Nonostante siano trascorsi ben più di tre anni dall’applicazione del GDPR, ancora oggi si manifestano informative tutt’altro che comprensibili su siti web istituzionali o in carte intestate con tanto di firma in calce del legale rappresentante. Altro che legal design, insomma: le garanzie di trasparenza vengono meno fra servizi e pacchetti low-cost che portano a copiosi (e acritici) copia-e-incolla.
Esploriamo alcuni degli orrori più ricorrenti.
L’indicazione del rappresentante del titolare, che spesso viene indicato nel soggetto che esercita la legale rappresentanza dell’organizzazione. Purtroppo, però, il rappresentante che deve essere indicato ai sensi del GDPR è il soggetto che ai sensi dell’art. 27 GDPR viene designato per iscritto nelle ipotesi in cui il titolare del trattamento non è stabilito nel territorio dell’Unione. Spesso ciò si accompagna all’indicazione di un responsabile interno, figura che appartiene alla fantasia di chi adotta un approccio forse un po’ troppo creativo della normativa applicabile.
L’elenco di tutte le basi giuridiche indicate dall’art. 6 GDPR ed introdotte con una formula quale “I dati personali sono trattati nei seguenti casi:”, con tanto di chiusura poi di apertura per l’interessato di “richiedere chiarimenti circa la base giuridica impiegata per il trattamento dei propri dati personali”, è una prassi che si colloca a metà fra grottesco ed incommentabile. Questo si accompagna a finalità generiche ed incomprensibili quali “tutti gli adempimenti che il titolare riterrà di dover porre in essere in relazione al rapporto in oggetto”.
La mancata indicazione di tempi o criteri indicativi, con l’adozione di un mero formalismo per indicare il periodo di conservazione dei dati quale “i dati sono trattati fino all’esaurimento delle finalità”, che null’altro aggiunge a quanto già indica la norma (art. 5.1 lett. e) GDPR, principio di limitazione della conservazione) e consiste in un mero esercizio di stile.
Un libro non si giudica dalla copertina, ma l’informativa esprime una declinazione operativa del principio di trasparenza, ed assicura che l’interessato abbia quanto meno contezza delle attività che il titolare del trattamento svolge sui suoi dati personali e dei diritti che può esercitare a riguardo.
Andando oltre, una serie di indizi come quelli indicati fa sospettare che ad esempio un registro dei trattamenti non sia stato correttamente adottato, e che per l’effetto non vi sia una gestione della protezione dei dati personali da parte dell’organizzazione ma solo paper compliance. Con buona pace dell’approccio sostanziale richiesto dalla norma, nonché di puntuali obblighi circa le valutazioni di adeguatezza delle misure e del loro riesame ed aggiornamento.
Insomma: “Doesn’t matter, one size fits all”, è al più una strofa richiamata da una canzone dei Rammstein. Certamente, non può essere applicabile alle informative che invece devono essere adeguate, nei contenuti e nella forma, tanto alle attività svolte dal titolare quanto dal tipo di destinatario cui si rivolgono. A maggior ragione se questi sono minori o soggetti vulnerabili.
