Interlex n. 21
di Andrea Monti
La lettura del modulo – o meglio della bozza di modulistica – predisposta dall’Ufficio del Garante per la protezione dei dati suscita molte perplessità, riportando alla memoria i tempi in cui i modelli 740 competevano da pari a pari – quanto a cripticità e confusione – con la Stele di Rosetta.
Novelli Champollion, gli interpreti attuali dovranno impegnare tutte le risorse a loro disposizione per compilare la documentazione e soprattutto per attuare ciò che sulla stessa è indicato. Più che analizzare dettagliatamente le singole componenti del testo – ancora in fase di evoluzione, almeno si spera – sembra più opportuno cercare di trarne indicazioni sui criteri che sembrano guidare l’azione dell’Ufficio.
In primo luogo risalta la scelta di un approccio casistico nella concretizzazione delle categorie astratte contenute nella legge; opzione che – come tutti gli approcci di questo tipo – soffre della seguente limitazione: o l’elenco è estremamente dettagliato, e allora diventa ingestibile oppure non lo è abbastanza e quindi lascia ampio margine alla discrezionalità dell’accertatore nello stabilire se la notifica e in generale l’intero trattamento siano oppure no conformi alla legge.
Ciò vale – a più forte ragione – negli spazi lasciati appositamente in bianco, evidentemente per consentire all’utente di indicare elementi non preventivamente considerati. Il pericolo più che concreto è che questo tipo di interpretazioni siano demandate al giudice civile o a quello penale. Poco importa se alla fine (del mondo, probabilmente, visti i tempi della giustizia) il verificato (o convenuto o indagato, fate voi) sia dichiarato innocente o comunque non responsabile…
L’idea – sembra di capire – doveva essere quella di una checklist impostata su criteri, rapidità, semplicità di compilazione, concisione e chiarezza tanto predicati – in modo particolare – dagli uffici legali delle grandi aziende, ma il risultato concreto è piuttosto indice di un’impostazione alquanto burocratica riecheggiante le “migliori” prestazioni del legislatore fiscale: regola-eccezione-controeccezione-rinvioadaltrafonte etc. etc.
Altra considerazione riguarda la modulistica per l’informativa all’interessato e la prestazione del consenso. A rigor di logica infatti anche questi atti parrebbero conformarsi alla ratio manifestata dall’Ufficio con la modulistica in esame e quindi dovrebbero presumibilmente essere caratterizzati da analoga minuziosità definitoria, con il che si potrebbe concludere che molte – per non dire la totalità – delle informative e delle richieste di consenso attualmente in circolazione siano, nella migliore delle ipotesi carenti e, nella peggiore, indice di trattamenti non conformi e quindi illegali.
Anche la sezione sulle misure di sicurezza (lettera D) fornisce spunti di riflessione.
Se, come pare deva essere:
A – il combinato disposto delle norme che fanno riferimento alla responsabilità ex lege 675-96 impongono – per l’espresso richiamo all’art.2050 C.c. – l’adozione di misure allo stato dell’arte a prescindere dal tipo di dati e dalle condizioni soggettive del titolare,
B – le misure minime saranno contenute in apposito provvedimento,
C – l’adozione delle misure sub B non elimina il rischio di sanzioni
D – ancora con la precisazione che stiamo parlando di una bozza, allora
E – le misure indicate nel modulo dovranno essere tutte quante osservate.
Quindi l’elencazione non dovrebbe essere intesa come facoltativa, ma come sistema automatico per individuare chi abbia commesso il reato di infedele notificazione. Osservazione paradossale ma, come accadde per le agende telefoniche il cui regime è stato addirittura necessario esplicitare in un provvedimento correttivo della 675/96 – destinata ad un qualche riscontro.
In ogni caso, sarebbe opportuno quantomeno differenziare graficamente (ai fini della presumibile gestione automatizzata delle notifiche) le misure minime da quelle ulteriori. Il fatto che non venga richiesto il contenuto dei data-base lascia supporre che, ai fini dell’attuazione degli scopi per i quali è stato concepito il registro dei trattamenti, l’Ufficio intenda procedere volta per volta all’interrogazione degli obbligati onde verificare la detenzione di dati personali dell’interessato.
Brilla per la sua assenza, qualsiasi riferimento al complesso problema del trattamento effettuato da soggetti che operano nel settore delle telecomunicazioni (Internet provider, ma anche operatori di e-commerce e quant’altro). Pur essendo parte della materia esplicitamente destinata a successivi provvedimenti normativi nulla – se non interpretazioni la cui solidità, ancora una volta, potrebbe essere saggiata da un giudice) esonera costoro dal conformarsi alla normativa vigente.
Chiudo queste brevi note sottolineando l’umorismo (sicuramente) involontario del punto F: Notizie volte a facilitare i rapporti con il Garante…
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)