LA TORRE DEL GDPR

Quanto è solido il vostro impianto Privacy? Recenti avvenimenti dimostrano come si possano riscontrare ancora delle difficoltà dal punto di vista operativo per quanto riguarda la compliance con un pilastro fondamentale, niente meno che il GDPR.

Ebbene sì, giunti a quasi sei anni dalla sua entrata in vigore, per quanto chiare possano apparire le previsioni del Regolamento (UE) 2016/679 (GDPR) non è così scontata la loro corretta applicazione nei casi concreti.

Per passare subito ai fatti, il richiamo va al provvedimento emanato il 22 febbraio 2024 dal Garante per la Protezione dei Dati Personali, nel quale l’Autorità si è soffermata sul rapporto e contenuto del contratto stipulato (se così si può dire) fra un ente locale titolare del trattamento (il Comune di Monterotondo) e il responsabile del trattamento, ossia una società esterna (APM), a cui il Comune aveva affidato l’attività di gestione dei dispositivi video installati in prossimità di tre stazioni ecologiche con funzione di “sistema di alert” al fine di prevenire e individuare atti di vandalismo o eventi rilevanti per la sicurezza degli impianti o incolumità degli utenti.

Il fatto che i dispositivi in questione non rappresentassero un vero e proprio sistema di videosorveglianza, dal momento che avevano una capacità di memorizzazione e registrazione limitata e si attivavano solo per effetto di sensori di movimento, non è stato sufficiente a escludere l’attività dal novero del trattamento dei dati personali. Questo non sarebbe un problema se non fosse che l’esternalizzazione del trattamento delle immagini riprese non era stata preceduta dalla stipula di un contratto sulla protezione dei dati tra il titolare e il responsabile del trattamento. Per essere più precisi, un contratto di questo tipo era stato predisposto e sottoscritto dal Comune ma non da APM “per mera dimenticanza”. La sottoscrizione da parte della società esterna era intervenuta solo dopo l’avvio dell’istruttoria da parte del Garante e pochi giorni prima della data in cui è cessato il trattamento.

Non si è fatta attendere la sanzione del Garante nei confronti del Comune per violazione, tra l’altro, dell’articolo 28, paragrafo 3, del GDPR, che interviene non solo a causa dell’assenza di un valido accordo di trattamento tra il titolare e il responsabile ma anche perché, il contratto che era stato predisposto, non avrebbe comunque soddisfatto i requisiti del GDPR in quanto si limitava a ribadire le previsioni del suddetto articolo senza fare riferimento allo specifico trattamento dei dati personali affidato al responsabile. Per non farsi mancare nulla, nessuna istruzione rispetto alle specifiche misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio erano state impartite dal titolare al responsabile in tale contesto.

Eppure, non si può certo di dire che ci sia stata carenza di “aiuti” interpretativi in questi anni: Linee Guida, Opinion, pronunce da parte della Corte di Giustizia, provvedimenti da parte delle Autorità nazionali & co. Ma sono davvero riusciti nell’impresa di chiarire qualsiasi dubbio?

E allora di chi è la responsabilità? Forse è fin troppo semplice attribuirla alla mancata diligenza dei titolari o responsabili del caso, anche perché abbiamo assistito a casi in cui sono le stesse istituzioni dell’Unione a commettere ancora degli errori. Non sarà di certo passata inosservata la recente decisione dell’EDPS che fa seguito ad un indagine il cui esito ha condotto a riscontrare la violazione da parte della Commissione Europea di diverse previsioni del Regolamento (UE) 2018/1725 (per le istituzioni dell’UE) nell’uso di Microsoft 365.

Senza fare distinzioni, che si tratti di grandi o piccole società, enti pubblici, associazioni, la compliance del GDPR sembra essere il tallone di Achille di tutti. La difficoltà sta nella comprensione delle norme? Sembrerebbe di no: vedi gli aiuti interpretativi di cui sopra. Allora forse il problema sorge al momento dell’applicazione pratica? Di certo sembra sia richiesto un coinvolgimento operativo che va al di là di quello che ci si aspettava. Non contando poi che l’intervento per l’adeguamento non può essere una tantum ma è richiesta una costante attività di monitoraggio e valutazione al fine di garantire una conformità continua.

Qual è allora la soluzione? Di certo il rischio di incappare in errori di implementazione non può essere azzerato. Non resta che cercare di affrontare i singoli casi concreti con un approccio che sia sempre più proattivo e preventivo, ossia volto a evitare quanto più possibile di incorrere in eventuali sanzioni, piuttosto che reattivo.

E non dimenticate di rivolgervi ad un esperto.