GDPR: attenti a… quei tre (articoli)!
D: “Hai predisposto il registro dei trattamenti?”
R: “Sì certo, non ho avuto particolari difficoltà; su internet si trovano, facilmente, alcun facsimile… basta scaricarli, confrontarli, adattarli alla meno peggio al tipo di attività e il gioco è fatto! In fin dei conti, facevo così anche per il documento programmatico sulla sicurezza, fino a quando era prevista la sua obbligatorietà. Tanto, i controlli non ci saranno e, se ci saranno, perché dovrebbero controllare proprio me e, anche se dovessero venire da me, non avrei comunque problemi: ho l’informativa, il registro dei trattamenti ed ho fatto aggiornare antivirus e firewall al portatile che porto sempre con me, per cui non ho neanche bisogno di fare il backup; ho sentito ad un convegno che non ho bisogno di altro per essere in regola con il GDPR”.
Sono consapevole del fatto che pochi crederanno che il dialogo sopra trascritto sia effettivamente intercorso tra chi scrive e una persona (professionista? Imprenditore?) del quale, ovviamente, non posso fare il nome, ma chi, come me, si occupa di protezione dei dati in maniera consapevole e professionale, credo abbia modo di identificarsi nel mio stato d’animo e di provare, da una parte, la stessa sensazione di stupore da me percepita e, dall’altra, di giungere alla medesima conclusione: neanche il GDPR sarà in grado aumentare il livello di responsabilizzazione di coloro che trattano i dati delle persone fisiche nell’espletamento dell’attività professionale o imprenditoriale!
Nel premettere che, di quanto contenuto nel dialogo, diverse, in negativo, sono le riflessioni da fare e altrettanto palesi sono le inesattezze e quindi le violazioni delle più comuni e elementari regole del GDPR e di accountability, credo sia opportuno mettere in evidenza soprattutto i rischi che potrebbero derivare non solo dalla mancanza del registro dei trattamenti ma, pur in sua presenza, di una sua tenuta non corretta, e ciò in relazione alle informazioni in esso contenute.
Mi spiego meglio.
In caso di violazione degli obblighi imposti dall’articolo 30 GDPR da parte del titolare del trattamento o del responsabile del trattamento è prevista la sanzione pecuniaria fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, lettera a) GDPR).
L’articolo 166, comma 3, del D.Lgs. 196/2003 (come integrato con le modifiche introdotte dal D. Lgs. 101/2018) dispone che l’organo competente ad irrogare le sanzioni sopra citate è il Garante per la protezione dei dati personali il quale, nello svolgimento di tale funzione dovrà avere cura di valutare, caso per caso, le violazioni, affinché le sanzioni siano effettive, proporzionate e dissuasive come disposto dall’art. 83, par. 1, GDPR, tenendo in considerazione le circostanze di cui all’art. 83, par. 2, GDPR, ossia la natura, l’oggetto o la finalità del trattamento, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, e altro.
In applicazione di tale norma, il Garante dovrà quindi trovare la sanzione più idonea affinché la stessa da una parte sia proporzionata alla violazione e, dall’altra in grado di dissuadere il suo autore dal ripetere quel comportamento (anche omissivo).
Ma, per ipotesi di scuola, immaginiamo che nel registro dei trattamenti siano contenuti riferimenti, notizie o circostanze non veritiere e quindi contrastanti con l’effettiva e reale situazione presente nella struttura nella quale opera il titolare del trattamento o il responsabile del trattamento e avviene, quindi, il trattamento dei dati; in tale ipotesi, la violazione degli obblighi imposti dall’articolo 30 GDPR, oltre a configurare le conseguenze dettate dall’art. 83, par. 4, lettera a), GDPR) sarebbe altresì idonea a configurare, in capo al titolare del trattamento o al responsabile del trattamento, la violazione e le conseguenze previste dall’art. 168 comma 1 del D.Lgs. 196/2003? Prima di rispondere al quesito, è opportuno analizzare la norma appena citata.
Decreto Legislativo 196/2003
Art. 168
Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
Dalla lettura della norma, appare evidente come la risposta alla domanda sopra formulata non possa che essere positiva, posto che il registro dei trattamenti deve contenere una serie di dati, indicazioni, notizie e circostanze che hanno la duplice funzione di rappresentare e dare conto, da una parte, di quel processo di mappatura che il titolare del trattamento e il responsabile del trattamento devono espletare per verificare e identificare e censire la tipologia specifica dei dati trattati e, dall’altra, nel rispetto del concetto di privacy by design e di accountability, creare la documentazione necessaria come richiesta dal GDPR e, soprattutto ma non solo, riportare, per ogni specifica categoria di dati trattati, le misure di sicurezza applicate per la protezione dei dati.
Attenzione quindi perché se è vero che:
1) quanto alle sanzioni amministrative, l’articolo 22, comma 13 del D.Lgs. 101/2018 prevede che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie (termine che andrà ad esaurirsi nella seconda decade del mese di maggio 2019), è altrettanto vero che
2) quanto alle violazioni penali eventualmente riscontrate, comprese quelle conseguenti al verificarsi della fattispecie prevista dall’art. 168, comma 1, D.Lgs. 196/2003 non esiste norma che possa attenuarne o affievolirne gli effetti.
In conclusione, si invitano i destinatari del GDPR a fare attenzione, tra le altre, alle norme previste dall’art. 30 GDPR, dall’art. 22, comma 13, D. Lgs. 101/2018 e dall’art. 168 D.Lgs. 196/2003.
(articolo realizzato dal Team IUSTEC)