Il D.P.O.: un ministro senza portafoglio…

DPO nella Pubblica Amministrazione: un ministro senza portafoglio...

… che prosciugherà il tuo se ti affiderai ai professionisti del ​”copia-incolla” (e qual è il primo passo da compiere per impedirglielo).

Confessa! Non ne puoi più di sentir parlare di GDPR.

Soprattutto stai sentendo decine di versioni diverse e la confusione regna sovrana.

Per quale motivo le cose non sono chiare?

La normativa è complessa, non c’è dubbio.

Ci sono però altri fattori che contribuiscono a complicarti la vita.

Uno in particolare.

Devi sapere che l’entrata in vigore del regolamento europeo, ha creato un mercato al quale molti vogliono partecipare per trarne profitto.

In questo non c’è nulla di male.

Le onlus non operano in questo settore.

Il problema si pone quando in un mercato entrano player che nulla hanno a che fare con quel settore.

Mi spiego con un esempio.

Ricordi la corsa del mercato immobiliare fino al 2008?

Un mercato che sembrava potenzialmente infinito.

In quel contesto sono spuntate centinaia di nuove imprese edilizie.

Molte di queste però erano composte da persone che a malapena distinguevano la calce dal cemento o la sabbia dalla ghiaia.

La crisi iniziata nel 2008 ha rimesso la cose parzialmente in ordine ripulendo il settore lasciandosi dietro una scia di problemi.

In particolare c’è stato un aumento esponenziale dei procedimenti di giustizia amministrativa che riguardano proprio l’edilizia.

Problemi alle costruzioni nella migliore delle ipotesi, aziende chiuse, soldi spariti e case a metà nella peggiore.

L’Istat ha certificato che nel solo 2015 sono stati definiti 20.658 procedimenti.

Il maggior numero di contenziosi amministrativi in Italia, si sono chiusi proprio nel settore dell’edilizia.

Perchè ti sto portando questo esempio?

Come ti dicevo, la normativa entrata in vigore il 25 maggio, ha creato un mercato consistente nel quale molti vogliono entrare.

Si sta generando una vera e propria “corsa” alla vendita di pacchetti di adeguamento al GDPR

Da parte di chi?

Purtroppo in molti casi da parte di aziende che nulla hanno a che fare con il settore in questione:

  • case editrici
  • aziende di risparmio energetico
  • rivenditori di software per la P.A.

Tutto questo perchè vi è l’errata convinzione che adeguarsi al GDPR significhi, semplificando al massimo, adeguare la modulistica sulla privacy.

Fosse così chiunque, con la tecnica del copia-incolla, potrebbe vendere pacchetti di aggiornamento della normativa.

Così non è… ma è ciò che sta accadendo.

Prima del 2008 alcuni imprenditori pensavano che bastasse munirsi di pala e betoniera per essere in grado di costruire una casa.

I fatti hanno dimostrato che non era proprio così.

Ci vogliono competenze ben più ampie perché un errore può costare molto caro.

Non so perchè, ma il tema sanzionatorio desta improvvisamente anche le menti più pigre.

Quanto ti può costare un errore o una mancanza che infrange la nuova normativa?

Tieniti forte.

Il sistema sanzionatorio posto a presidio dell’osservanza del GDPR prevede:

  • sanzioni amministrative fino a 20 MILIONI di euro (art.83)
  • responsabilità civile nei confronti dell’interessato che subisca un danno materiale o immateriale causato da una violazione del regolamento (art.82)

Evidentemente se le sanzioni previste sono così elevate, significa che l’intera normativa non riguarda il semplice aggiornamento della modulistica.

Capisci quindi quanto sia importante fare le cose per bene?

Quindi mettiamo un po’ d’ordine cercando di rendere la materia comprensibile.

Dal 25 maggio le Amministrazione inizieranno ad applicare il regolamento e diverranno operative anche le sanzioni.

Perché voglio sottolineare la data di inizio che, naturalmente, conosci benissimo ed è un dato scontato?

Sembra banale, ma la normativa europea ha un approccio diverso rispetto al vecchio Codice Privacy (D. Lgs. n.196/2003).

Devi fare molta attenzione a non approcciarti a questo cambiamento in modo burocratico e formalistico.

