patrizio e nel Triangolo delle Bermude. Scrivi che la decisione di adeguatezza è adeguata, che le clausole vincolanti sono vincolanti e tra i destinatari, invece, indica tutti i parenti dei giudici, sino al settimo grado. Ci sembra una buona strategia.

5. Il blocchetto con il periodo di conservazione dei dati. A questo punto, ovviamente, e non lo sto dire a voi paragnosti, scrivi che i dati saranno conservati in eterno, a meno che un vostro medium non riceva una richiesta da un defunto e, in tal caso, provveda all'estinzione. Ricordati di indicare, nell’informativa, che i medium devono essere considerati responsabili esterni. Anzi, scusa. Responsabili eterni.

6. Circa il blocchetto con l’esercizio dei diritti, inserisci fisicamente in informativa un pulsante/citofono che permetta di esercitare direttamente i diritti suonando in casa del DPO o del Titolare alle quattro del mattino. Appesantirà un po’ l’informativa, farà abbiare i cani, ma è una trovata geniale che i giudici apprezzeranno.

7. Infine, nel caso pensassi di effettuare trattamenti automatizzati dei dati senza l’intervento dell’uomo, metti, nel blocchetto-Kafka, un robottino che fa il gesto dell’ombrello con dietro un cartello con scritto "W Cambridge Analytica".

Vedrai che con un’informativa simile, nessuno ti toglierà il titolo di Miss.

Stammi bene, cara DPO Anonima, e ricordati. Non sei sola. Noi ci siamo.

Buona compliance.

La redazione della DPO Anonimi.