L’esempio classico è quello dello studio medico dove, al momento in cui passiamo davanti al tavolo della segretaria, troviamo in bella mostra l’agenda con gli appuntamenti della settimana, un paio di ricette che qualcuno dopo passerà a prendere e la cartella clinica con il nome del paziente visitato prima di noi. Lo stesso può accadere in decine di altre situazioni. 

I Titolari del trattamento, anche quando decidono di adeguare la loro azienda al GDPR, hanno spesso la tendenza a concentrarsi sulla foresta e dimenticare che questa è formata da tanti piccoli alberi ciascuno dei quali ha la sua funzione. Ribadendo che il GDPR non prevede forme specifiche o misure definite in ordine alle modalità di protezione e trattamento dati da parte del titolare, che ha la massima discrezionalità, è questi a decidere per ogni suo singolo incaricato o dipendente quali misure debbano essere adottate e quale formazione debba essere impartita.

Ma anche qui il testo del GDPR è ancora decisamente generico, fino al punto che il termine formazione non si trova nei considerata e viene nominato per la prima volta all’art.39 tra i compiti del Responsabile della Protezione Dati, laddove venisse incaricato dal Titolare di provvedervi. Insomma, nessun obbligo o dovere specifico così come non è formalmente previsto il costante cambio di password. La formazione la possiamo ritenere implicita nei dettati dell’art. 32 GDPR e, in ogni caso, è uno dei doveri principali per ogni titolare, nonché norma comportamentale dovuta. Tuttavia, i costi ed i rischi che non vengono adeguatamente né compresi né valutati inducono molte aziende a trascurarla. I rischi possono essere elevati e lo sanno bene, ad esempio, i laboratori di analisi sanzionati dal Garante per € 10.000 dopo che avevano inviato a dei pazienti i risultati dell’analisi di altri.

L’esperienza di ogni giorno ci insegna che i primi a venire in contatto con i dati personali non sono certo i vertici di un’azienda, bensì segretarie, collaboratori esterni che raccolgono proposte, coloro che ricevono e leggono email per informazioni e preventivi: tutti soggetti che, purtroppo, non sempre sono oggetto di adeguati percorsi formativi. Inoltre, spesso avviene che i dati di possibili futuri clienti vengano raccolti mediante aziende terze che agiscono in forza di un contratto per conto del titolare. Fin troppo spesso la catena dei rapporti e delle lettere di incarico non è rispettata e non vengono tenuti presenti i passaggi che portano, ad esempio, un operatore di call center (sempre che lo faccia in maniera legittima) a usare un numero di telefono e l’incaricato che raccoglie una proposta per conto di un fornitore svolgono attività di trattamento dati per la quale dovrebbero avere ricevuto un’adeguata formazione, istruzioni e, ovviamente, una lettera di incarico che contenga i limiti dell’attività svolta.

Anche queste sono considerazioni e elementi di valutazione che un imprenditore oculato dovrebbe tenere presenti al momento della predisposizione della policy privacy aziendale come potenziali rischi e cause di data breach. Non si tratta quindi solo di indicare norme comportamentali, ma anche di avere un chiaro quadro dell’attività dell’azienda, i rapporti contrattuali con partner e fornitori e predisporre adeguate lettere di incarico.

Il non farlo è data breach.