Non si tratta di “sistemare le carte” una volta per tutte entro il 25/5 con la modulistica corretta compilando quattro formulari e poi disinteressarsi delle tematiche sulla privacy.

Commettere questo errore potrebbe costarti molto caro.

Adeguarsi al GDPR non è un semplice adempimento.

Il regolamento europeo introduce un principio nuovo per la normativa italiana…

Il principio di ​accountability.

In italiano potresti tradurlo con il termine responsabilizzazione​.

Vediamo di cosa si tratta.

Il GDPR garantisce a Sindaci e Amministratori Pubblici, margini di discrezionalità che non erano presenti nel vecchio Codice Privacy, ma da essi pretende la capacità di dimostrare il rispetto dei diritti sanciti dal regolamento.

Come vedi è un principio tutto nuovo in Italia soprattutto nella P.A.

Fino ad oggi era la norma che stabiliva quello che dovevi fare e come farlo.

Non per nulla ogni attività nella P.A. viene ancora definita ​burocratica.

Prendi la norma e la applichi esattamente facendo ciò che dice.

Se l’hai applicata “alla lettera” in ogni occasione, sarai al riparo da tutti i guai.

Con il nuovo GDPR invece spetta a te, amministratore, dimostrare che il trattamento dei dati avviene SEMPRE in modo conforme.

Questo significa che dovrai garantire anche dopo il 25 maggio, la conformità di tutte le tue attività alle regole europee.

Significa che gli sforzi che hai fatto per adeguarti al regolamento, non sono altro che l’attività preparatoria a quanto dovrai porre in essere proprio a partire da tale data.

Fissati bene in mente: il GDPR NON è il semplice adeguamento della vecchia modulistica stabilita dal Codice Privacy.

Il GDPR sostituisce integralmente il vecchio Codice.

E’ un regolamento e poiché non è una legge vera e propria non impone alcun tipo di soluzione tecnica o legale.

Non ti indica, ad esempio, un modello per la raccolta del consenso privacy che potrai “copia-incollare”.

Dovrai essere tu a predisporlo e, cosa più importante, dimostrare che è conforme alla nuova normativa.

Se hai compreso questo cambiamento culturale, allora non avrai difficoltà a capire che nel tuo ruolo di Titolare del trattamento, avrai il difficile compito di verificare che ogni singola micro-attività posta in essere dal tuo Ente rispetti il regolamento.

Un compito non facile direi.

Come uscirne? Se convieni con me che il copia-incolla sia rischioso e non applicabile, allora la soluzione è UNA e una soltanto.

Si tratta di adeguare il “modus operandi” della tua PA.

L’organizzazione è la soluzione.

Se la tua organizzazione è strutturata sarai sempre in grado di dimostrare di avere una corretta gestione e monitoraggio dei flussi di dati personali trattati.

Il fatto che la normativa europea preveda la figura del Responsabile Protezione Dati (DPO) dimostra come l’attenzione del legislatore si sia posata anche sull’aspetto organizzativo del tuo Ente.

Il DPO come ormai saprai può essere individuato tra il tuo personale interno oppure può essere designata una persona esterna.

Tieni comunque presente che:

Non sarà il DPO a rispondere personalmente in caso di inosservanza del GDPR!

Spetta infatti al Titolare (Comune) o al Responsabile del trattamento assicurare il rispetto della normativa.

Questo ti fa capire quanto sia importante che il tuo DPO sia un ​professionista preparato in gestione e applicazione del GDPR nel settore pubblico.

Se non è competente e commette un errore, sarai tu a pagare il conto che si preannuncia parecchio salato.

Sarà il tuo portafoglio ad essere prosciugato e non il suo.

Quindi da dove devi iniziare?

La prima cosa che devi fare, nel tuo ruolo di Titolare, è una preliminare valutazione di tutti i rischi che ciascun “trattamento dei dati” può comportare.

Devi analizzare ogni singola azione che viene svolta all’interno del tuo Ente.

Questa valutazione ti serve per capire se un “trattamento di dati” può presentare un rischio particolarmente elevato per i diritti e le libertà delle persone fisiche.

Non sottovalutare questa analisi.

Sarà la mappa che ti guiderà nella predisposizione di tutte le misure tecniche e organizzative adeguate per prevenire o annullare i rischi.