Il GDPR 10 anni dopo: sì alla semplificazione, ma non con questo Digital Omnibus - Cyber Security 360

A dieci anni dall’entrata in vigore del GDPR, è bene chiedersi come sia stato applicato, come abbia inciso sui modelli organizzativi, sulle responsabilità dei soggetti coinvolti, che passi avanti abbia consentito di fare in termini di cultura della protezione e valorizzazione del dato personale.Tante sono state, specie negli ultimi anni, le spinte innovative e molteplici sono state le normative emanate in ricorsa alla tecnologia più evoluta.Vediamo meglio, partendo dalle esperienze fatte sul campo anche per guardare verso il futuro.Indice degli argomenti

Un decennio di GDPR: qualche chiave di letturaIn pratica: abiti su misura e scelte di buona normaLato Autorità: alcune sanzioni irrogateIl DPO: alleato, ma non tutto fareVerso una semplificazione? Sì, ma non con questo Digital OmnibusUn decennio di GDPR: qualche chiave di letturaIl 24 maggio 2016 entrava in vigore il Regolamento europeo in materia di protezione dati personali, il GDPR, per diventare applicabile proprio due anni dopo. E così, a distanza di dieci anni proviamo a ricapitolare se la sua attuazione è stata pienamente realizzata negli intenti espressi dai Considerando che fanno da preludio al testo normativo e ne dirigono l’interpretazione sistematica.Il riconoscimento della protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale come diritto fondamentale (considerando n. 1), l’universalità dei diritti e delle libertà fondamentali e la loro funzione sociale (considerando n. 2), l’armonizzazione delle garanzie di tutela con la libertà di circolazione dei dati personali (considerando n. 3), la convivenza proporzionata fra diritti fondamentali (considerando n. 4), ad esempio, esprimono delle chiare scelte politiche e pongono dei capisaldi lungo i quali si è evoluta la norma nella sua applicazione sostanziale.Principi ai quali le autorità di controllo devono – anzi: dovrebbero – sempre guardare per governare un futuro non tanto desiderabile, in quanto eminentemente soggettivo, bensì sostenibile nel trade-off fra evoluzione del mercato e protezione dei diritti individuali.Con riguardo al tessuto imprenditoriale, è (stato) un Regolamento il cui adeguamento ha coinvolto tutti: bastava avere qualche dipendente, dei PC, un sito internet, dei fornitori, et voilà, l’impianto privacy predisposto ai sensi della precedente normativa doveva essere riesaminato.Adempimenti già noti e nuovi, o più dettagliati e attenti ai tempi che cambiano: informative più chiare, precise, ma semplici in quanto da (dover) essere fruibili da chiunque; la particolare attenzione ai minori, con l’esigenza di coordinamento con le normative nazionali in materia di capacità di agire.Sul piano operativo, il Modello Organizzativo Privacy (o MOP), ha trovato le opportunità per rinnovare le procedure di nomina per gli autorizzati (ex art. 29 GDPR) prevedendo anche la sensibilizzazione e formazione degli stessi, così come gli accordi con i fornitori quali responsabili del trattamento (ex art. 28 GDPR) non sono più state semplici “nomine” bensì veri e propri modelli contrattuali da dover gestire all’interno delle procedure di selezione e controllo dei fornitori, così come la procedura di data breach (ex artt. 33 e 34 GDPR) hanno formalizzato le esigenze di gestione degli incidenti di sicurezza.Anche il registro dei trattamenti (ex art. 30 GDPR), è stato un “obbligo generalizzato” in quanto strumento di censimento dei trattamenti e gestione dei rischi di compliance (ex art. 24 GDPR) e di sicurezza (ex art. 32 GDPR), da presentare in caso di ispezioni o attività di riesame interno, evolvendo il DPS in un’ottica più gestionale che compilativa, più operativa che teorico-formale.Parimenti, la valutazione d’impatto sulla protezione dei dati, o DPIA, (ex art. 35 GDPR) ha introdotto un nuovo strumento di rendicontazione interna, obbligatoria per talune categorie di trattamenti di rischio elevato (ivi incluso l’elenco del Garante Privacy) e non vincolante, ma altamente consigliato, per tutti i casi in cui occorre una maggiore profondità di analisi della gestione di determinate attività di trattamento svolte.Con il GDPR l’impostazione si è rovesciata: non viene più detto al titolare del trattamento, se non per obiettivi da gestire, cosa deve fare, ma sta al medesimo e per quota al responsabile del trattamento, essere in grado di mantenere la capacità di realizzarli.Questa, è la pietra miliare dell’accountability. Una responsabilità certamente gravosa, compensata però dall’ampio spazio alla libertà di organizzazione imprenditoriale e di gestione.In pratica: abiti su misura e scelte di buona normaIn pratica, per quanti come noi si sono trovati a dover adeguare differenti realtà, tutto questo che cosa ha significato? Creare dei modelli taylor made, a fronte di un’architettura di massima comune, ma tanto più da personalizzare, approfondire e spesse volte da semplificare in base al contesto. Parola chiave.Non solo: scelte di adesione alla normativa coerenti con le evidenze emerse dall’analisi del contesto. Premessa ineliminabile per una corretta gestione dei rischi, i quali devono tenere conto dell’interessato e dei suoi diritti e libertà fondamentali.Dopodiché, l’introduzione dei codici di condotta è stato uno strumento molto utile per la condivisione di buone prassi e, soprattutto, dialogo con l’autorità di controllo. Stesso discorso per certificazioni, in quanto valevoli a dimostrare la conformità delle attività di trattamento al GDPR.Lato Autorità: alcune sanzioni irrogateVediamo