Raccomandazioni: quindi?

 
La via per l'incertezza giuridica è costellata di raccomandazioni, e l'imminente entrata in vigore del GDPR ha ben alimentato questo peculiare istituto.

Viene in più punti "raccomandata" la tenuta del Registro delle attività di trattamento, la designazione del DPO, lo svolgimento di una DPIA, in ragione dell'approccio basato sul rischio e dell'accountability (a.k.a. responsabilizzazione), anche dove non ne ricorrano i presupposti o dove vi sia incertezza sui margini dell'obbligo.


Ebbene, non serve un Mentat aziendale per alcune considerazioni riferibili al mondo della micro e piccola impresa non data-driven, che difficilmente riuscirebbe a sostenere i costi di interventi sovradimensionati...
  • Responsabilizzazione significa essere in grado di giustificare una scelta o una valutazione, anche quando viene verificata (in modo argomentato, logico, con riferimento a parametri normativi nonché alla migliore scienza ed esperienza) l'assenza di taluni presupposti.
  • Esiste il passaggio dell'art. 32.1 GDPR (riferito alla sicurezza dei trattamenti, beninteso) "tenendo conto dello stato dell’arte e dei costi di attuazione", perchè non applicarlo alla valutazione delle misure da predisporre?
  • Se non c'è rischio, perchè dover comunque predisporre una misura? L'obbligo di indossare occhiali da saldatore per scrivere al pc potrebbe essere non solo eccessivo, bensì dannoso.
  • La relazione al D.L. 5/2012 in cui si è abolito l'obbligo del DPS parlava di dare priorità a misure concrete (di protezione) rispetto ad aspetti formali e documentali.
  • Le "raccomandazioni" in che modo entrano all'interno del principio di legalità (posto alla base dell'apparato sanzionatorio)?
Documentare la propria scelta e la sua adeguatezza, anche (e soprattutto) se significa distaccarsi dalla "raccomandazione" dell'Autorità Garante è un modo per essere comunque...GDPReady.

Commenti