GDPR e ispezioni dei Garanti europei: dieci regole per prepararsi al meglio

Abbiamo seguito tutti con grande interesse il dibattito che si è generato nelle aule e nelle sedi legislative e consultive nazionali ed europee quando il GDPR stava prendendo forma, e non appena le prime bozze iniziarono a circolare.

Abbiamo, poi, salutato con entusiasmo l’entrata in vigore del GDPR, più di tre anni orsono, celebrando una sorta di “nuova era” della data protection in Europa e nel mondo e una posizione di “guida” che il Vecchio Continente si auto-assegnava nell’era dei big data, del marketing selvaggio e della profilazione da parte delle piattaforme nordamericane.

Abbiamo vissuto con ansia, infine, il momento dell’attuazione della norma, lo scorso anno nella giornata cruciale del 25 maggio, con il timore della fine del mondo e di un "asteroide" che, poi, non è arrivato.

Ora sembra essere giunto il momento di preoccuparsi dei controlli e delle sanzioni, dato che la macchina sembra (quasi) pronta per partire anche in Italia (e, in alcuni casi, è già partita) e l’aumento annunciato delle attività ispettive porterà a una concretezza necessaria nell’interpretazione e applicazione del GDPR anche in un’ottica “difensiva”, e non solo meramente teorica.

Questa concretezza, in molti Paesi d’Europa, è già realtà dall’estate scorsa. Analizzare in maniera coordinata e omogenea le prime sanzioni comminate dai Garanti degli altri Paesi consentirà nei prossimi mesi, in un’ottica di coerenza, di meglio chiarire alcuni aspetti particolarmente complessi della normativa. Tralaltro, alcuni Paesi europei stanno comminando, o annunciando, sanzioni molto alte.

I molteplici parametri di modularità della sanzione amministrativa come prevista nel GDPR consentono, sulla carta, di poter elaborare timide previsioni iniziali su quei comportamenti/adempimenti che, in vista di un possibile controllo, potranno quantomeno contribuire a dimostrare una accountability di buon livello o, almeno, ad abbassare il rischio di sanzioni.

Può essere utile, allora, elaborare dieci regole che potrebbero essere idonee proprio a tal fine.

Sia chiaro a tutti sin da subito, però, che un approccio basato sulle dieci regole che andremo ad esporre qui di seguito presenta, accanto a indubbi pregi, degli evidenti difetti e vulnerabilità.

I difetti sono chiari. Innanzitutto, l’individuare singoli step può far perdere il quadro complessivo che ruota attorno al delicato e articolato tema dell’accountability, che è un concetto ad ampio spettro e difficile da incasellare in singole disposizioni.

Poi, le dieci regole sono necessariamente fredde e asettiche, e ogni realtà ha sue particolarità: vanno, quindi, personalizzate.

Non è facile, inoltre, isolare in dieci regole un provvedimento complesso come il GDPR. Queste regole andrebbero intese, in altre parole, come un antibiotico ad ampio spettro, ma poi la terapia deve essere mirata. Infine, una divisione in regole o “comandamenti” può causare, cosa ben più grave, una concentrazione esclusivamente sulla forma e non sulla sostanza: l’idea di adempimento, insomma, prende la forma di una lista di cose fatte da “barrare” e di documenti archiviati, e non quella di un processo reale, concreto e verificato.

I pregi, al contempo, sono altrettanto evidenti. Un approccio di questo tipo permette di elaborare una prima lista di “cose da fare” anche in base a una valutazione delle sanzioni già comminate dai Garanti (si pensi all’importanza dell’informativa e del consenso in un’ottica di analisi delle sanzioni già irrogate). Si semplifica, almeno nell’approccio iniziale, un provvedimento così complesso come il GDPR che tra articoli e considerando, documenti del WP e modelli e info-grafiche del Garante, potrebbe intimorire l’operatore poco esperto. Dieci regole, inoltre, consentono comunque di impostare un primo livello, seppure generico, di adeguamento che può essere un’ottima base per una rifinitura di dettaglio (da qualche parte, insomma, bisogna pur partire). Infine, una simile strategia permette un confronto per singoli “comparti” osservando, ad esempio, cosa hanno fatto gli altri operatori (concorrenti o società che hanno un business simile) con riferimento a ogni singola regola.