ora alcune delle sanzioni irrogate dalla ns Autorità, con lo scopo di punire la mancata compliance alle norme di cui al GDPR e dall’altro di sensibilizzare le Organizzazioni sull’importanza della protezione dei dati personali tutelando i diritti degli interessati.2019Facebook sanzione di 5 milioni di euro per aver fornito informazioni non sufficienti agli utenti circa la raccolta e l’uso dei dati personali, oltre al mancato/non valido consenso per la profilazione degli utenti a scopi pubblicitari.2020TIM sanzione di 27,8 milioni di euro, per pratiche di telemarketing non conformi, tra cui l’effettuazione di chiamate commerciali senza il consenso valido degli utenti chiamati.Wind Tre sanzione di 16,7 milioni di euro a Wind Tre per un’attività di telemarketing scorretta, inviando nella specie messaggi promozionali senza da un lato il consenso degli utenti e dall’altro la registrazione delle richieste di opposizione al trattamento dei dati personali.2021Google sanzione di 102,1 milioni di euro per la mancata informazione agli utenti sul trattamento dei dati personali, inclusa la pubblicità mirata, nonché per il mancato consenso valido circa l’uso dei dati personali a scopi pubblicitari.2022Clearview AI Inc 20 milioni di euro per aver raccolto selfie su Internet, aggiunti al database di circa 10 miliardi di volti al fine di creare servizi di corrispondenza dell’identità.2023OpenAi Provvedimento dell’11 aprile, l’Autorità concedeva alla società statunitense di mettersi in regola entro il 30 aprile quando, se adempierà alle prescrizioni del Garante (circa informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti), potrà tornare nuovamente operativa (anche in Italia) con ChatGPT interamente accessibile. È così è stato, tornando da maggio nuovamente operativo, potendo imparare molto da questa esperienza per una volta, con fierezza, tutta all’italiana.2024Unicredit per il data breach del 2018 a danno di migliaia di correntisti e non, sanzionando anche la società incaricata di effettuare i test di sicurezza, per 800mila euro.Postel per una violazione di dati personali causata da una vulnerabilità già nota e segnalata dei propri sistemi. Un provvedimento che ci ricorda l’importanza di una postura proattiva e di un processo automatizzato e ridondante di patching management.2025Regione Lombardia per aver trattato illecitamente i metadati di posta elettronica e i log di navigazione internet dei dipendenti, conservandoli per tempi eccessivi e non giustificati, privi di accordi sindacali.2026Intesa Sanpaolo sanzione di oltre 17 milioni di euro per aver profilato illegittimamente quasi 2,5 milioni di correntisti, nella cessione a favore di Isybank, controllata al 100%. ITA per aver trattato i dati dell’allora Presidente del CdA in maniera illegittima commettendo plurime violazioni, tra cui accessi abusivi all’e-mail con acquisizione di documenti nel corso di un’attività di digital forensics affidata a una società terza.Il DPO: alleato, ma non tutto fareAncora, altra figura centrale in questa partita decennale è (stato) il DPO. I primi anni, abbiamo quasi assistito a una corsa frenetica da ambo i lati: titolari alla ricerca affannosa, e gli esperti o sedicenti tali all’accaparramento del ruolo.Ma chi è davvero il Data Protection Officer? É un professionista della gestione: per lo più giurista ma anche tecnologo, con competenze tali da riuscire a comprendere gli assetti organizzativi e valutarne l’adeguatezza.In una società sempre più digitale, non può non conoscere gli aspetti tecnologici emergenti. O almeno deve essere in grado di coglierne gli spunti, così da avvalersi della consulenza di soggetti maggiormente verticalizzati in ambito tecnologico. Non può limitarsi a conoscere solo il GDPR, ma anche i cc.dd. “sette nani” (DGA, DSA, DMA, DORA, CRA, NIS2, AI Act), dovendosi chiedere però in quali parti deve intervenire con un proprio parere.Senza dimenticare che non è chiamato a sostituirsi al titolare, dovendo essere percepito come un “alleato” dal momento che la sua “missione” sul piano operativo è condurre l’organizzazione alla realizzazione degli obiettivi stabiliti dalla norma. Con la capacità di svolgere i propri compiti, quelli indicati dall’art. 39 GDPR, che è il requisito di abilità richiesto dal GDPR stesso (ex art. 37 par. 5 GDPR) accanto alla conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati.Tuttavia, l’evoluzione del contesto tecnologico e normativo ha portato all’esigenza di verticalizzare le competenze, favorendo il DPO che agisce in team o altrimenti avvalendosi di risorse consulenziali a supporto; e che, soprattutto, sappia perimetrare il proprio campo d’azione con apporto efficace per il miglioramento continuo (secondo il metodo kaizen) dell’organizzazione.Per traghettare il GDPR verso il futuro, si può pensare ad una versione 2.0, con qualche “fix”, che però sfuggono al Digital Omnibus. Ad esempio, inserire fra le condizioni per trattare i dati di categorie particolari (ex art. 9 par. 2 GDPR) anche la necessità di eseguire un contratto o misure precontrattuali, evitando pericolose impasse logiche quali il ricorso a consensi espliciti “imperfetti” nella loro libera espressione dal momento che condizionano la partecipazione al contratto.Possiamo quindi concludere dicendo che una semplificazione è più che auspicabile, ma non certamente quella del Digital Omnibus così come si sta svelando sui vari tavoli, scollegata dall’esperienza degli operatori e sbilanciata in favore degli interessi delle Big Tech.O almeno così sembra. A pensar male, di certo; ma, ahinoi, sbagliando di poco.