Corsa ai responsabili della privacy - Metà uffici pubblici sono scoperti

L’atteggiamento italiano verso la privacy europea lo si può forse capire dall’andamento degli iscritti al registro del responsabile dei dati (Dpo) tenuto dal Garante. Agli inizi di luglio risultano presenti nell’archivio circa 35.300 di quei profili, oltre 21mila dei quali hanno inviato la comunicazione all’Autorità a ridosso del d-day, ovvero quel 25 maggio in cui in tutta la Ue sono diventate operative le nuove regole sulla tutela dei dati.

Oltre 11mila Dpo si sono iscritti proprio il 25 maggio, più di 7mila il giorno prima e 3mila circa il 23 maggio. Prima e dopo quelle date l’andamento subisce oscillazioni minime: poco più di 1.800 incarichi comunicati al Garante tra il 18 e il 22 maggio, quasi 7mila dal 26 maggio al 4 giugno, per poi appiattirsi sulle circa 4.600 iscrizioni dal 5 giugno agli inizi di luglio, quando si è iniziato a viaggiare a una media di poco più di 170 iscrizioni al giorno.

Si potrebbe pensare che la quiete dopo la tempesta è dovuta al fatto che ormai tutti i Dpo che dovevano registrasi presso il Garante lo hanno fatto. E invece non è così. Degli oltre 35mila «data protection officer» - la nuova figura prevista dal regolamento europeo 679 del 2016 per una più efficace tutela dei dati - che si sono iscritti nell’elenco dell’Authority, circa la metà lavorano nel settore privato e gli altri nella pubblica amministrazione. Infatti, le nuove regole prevedono la presenza del Dpo - che deve assicurare l’applicazione e il rispetto del regolamento e funzionare da tramite tra il proprio datore di lavoro e il Garante - sia nell’ambito aziendale sia in quello pubblico.

Ebbene, l’Autorità aveva stimato che dalla pubblica amministrazione dovessero arrivare circa 40mila comunicazioni di altrettanti Dpo, considerando che le piccole realtà possono anche consorziarsi. Dunque, lo scarto è sensibile: sarebbero ancora senza data protection officer più della metà degli uffici pubblici. Più difficile fare una valutazione della situazione nel privato, perché le piccole e medie aziende, così come gli studi professionali di limitate dimensioni, non sono sottoposti all’obbligo. Per quanto il Garante abbia a suo tempo affermato che la designazione del Dpo è,in questi casi, raccomandabile.

Anche di questo scenario darà probabilmente conto la relazione che Antonello Soro, presidente dell’Autorità per la privacy, presenterà domani al Parlamento, soffermandosi sull’attività svolta nel 2017, ma non potendo non prendere in considerazione la grande novità della tutela dei dati in chiave europea. Il 25 maggio, come anche il Garante ha più volte ripetuto, è stato solo un primo passo di un cammino lungo e articolato. L’impressione - almeno quella che si ha leggendo i dati sulle iscrizioni del Dpo - è invece di una corsa affannosa compiuta a ridosso della scadenza, come se tutto si fosse consumato in quei giorni. E questo nonostante il legislatore europeo avesse dato due anni per prepararsi.

È anche vero che non tutti i meccanismi sono stati messi a punto per consentire una trasizione serena. A cominciare, almeno per quanto ci riguarda, dal decreto che avrebbe dovuto coordinare la vecchia normativa nazionale sulla privacy con quella europea. Il provvedimento ha ricevuto i pareri critici di Camera e Senato e ancora deve ritornare a Palazzo Chigi per il via libera definitivo.

Un ritardo che si fa sentire anche sulle procedure di tutela della riservatezza. Dal 25 maggio i ricorsi davanti al Garante non sono più possibili perché incompatibili con il regolamento Ue. Resta la possibilità del reclamo, sempre da proporre all’Autorità, o della causa davanti al giudice. Il decreto atteso potrebbe chiarire meglio anche questo aspetto, dato che il vecchio Codice della privacy prevedeva tre forme di tutela davanti all’Authority: ricorso, reclamo e legnalazione.