Si ricordi che ogni regola, repetita iuvant, deve essere calata nella realtà che si analizza, evitando generalizzazioni o “copia e incolla” di documenti, prassi e processi, e  deve essere scalabile, ossia interpretata più o meno “rigidamente” a seconda del reale livello di rischio, e complessità, della realtà presa in esame.

Vediamo, ora, le dieci regole.

1. Avere le informative in regola

In base al principio di trasparenza, l’informativa dovrebbe essere al centro del sistema. Deve esserci sempre, deve essere chiara, deve essere sintetica, deve possedere i contenuti previsti dalla legge e soprattutto, si ricordi, è facilmente controllabile anche da remoto. È sufficiente collegarsi al sito web preso di mira in fase di controllo, spulciare tra le pagine e già in quella fase si può osservare la “qualità” di tale documento.

Di più: l’informativa non deve essere inidonea a raggiungere l’obiettivo che la norma le chiede: non deve essere privata di alcune parti previste dagli articoli di riferimento, non deve essere oscura (e, ad esempio, mantenere nascosti alcuni trattamenti), non deve essere generica per tutti i trattamenti (utilizzando, ad esempio, una stessa informativa per trattamenti diversi). In un’ottica di sempre maggior attenzione alla trasparenza nei confronti dell’interessato si potrebbe pensare all’opportunità di redigerla in più lingue, di esporla con grande evidenza nei locali, di usare espedienti grafici, di redigerne una versione sintetica con, poi, successivi approfondimenti.

Infine, occorre riflettere sulle informative dei sistemi di videosorveglianza, delle app, dei siti web e di tutti gli altri luoghi di ingresso dei dati che spesso sfuggono, compresi quelli che ancora espongono informative non aggiornate. La “caccia”, su siti e negli uffici e sportelli di strutture complesse, alle informative non aggiornate (che ancora recano il riferimento alla 675 o al Codice Privacy) è un’operazione (non solo) d’immagine molto importante.

2. I consensi

Nel caso il consenso sia richiesto, diventa fondamentale verificare che sia stato raccolto in modo libero (per l’interessato!), che sia esplicito e che non sia previsto in bundle con servizi non necessari.

Nella pratica, appare indispensabile eliminare tutti i box pre-impostati o i contesti nei quali il consenso sia chiaramente “guidato”, limitando così la manifestazione di volontà del soggetto.

Centrale è, poi, l’organizzazione di un sistema pre-impostato di raccolta del consenso (meglio se collegato alle rispettive informative) che consenta una prova agevole della raccolta e, soprattutto, della eventuale revoca.

Quest’ultimo mi sembra l’aspetto più delicato in contesti dove sono raccolti tanti consensi e dove la firma sta lasciando il posto al clic: occorre un dialogo continuo con i responsabili dei sistemi informativi per allestire un sistema sicuro di raccolta e verifica dei consensi.

Infine, occorre riflettere sugli archivi in nostro possesso e valutare se sia possibile realmente recuperare tutti i consensi correlati ai dati personali dei soggetti. Ciò diventa particolarmente complesso in liste di dati che si sono create e composte nel tempo (si pensi a e-mail collegate all’abbonamento a una newsletter che risalgano anche a dieci o quindici anni orsono).

3. Il DPO: preparazione, indipendenza e un buon carattere

Il DPO, se nominato, deve essere pronto a dialogare con Garante e corpi ispettivi. Sarà il primo soggetto convocato, e si dovrà dimostrare a conoscenza di ciò che capita e di ciò che è capitato.

Dovrà essere reperibile, dovrà avere un buon carattere (soprattutto se ci sarà da negoziare su sanzioni e responsabilità) e dovrà giocarsi con molta attenzione il triplo ruolo che il GDPR gli ha “regalato” (di presidio avanzato del Garante, di consulente/certificatore del titolare, di punto di contatto con gli interessati) e che potrà generare conflitti importanti.

La fase del controllo sarà anche quella dove appariranno evidenti le scelte sbagliate dei titolari con riferimento al proprio DPO: difetti di competenza, mancanza di indipendenza, evidenti conflitti di interesse.

