lunedì, Ottobre 14, 2024

Il bestiario del GDPR

La normativa privacy è una questione complessa e non è quindi improbabile che persone attente e preparate scivolino su qualche punto. E’ successo persino alla Corte dei Conti, che si è vista condannare per avere pubblicato erroneamente alcuni dati sanitari all’interno di una sentenza e certo la Corte ha tutti gli strumenti per poter analizzare una norma, ma qualcosa può sempre sfuggire o essere male interpretato.

Gli Enti Pubblici, poi, devono fare sempre tutto a costo zero e con risorse sempre più scarse, trovandosi spesso in difficoltà.

Però alcune uscite sono più significative di altre, e qualche errore macroscopico abbiamo voluto raccoglierlo, sia per farsi una risata, senza voler dileggiare nessuno, tutti possono sbagliare, ma soprattutto per evitare che altri ripetano gli stessi errori.

Naturalmente, in forma anonima!

  • Un Comune pubblica una delibera di adeguamento dell’Ente al GDPR: il Sindaco pro tempore viene nominato contemporaneamente Titolare del trattamento, Responsabile del Trattamento e DPO. (Il Titolare è e resta l’Ente, il Responsabile è un esterno, DPO … beh, anzitutto bisogna vedere se ne ha le capacità, poi il Sindaco è il Rappresentante legale, ed il DPO dovrebbe aiutarlo ad implementare il sistema, quindi dovrebbe aiutare se stesso)
  • L’ufficio scuola lo lasciamo fuori dal GDPR perché tanto ha solo dati di minori (eh, appunto: il GDPR tutela i minori in modo particolare)
  • Il DPO non lo nominiamo perché tanto non arriviamo a 250 dipendenti. (In un Ente pubblico, ed è questo il caso, il DPO è sempre obbligatorio. Il limite di 250 dipendenti è per i registri; inoltre, per potere godere dell’esenzione alla tenuta, ci sono altre condizioni, che non ricorrono quasi mai)
  • Noi facciamo esami clinici, il GDPR può in qualche modo riguardarci? [Magari anche sì] E poi non è che facciamo tutti gli esami dei sangue, facciamo solo test genetici. [ancora meglio!] Comunque siamo specializzati soprattutto nei bambini, adulti ne vediamo pochi, dobbiamo fare lo stesso qualcosa? [Sì, comprare “GDPR for dummies” e cominciare da pagina 1]
  • Tu che un po’ queste cose le sai, vero che noi per quella cosa della privacy non abbiamo da fare niente? Tanto abbiamo solo dati di handicappati. Nooo, tranquillo, tu puoi anche ignorare il GDPR, l’importante è che lasci il posto da direttore del centro e vai a sederti con gli ospiti. Un po’ si è offeso, però poi ha richiamato facendosi mandare il testo del Regolamento e un po’ di bibliografia.
  • Ma perché dici che i dati della mensa sono delicati? Si tratta solo della mensa scolastica! Vediamo: ci sono dati di minori, dati relativi alle condizioni di salute ed alle convinzioni religiose (le diete) e dati relativi al reddito per le fasce ISEE. Cosa dobbiamo aggiungere per avere dati delicati? La foto di famiglia nudi?
  • Il Titolare è l’Ente, non il suo rappresentante.
  • Per pietà umana taciamo il nome della testata, ma vogliamo capirlo che il GDPR parla dei dati e non dei lavoratori o di licenziamenti?
  • La garanzia della privacy in ospedale “dati sensibili da inviare al macero”. Abbandonata in corridoio:
  • Certo, il GDPR si occupa proprio delle imprese, non delle persone fisiche:
  • Certo, i dati sanitari possono essere consultati anche dai familiari e comunque durante l’emergenza non è il caso di mettere sistemi di autenticazione particolarmente sicuri. Allora perché non far che pubblicare direttamente tutto il data base, così risparmiamo tempo?
  • Nel 2022 un’Associazione manda un modulo di sottoscrizione che autorizza a trattare “dati sensibili” in nome del D.Lgs 196/03 e nello specifico dell’art. 7. Faccio presente che è abrogato  sia l’articolo che la nozione di dati sensibili; questa è la risposta, dopo avere chiesto parere legale: Il parere del legale ci tranquillizza sulla precedente formulazione, che può essere adottata tranquillamente, essendo la cooperativa non un ente pubblico garantendo, la stessa, i diritti degli interessati, esattamente come la nuova.
Share