Il Garante Privacy fa i conti con il GDPR, il nuovo regolamento Ue sulla Data Protection entrato in vigore dal 25 maggio. E i conti sono presto fatti. Dal 25 maggio al 25 settembre 2018 i reclami e le segnalazioni pervenuti al Garante sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, in crescita cosnistente del 42%. Un trend condiviso anche da altre Autorità come quella francese e quella britannica, che stanno vivendo gli stessi problemi dovuti anche ad una maggior consapevolezza del tema Data protection, alla luce di grossi scandali come quello Facebook-Cambridge Analytica che hanno scosso l’opinione pubblica.
Un bel peso sulle spalle dell’Autorità presieduta da Antonello Soro, che fra le altre cose sconta il fatto che i reclami con il nuovo regolamento non siano più a pagamento. Se da un lato quindi si incentiva lo strumento del reclamo per denunciare le violazioni all’Autorità, dall’altro cresce la mole di lavoro per smaltire i carichi.
305 segnalazioni di Data Breach in 4 mesi
Un altro dato indicativo riguarda le 305 segnalazioni di Data Breach pervenute al Garante Privacy dal 25 maggio al settembre 2018, che sono un’enormità rispetto al passato. Data Breach che con il nuovo regolamento GDPR vanno segnalati all’Autorità entro 72 ore da parte dei soggetti, imprese o pubbliche amministrazioni, che ne sono state vittima. La conseguenza per l’Autorità è l’apertura di un fascicolo e la necessità di monitorare e verificare in real time l’evolversi della situazione.
Ebbene, nello stesso periodo del 2017, le segnalazioni di Data Breach pervenute al Garante Privacy erano state nell’ordine di poche decine, anche perché prima dell’entrata in vigore del GDPR erano soltanto le Telco e le Pubbliche Amministrazioni che denunciavano i Data Breach, mentre nella nuova era della Data Protection tutte le imprese devono conformarsi al nuovo obbligo di legge. Un caso finito agli onori delle cronache è stato il Data Breach subito dalla piattaforma Rousseau.
Comunicazioni di nomina DPO
Un altro dato significativo è quello delle comunicazioni di nomina di Dpo (Data Protection Officer) effettuate al Garante in seguito all’entrata in vigore del GDPR, pari a 40.738, che riguarda titolari e responsabili di trattamento. C’è da dire che quella del Dpo è una figura obbligatoria prevista dal GDPR.
Insomma, la mole di lavoro cresce in maniera esponenziale, senza contare i diversi adempimenti normativi cui è chiamato il Garante dopo l’approvazione del decreto 101.
Nel frattempo, il personale dell’Autorità è sempre di 113 unità, in attesa delle nuove risorse (una decina) che le sono state concesse e che non possono superare il limite di 162 unità complessive.
Alcune delle prossime scadenze del Garante Privacy
Entro il 3 ottobre, il Garante dovrà dare notizia sul sito e con avviso pubblicato sulla Gazzetta Ufficiale delle modalità di trattazione del contenzioso pregresso.
Entro il 2 dicembre, questa data l’autorità giudiziaria trasmette all’autorità amministrativa competente gli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi
Entro il 18 dicembre, il Garante dovrà verificare la compatibilità con il Gdpr dei codici deontologici in materia di giornalismo, ricerca storica, statistica in ambito Sistan, statistica e scopi scientifici, investigazioni difensive e pubblica le disposizioni ritenute compatibili, che sono rinominate regole deontologiche e sottoposte a consultazione pubblica, sulla Gazzetta Ufficiale.
Problema di organico
Come scriveva da Raffaele Barberio, presidente di Privacy Italia, il 16 giugno sull’Huffington Post “L’autorità Garante della Protezione dei Dati Personali ha un organico previsto di 137 unità, che attualmente è pero coperto da appena 113 unità, un organico minore a quello di tutte le altre Autorità regolatorie nazionali che, va precisato, non hanno eccessi di personale, anzi.
Il vero problema è la scarsezza di risorse in relazione ai compiti che la protezione dei dati personali di 60 milioni di italiani comporta e la necessità improrogabile è quella di dare al Garante una consistenza di risorse pari a quella di altre autorità regolatorie del Paese.
Il personale nelle Authority italiane
RAFFAELE BARBERIO
E se a porre il quesito fossero alcune centinaia o migliaia di Comuni nella stessa settimana? Chi potrebbe rispondere nei tempi dovuti ad una tale molteplicità di richieste? Per non parlare poi delle norme sul cyberbullismo che stabiliscono l’intervento del Garante entro 48 ore in caso l’interessato non abbia ricevuto risposta o non sia possibile identificare il gestore del sito o del social network.Un dato sconcertante su tutti: si pensi solo alle richieste in materia di trasparenza e di accesso civico generalizzato riguardo alle quali ciascuna amministrazione italiana può chiedere un parere al Garante il quale ha per norma l’obbligo di rispondere in 10 giorni.
Vien voglia di chiedersi se il nostro legislatore abbia l’abitudine di ricorrere alle analisi di impatto nel definire i termini di questa o quella disposizione normativa. Le nostre perplessità sono poi confermate anche dal confronto tra le risorse del Garante italiano e quelle dei Garanti dei principali Paesi europei.
Nei 5 Big Five europei si va dai 593 dipendenti del Garante tedesco ai soliti 113 dipendenti del Garante italiano. Ma va segnalata anche l’iniziativa del Garante britannico che, pur disponendo di circa 500 dipendenti, ha chiesto a gran voce altri 200 dipendenti per far fronte alla mole di lavoro derivante dall’applicazione del Regolamento Europeo del prossimo 25 maggio 2018”.
RAFFAELE BARBERIO