Dopo le nomine affrettate del maggio scorso, una riflessione sul ruolo e profilo effettivo del DPO nel contesto concreto può essere una buona idea non solo per chi non lo ha ancora nominato, ma anche per chi lo ha nominato in palese violazione dei principi del GDPR.

4. Il registro dei trattamenti

Il registro dei trattamenti dovrà essere pronto anche in un’ottica di esibizione all’autorità di controllo (che poi, se leggiamo con attenzione la norma, è il suo unico fine esplicito), e non solo in un’ottica di governance e accountability interna.

“Pronto” significa chiaro, veritiero (non deve contenere informazioni false), completo (non devono mancare trattamenti, soprattutto quelli che magari sono stati coinvolti da un incidente), idoneo a disegnare una mappa immediata dei flussi di dati e dei relativi responsabili e a tracciare le misure di sicurezza adottate.

Il registro dei trattamenti sarà probabilmente il primo documento a essere richiesto al titolare o al DPO e diventerà il primo oggetto di analisi. Una sorta di “biglietto da visita” e, per questo motivo, assai importante.

5. La gestione dei data breach

Essenziale, in caso di incidenti, può essere il poter dimostrare di avere una politica interna di gestione dei data breach idonea ad attivare un flusso di comunicazione specifico e che prevenga danni.

Le comunicazioni al Garante, poi, devono essere dettagliate, e va valutata sempre anche la necessità o meno di comunicare l’incidente agli utenti/interessati.

Occorre concentrarsi, soprattutto in ambito pubblico, su politiche di protezione dal phishing, su regole che spieghino la reazione in caso di smarrimento o furto dei dispositivi e sulla promozione della cifratura dei dati, che sembra essere oggi l’unico mezzo realmente efficace per prevenire parte dei danni conseguenti a un data breach.

6. Le istruzioni ai soggetti che trattano i dati

Un piano di formazione sostanziale, che sia stato davvero compreso da tutti, non solo in un’ottica di formazione online ma anche in aula e con verifiche dell’apprendimento, serve a dimostrare l’attenzione concreta del titolare ai processi d’istruzione dei soggetti che trattano quotidianamente i dati.

Tale obbligo, previsto dalla norma, è spesso trascurato o perfezionato in fretta, tanto che i soggetti autorizzati, se interrogati su punti specifici che dovrebbero sapere, cadono dalle nuvole.

Si tratta, invece, di un aspetto fondamentale volto a garantire la sicurezza anche attraverso i comportamenti delle persone: un aspetto che, oggi, è essenziale.

7. La valutazione d’impatto

Occorre individuare con cura tutti quei trattamenti che, in base alle indicazioni del GDPR, necessitino di una valutazione d’impatto, soprattutto nei casi palesi di sorveglianza e videosorveglianza su larga scala, profilazione, geo-localizzazione e trattamento di dati particolarmente delicati.

In caso di esternalizzazione dei dati, è necessario domandare la collaborazione del responsabile esterno per avere in mano tutte le informazioni necessarie per redigere la valutazione stessa.

8. I rapporti con i responsabili esterni e i contitolari: calma e chiarezza

I rapporti con i responsabili esterni e con i contitolari stanno agitando molto gli operatori, soprattutto in presenza di responsabili esterni “ostili” che non vogliono sottoscrivere contratti o che si auto-dichiarano “titolari autonomi”.

Tralasciando le lotte intestine e di corporazione in corso, e cerando di mantenere la calma, è sempre essenziale verificare le misure di sicurezza dei responsabili e comprendere come gestire al meglio, non solo sul piano contrattuale, un soggetto cui mandiamo i nostri dati ma che non vuole essere nominato responsabile esterno.

Importante è anche l’accordo di “trasparenza” tra i contitolari, anche questo in un’ottica di sempre maggiore protezione dell’interessato.

Sia la figura del responsabile esterno sia quella del contitolare devono sempre essere interpretate nell’ottica dell’interessato, che ha diritto a che i suoi dati in circolazione arrivino a soggetti che garantiscano le stesse misure di sicurezza del soggetto cui lui ha concesso la sua prima fiducia.

