Alcuni dei falsi miti del GDPR

falsi miti gdpr

Da più parti su Internet e sui “social” leggo affermazioni del tutto roboanti, che risultano ad un più attento esame della normativa completamente sfornite di ogni sostegno giuridico.

Alcuni esempi:

“Il Garante ha comunicato che prima del nuovo anno [2019] non effettuerà controlli e non irrogherà sanzioni]

 

E’ sufficiente leggere il provvedimento reperibile alla url https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9025338 per comprendere come la notizia sia del tutto falsa.

…omissis…

DELIBERA

 

  1. limitatamente al periodo luglio-dicembre 2018, l’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, è indirizzata:
  2. a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
  • trattamenti di dati effettuati da società/enti che gestiscono banche dati di rilevanti dimensioni;
  • trattamenti di dati personali effettuati presso istituti di credito relativamente alla legittimità della consultazione e del successivo utilizzo di dati da parte di soggetti aventi diritto, anche in riferimento al tracciamento degli accessi e a correlate misure di protezione;
  • trattamenti di dati personali effettuati da società per attività di telemarketing;
  1. b) a controlli nei confronti di soggetti, pubblici o privati, appartenenti a categorie omogenee sui presupposti di liceità del trattamento e alle condizioni per il consenso qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo di informativa nonché sulla durata della conservazione dei dati. Ciò, prestando anche specifica attenzione a profili sostanziali del trattamento che spiegano significativi effetti sugli interessati;

…omissis…

E non potrebbe essere altrimenti, in quanto l’attività ispetttiva e l’irrogazione di sanzioni sono tra i compiti precipui del Garante, il quale – come ogni soggetto pubblico – non può assolutamente decidere di NON compiere quanto gli spetti, come peraltro espressamente stabilito dall’art. 57 del GDPR:

 

Articolo 57. Compiti (dell’Autorità di Controllo)

 

1.        Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a)sorveglia e assicura l’applicazione del presente regolamento;
b)promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;
c)fornisce consulenza, a norma del diritto degli Stati membri, al parlamento nazionale, al governo e ad altri organismi e istituzioni in merito alle misure legislative e amministrative relative alla protezione dei diritti e delle libertà delle persone fisiche con riguardo al trattamento;
d)promuove la consapevolezza dei titolari del trattamento e dei responsabili del trattamento riguardo agli obblighi imposti loro dal presente regolamento;
e)su richiesta, fornisce informazioni all’interessato in merito all’esercizio dei propri diritti derivanti dal presente regolamento e, se del caso, coopera a tal fine con le autorità di controllo di altri Stati membri;
f)tratta i reclami proposti da un interessato, o da un organismo, un’organizzazione o un’associazione ai sensi dell’ar­ticolo 80, e svolge le indagini opportune sull’oggetto del reclamo e informa il reclamante dello stato e dell’esito delle indagini entro un termine ragionevole, in particolare ove siano necessarie ulteriori indagini o un coordinamento con un’altra autorità di controllo;
g)collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento;
h)svolge indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica;
i)sorveglia gli sviluppi che presentano un interesse, se e in quanto incidenti sulla protezione dei dati personali, in particolare l’evoluzione delle tecnologie dell’informazione e della comunicazione e le prassi commerciali;
j)adotta le clausole contrattuali tipo di cui all’articolo 28, paragrafo 8, e all’articolo 46, paragrafo 2, lettera d);
k)redige e tiene un elenco in relazione al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’ar­ticolo 35, paragrafo 4;
l)offre consulenza sui trattamenti di cui all’articolo 36, paragrafo 2;
m)incoraggia l’elaborazione di codici di condotta ai sensi dell’articolo 40, paragrafo 1, e fornisce un parere su tali codici di condotta e approva quelli che forniscono garanzie sufficienti, a norma dell’articolo 40, paragrafo 5;
n)incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati a norma dell’articolo 42, paragrafo 1, e approva i criteri di certificazione a norma dell’articolo 42, paragrafo 5;
o)ove applicabile, effettua un riesame periodico delle certificazioni rilasciate in conformità dell’articolo 42, paragrafo 7;
p)definisce e pubblica i requisiti per l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
q)effettua l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 e di un organismo di certificazione ai sensi dell’articolo 43;
r)autorizza le clausole contrattuali e le altre disposizioni di cui all’articolo 46, paragrafo 3;
s)approva le norme vincolanti d’impresa ai sensi dell’articolo 47;
t)contribuisce alle attività del comitato;
u)tiene registri interni delle violazioni del presente regolamento e delle misure adottate in conformità dell’articolo 58, paragrafo 2; e
v)svolge qualsiasi altro compito legato alla protezione dei dati personali.
2.Ogni autorità di controllo agevola la proposizione di reclami di cui al paragrafo 1, lettera f), tramite misure quali un modulo per la proposizione dei reclami compilabile anche elettronicamente, senza escludere altri mezzi di comunicazione.
3.Ogni autorità di controllo svolge i propri compiti senza spese né per l’interessato né, ove applicabile, per il responsabile della protezione dei dati.
4.Qualora le richieste siano manifestamente infondate o eccessive, in particolare per il carattere ripetitivo, l’autorità di controllo può addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta. Incombe all’autorità di controllo dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

 

Altro macro errore ricorrente è quello secondo il quale il registro dei trattamenti ex art.30 sia obbligatorio solamente per i soggetti che abbiano più di 250 lavoratori subordinati (termine più corretto da un punto di vista giuridico del termine gergale dipendenti utilizzato dalla norma; è infatti sufficiente analizzare il 5° comma dello stesso articolo 30, per comprendere come praticamente tutti siano obbligati a tenere il registro dei trattamenti:

 

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

 

Ecco, molti dimenticato di fare l’analisi semantica del periodo, che è – invece – la seguente:

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che

  1. il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato
  2. il trattamento non sia occasionale
  3. includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1
  4. i dati personali relativi a condanne penali e a reati di cui all’articolo 10

 

Orbene, i dati di cui all’art.9 del GDPR sono i c.d. “dati sensibili”, tra i quali principalmente ricadono quelli concernenti la salute, mentre quelli dell’art.10 del GDPR sono i dati giudiziari.

Appare abbastanza chiaro che sia abbastanza difficile che un soggetto NON TRATTI dati sensibili; infatti è sufficiente avere anche un solo lavoratore subordinato alle proprie dipendenze per trattare dati sensibili e, di conseguenza, essere obbligati alla tenuta del registro dei trattamenti.

 

Continuerò questa disamina nei prossimi articoli.