A quasi un anno dall’entrata in vigore del Regolamento UE 679/2016 possiamo affermare di avere alle spalle un pò di “vita vissuta”, sulla base della quale sviluppare qualche riflessione sul modo nel quale viene interpretata la figura del responsabile del trattamento.
La prima riflessione che merita di essere svolta riguarda l’interpretazione che viene data alla figura del responsabile del trattamento: un mero ruolo formale, nominato, spesso, in modo automatico dalle aziende, più per prassi o procedure consolidate nel tempo, che per effettiva coscienza di ciò che si sta facendo. Succede, ancora, molto frequentemente di ricevere nomine che non hanno nulla a che vedere con i reali trattamenti per i quali la nomina stessa viene emessa: queste nomine sono scritte in modo totalmente generico, senza identificare in modo puntuale i trattamenti ai quali si riferiscono e senza citare i dati oggetto del trattamento. In sostanza, un documento inutile e privo di significato, innanzitutto, per il titolare del trattamento il quale dimostra, senza, evidentemente, rendersene conto, di non gestire affatto il rischio relativo ai trattamenti effettuati, bensì di “produrre carta” che non tutela nè se stesso, nè i soggetti ai quali si riferiscono i dati che fanno parte dei trattamenti.
Un’altra riflessione, ahimè molto triste, consiste nel vedere come le nomine vengano pensate ed utilizzate con la logica del “gioco del cerino“: puntualmente, in fondo alla nomina, viene riportata una cosiddetta “clausola di manleva” che non ha alcuno valore legale. Infatti, il GDPR vieta esplicitamente di trasferire al responsabile del trattamento alcuna responsabilità inerente i trattamenti per i quali un titolare ha deciso di nominarlo (ovviamente, se il responsabile rispetta quanto il titolare gli impartisce). La logica della figura del responsabile, come ben spiegato all’interno del Regolamento, è identificare un soggetto, dotato dei requisiti tecnico-professionali (e, naturalmente, morali) che sia in grado di garantire la corretta esecuzione ed il relativo controllo sui trattamenti che il titolare decide di affidargli, sotto il proprio controllo. L’approccio, invece, ancora in voga è palesemente dettato da un’impronta giuridico-punitiva con la quale si vuole cercare di trasferire ad altro soggetto, diverso dal titolare, responsabilità che sono, al contrario, proprie del titolare stesso. Il Regolamento, infatti, spiega in modo chiaro che è compito del titolare effettuare un’analisi dei trattamenti e costruirli in modo tale da garantire il rispetto dei requisiti di liceità e le finalità per le quali i trattamenti sono stati ideati.
La strada da percorrere per dare concreta attuazione al principio di accountability pare essere ancora lunga: un’analisi preliminare soddisfacente ed oculata sui trattamenti (e sui dati che gli stessi trattamenti coinvolgono) è un modo di pensare che non risulta adeguatamente radicato e diffuso. L’atteggiamento tenuto finora da Garanti della Protezione dei Dati europei, che tendono a dare sanzioni pesanti in palese e totale assenza di evidenze di analisi dei processi aziendali, può contribuire a creare quel modo di pensare che dovrebbe stare alla base dell’analisi dei trattamenti.