9. Le misure di sicurezza e l’accountability: costi, stato dell’arte, peso del dato e analisi del rischio

Il passaggio dalle misure minime di sicurezza a quelle adeguate, e basate sull’analisi del rischio, ha disorientato un po’ i giuristi, che si trovano più a loro agio, tradizionalmente, con regole certe e con griglie ben definite. Ha, invece, soddisfatto i tecnici, che hanno comunque punti di riferimento molto utili per ricostruire le regole.

L’articolo 32 ci domanda quattro tipi di verifiche (tra le altre). Un’attenzione allo stato dell’arte, ossia una conoscenza di quali siano le misure di sicurezza migliori nel contesto nel quale operiamo. Un’attenzione ai costi, per cui gli investimenti in ambito di sicurezza devono essere comunque proporzionati alla vita economica della realtà e alla sua capacità di spesa. Un’attenzione ai tipi di dati trattati, e al loro “peso” concreto. E, ultimo ma non ultimo, un’attenzione a un’analisi del rischio preliminare che dovrebbe far capire il livello di gravità che ci aspetta.

Tra le misure di sicurezza timidamente consigliate nella seconda parte dell’articolo (“tra le altre, se del caso”, ci dice il Legislatore), mi sembra che la cifratura dei dati rivesta oggi un ruolo essenziale e imprescindibile, per cui cruciale diventa l’operare una valutazione sulla possibilità di migrare tutti i dati su sistemi cifrati.

10. La necessaria attenzione all’esercizio dei diritti degli interessati: l’interessato andrebbe coccolato

La figura dell’interessato è al centro di tutto il sistema del GDPR, e dovrebbe essere il più possibile “coccolata” in un’ottica di protezione da ispezioni e sanzioni. Ciò diventerà ancora più urgente quando inizieranno a operare su larga scala le associazioni, previste dal GDPR, che tuteleranno gruppi di interessati anche in vista di eventuali class actions.

La tutela immediata (o nel più breve tempo possibile) dei diritti dell’interessato diventa così essenziale non solo per rispettare al meglio “lo spirito” del Regolamento (proteggere i dati del cittadino significa proteggere i suoi diritti nella società in cui vive) ma anche per evitare di finire sotto i riflettori dell’autorità di controllo.

È noto come, sovente, alcune realtà imprenditoriali o professionali che, in teoria, sarebbero al di fuori dei “radar” dei controlli o dei piani ispettivi del Garante, si trovino coinvolte in ispezioni e controlli a causa di segnalazioni provenienti da interessati scontenti, e spesso questi interessati sono “interni” all’azienda o all’ente (si pensi alle rappresentanze sindacali che in molti casi hanno contattato direttamente il Garante sollecitando un suo controllo).

L’interessato è, di solito, “scontento” perché non gli si risponde, quindi è opportuno essere pronti a rispondere in fretta, anche prima del termine di un mese previsto dalla norma.

Alcuni diritti che gli interessati possono esercitare, come la portabilità o la rettifica dei propri dati, possono essere in alcuni casi “automatizzati”: non è un’idea affatto malvagia preparare dei moduli/modelli, anche sul web, per l’esercizio dei diritti che consentano di tenere traccia delle richieste e di rendere pubbliche alcune linee guida di massima contenenti, ad esempio, le politiche adottate con riferimento alle richieste di cancellazione delle informazioni.

Vedo necessaria una vera e propria analisi del rischio per ciascuna richiesta di interessato che perviene. Di più: anche se, in ipotesi, l’interessato non avesse ragione (ossia espone una richiesta non fondata che potremmo tranquillamente respingere), ma l’intervento su quel dato non ci comporterebbe sforzi, conseguenze, danni economici, violazione di diritti di terzi né, tantomeno, violazione di legge, potrebbe essere una buona idea assecondare l’interessato (ad esempio: cancellando il suo dato dai nostri archivi) per evitare sue reazioni che possano portare a controlli.

Il DPO è previsto come “interfaccia” con i soggetti che vogliono esercitare i loro diritti, ma non dovrebbe essere lasciato solo, mai. Molto meglio che le richieste di esercizio dei diritti arrivino a un indirizzo che le “rimbalzi” a più persone, ad esempio team sicurezza e privacy, al fine di ridurre al minimo il rischio di “bucare” una richiesta.