11 febbraio 2020

​Il ventinovesimo del GDPR

​La Cenerentola del GDPR, forse perchè è il più piccolo, o è il meno capito?

Viviamo in un paese dove un'ordinanza del sindaco di due righe e mezzo, ha bisogno di due pagine di premesse e 4 pagine di esclusioni e precisazioni.
È anche un posto dove lo spirito delle regole e leggi le devono rispettare gli altri, mentre a noi stessi applichiamo solamente la lettera, e ci concediamo sempre l'interpretazione che ci fa comodo. E quindi ci aspettiamo che così si comportino tutti.
Infine rispettiamo le regole esclusivamente se è impossibile "fisicamente" fregarsene. I divieti di sosta necessitano dell'infausto dissuasore a panettone in cemento, le fatture devono essere elettroniche, il limite di velocità deve avere il tutor, ecc.

Sarà forse anche per questo che aziende come Microsys vengono continuamente incaricate del trattamento di dati che non trattano, e insieme a questo incarico ricevono requisiti più o meno assurdi, tipo "dovrai avere tripla ridondanza galattica e fare un test di failover al mese fornendo ampia e dettagliata documentazione delle risultanze" (è vero, abbiamo un poco esagerato, non ci hanno mai chiesto la ridondanza tripla). E se gli si risponde "ma davvero gli altri tuoi fornitori fanno questo?" allora ci si sente dire "ovviamente no. È solo una formalità, il documento l'ha scritto l'ufficio legale, nessuno si aspetta che tu davvero faccia quelle cose". Apparentemente certi requisiti esistono solo come formalità, non per essere rispettati…

Quindi non c'è da stupirsi che un breve articolo del GDPR, nascosto tra il 28 e il 30, che timidamente dice qualcosa senza minacciare sventura e senza imporre procedure assurde di controllo, venga ignorato da tutti, e tirato raramente in ballo solo per sostenere tesi che con l'intento di quell'articolo poco hanno a che fare.

Il codice della strada non impone la patente a tutti gli appartenenti a una famiglia dove è disponibile un'auto. È sufficiente che la patente l'abbia chi quell'auto la guida. Che in teoria potrebbe pure essere un autista esterno, che si presenta solo quando serve. Questo anche se chi abita in quella casa avesse accesso alle chiavi dell'auto, ad esempio perché tenute in un posto alla portata di tutti. Poi se qualcuno, maggiorenne, prendesse le chiavi e se ne andasse in giro pur non avendo la patente, ne pagherà le conseguenze.
Ovvio.
O no?

L'articolo 29 del GDPR:
Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.

Abbiamo notato una certa ambiguità in "istruito in tal senso" che potrebbe riferirsi a "insegnamento, istruzione" oppure "incarico, indicazione". Per aiutare nell'interpretazione aggiungiamo quindi anche il testo in inglese che forse è più diretto:

Processing under the authority of the controller or processor

The processor and any person acting under the authority of the controller or of the processor, who has access  to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law.

Non ci permetteremmo mai, dal profondo della nostra ignoranza legale, di offrire una interpretazione di questo articolo, di cui apparentemente nessuno parla mai. Ma vorremmo portare all'attenzione di chi legge alcune considerazioni di buon senso, che potrebbero essere rilevanti nello stabilirne le implicazioni.

Prima di tutto il GDPR in generale è un documento sensato, ragionevolmente chiaro e sintetico, dove lo spirito di ogni articolo appare generalmente evidente. Quindi crediamo si possa dire che:
- Se un articolo è presente è perchè dice qualcosa che non è già stato detto altrove.
- L'interpretazione "semplice" è generalmente quella giusta.

C'è una cosa (anzi, una cosa che non c'è) specifica nell'art. 29 che vale la pena di evidenziare: l'articolo ipotizza che possano esserci persone che pur avendo accesso ai dati, non possono trattarli, perchè non gli è stato detto di farlo. E, nota bene, non si dice che queste persone devono essere istruite in tal senso.
Si dice che se non sono state istruite non possono trattare.

Come per la storia dell'automobile: il fatto che io possa (nel senso che mi sarebbe possibile, ma non permesso) prendere l'auto, non implica che io sia obbligato ad avere la patente. Implica che se non sono abilitato non devo prendere l'auto e che se lo faccio commetto una violazione.

Ora, chi potrebbe essere questo misterioso personaggio che potrebbe (ma non deve) trattare i dati? Qui azzarderemo una ipotesi: pensiamo si tratti dei sistemisti e degli sviluppatori, che potrebbero effettivamente mettere il naso nei dati, ma che non devono farlo (e non certo perchè lo dice il GDPR).

Morale: forse gli sviluppatori e i sistemisti non trattano i dati, anzi gli è fatto divieto di farlo. E non sempre i fornitori di servizi informatici vanno incaricati del trattamento dati. Anzi, il più delle volte non andrebbero incaricati, perchè non devono trattare i dati, ma devono solo occuparsi dei sistemi.

Segui la nostra
pagina su LinkedIn