Per chi sta pensando che è venuto il momento di prendere sul serio il Regolamento europeo della Privacy, voglio dare alcuni preziosi consigli. Non fate le cose da soli, ma non sceglietevi neanche il primo consulente privacy che vi capita davanti. Il comitato scientifico di Accademia Italiana privacy ha realizzato delle linee guida proprio perche ogni iscritto abbia una metodologia di pensiero e di realizzazione comune. Troppo spesso sento infatti consulenti (o presunti tali) parlare di documenti da far firmare in questi termini ”lo so, forse non era da far firmare ma meglio fare una cosa in più che una in meno”.

Nossignore! Il “melius abundare quam deficere” nel GDPR non va bene!

E’ assolutamente sanzionabile “l’abundare” ma lo è anche “il deficere”
Una lettera di incarico o una nomina presuppongono la raccolta di dati personali e ciò costituisce, a tutti gli effetti, un trattamento dati. Rabbrividisco al pensiero che alcuni dati sensibili e personali possano essere visti dall'addetto alle pulizie, dal muratore o dall'addetto alle ricariche delle macchinette automatiche del caffè perchè nomi e cognomi, indirizzi, partite Iva e così via... sono liberamente visibili sullo schermo o sulla scrivania dell'incaricato.

Chiaramente se questi "soggetti terzi" decidessero di usare in qualche maniera quei dati commetterebbero un reato penale, ma la vera responsabilità ricadrebbe sull'incaricato che non avrebbe fatto il possibile per proteggere i dati in suo possesso (e con questo ribadisco l'importanza della formazione, non solo perchè apertamente prevista dall'art.29 del GDPR, ma perchè è necessario che l'incaricato sappia come mettere tecnicamente e materialmente in sicurezza i dati). La soluzione, badate bene, non sarà neppure quella di raccogliere i dati dell'addetto alle pulizie solo perchè potrebbe vedere altri dati mentre esegue le proprie mansioni, perchè incorreremmo in un abuso sanzionabile, dal momento che si verrebbero violati sia il principio di pertinenza sia quello di non eccedenza della raccolta dati. 

Come vedete, non ci si può "orientare a naso" in un tema delicato e complesso come quello della protezione privacy e dati, per questo motivo vi esorto a trovare un consulente privacy preparato che vi possa seguire in questo percorso. Su www.accademiaitalianaprivacy.it c’è la possibilità di sapere il consulente a voi più vicino.

Buon GDPR!

Alessandro Papini
Presidente Accademia Italiana Privacy