Le ultime statistiche sembrano confermare che in Italia solo circa un quarto delle aziende si sono adeguate al GDPR. Al di là del fatto di non considerare la protezione dei dati personali meritevole delle dovute attenzioni all’interno della propria realtà, ci sono ripercussioni anche sulle aziende che invece si sono (o stanno cercando di farlo) adeguate: ciò riguarda le nomine (più correttamente, gli accordi di trattamento di dati personali) dei Responsabili del Trattamento.
La catena dei Responsabili del Trattamento
Il Regolamento, com’è noto, prevede l’obbligo che i trattamenti “delegati” ad altra figura giuridica siano disciplinati da un contratto o altro atto giuridico che vincoli il RdT al TdT e che stipuli la materia disciplinata, la durata, natura e finalità del trattamento, il tipo di dati dati personali e le categorie di interessati, etc (c.3, art. 28). Poi il c.4 prevede che se un RdT ricorre lui stesso ad un altro RdT, a quest’ultimo sono imposti gli stessi obblighi dell’accordo tra TdT e il primo RdT. Gli obblighi quindi si trasferiscono dal TdT ai suoi RdT, da questi ai loro RdT, e così via in sequenza, come in una catena (i più attenti riconosceranno in realtà una struttura ad albero, ma in questo contesto è più facile pensare ad una catena).
Inoltre, analizzando le prescrizioni relative all’atto giuridico (lettere da a) a h) del c.3), è conclusione ovvia che il RdT, per poterle rispettare, deve aver eseguito l’adeguamento al GDPR. Forse meno ovvia è la conclusione contraria, ma ugualmente importante: il TdT, per poter assegnare al RdT le istruzioni e gli obblighi tramite l’accordo, non può farlo se a sua volta non si è adeguato (se non altro perché se non ha fatto la sua analisi dei rischi, e conseguentemente non ha individuato le misure di sicurezza tecniche ed organizzative necessarie, non può certo imporle ad altri).
Quindi, perché gli accordi tra TdT e RdT e tra RdT ed altri RdT siano validi, tutti i soggetti devono essere adeguati.
La realtà dei fatti
Nella realtà delle cose, come molti di noi vedono ogni giorno nel loro lavoro, indipendentemente che l’iniziativa per regolare il rapporto parta dal Titolare o dal Responsabile (anche se la legge prevede sia il Titolare), molte volte ci si scontra con l’ostracismo della parte opposta; le motivazioni più comuni sono:
- Il GDPR a me non si applica
- Non ho tempo da dedicare a queste cose
- La privacy non serve a niente
Oppure, al contrario, molti firmano la nomina senza avere idea di cosa ciò comporta.
Prendiamo ad esempio i medici:
Un caso tipico è quello dei medici. Oramai tutti i medici utilizzando dei software per mantenere le “schede” dei loro pazienti, generare le prescrizioni e inviare i dati previsti alle ASL. Tutti questi software sono gestiti da aziende che si sono adeguate già prima dell’applicazione del GDPR (25 maggio 2018), se non altro perché avrebbero rischiato grosso sia in termini di ispezioni, che di rimanere fuori mercato rispetto alla concorrenza che si era adeguata. Essendosi adeguati, hanno inserito nelle formalità di attivazione del servizio anche l’accordo (o nomina) di cui sopra, che ovviamente i medici hanno dovuto accettare. Ma molti medici non hanno ancora iniziato (o completato) l’adeguamento, il che li rende inadempienti rispetto all’accordo/nomina che pure è formalmente valido (con tutte le conseguenze del caso in termini di esposizione a sanzioni).
Forse ancora più grave è invece il caso delle sostituzioni: un medico che ha raggiunto la conformità non dovrebbe ricorrere ad un medico che non si è adeguato perché quest’ultimo non gli garantisce le misure tecniche ed organizzative per la protezione dei dati (sanitari!) dei propri pazienti; questo indipendentemente dalla capacità medica e dalla fiducia personale.
Conclusioni
In definitiva, il tempestivo l’adeguamento al GDPR non è un optional, se non altro perché la sua mancanza espone altri soggetti, anche virtuosi in materia, a possibili contestazioni o perché potrebbe costringerli ad interrompere rapporti professionali proficui sotto gli altri punti di vista.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
