I provvedimenti dell’autorità, si sa, fanno rumore soprattutto se, tramite essi, vengono irrogate sanzioni di ingente importo. Spesso, tuttavia, essi sono ricchi di indicazioni che, se letti in filigrana, possono offrire importanti insegnamenti riguardo ai comportamenti virtuosi da parte delle imprese per un’adeguata applicazione delle prescrizioni normative.
Abbiamo intitolato questa puntata “il back end del GDPR” perchè, come in ambito informatico, il regolamento ha una parte visibile all’esterno ed all’interessato (front end), con cui quest’ultimo può interagire – una sorta di interfaccia-utente della privacy – ed un’altra parte (back end) che permette l’effettivo funzionamento di queste interazioni. Se il front end può essere rappresentato dagli adempimenti, specie quelli verso gli interessati, riprendendo parole dell’autorità, la conformità alla norma si riscontra «soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti», cioè nel versante back end.
Sintesi
Front end
Seguendo la metafora informatica, il front end privacy è rappresentato da quanto risponde al principio di trasparenza che impone al titolare del trattamento di adottare «misure appropriate per fornire all’interessato tutte le informazioni»:
- oggetto dell’informativa (artt. 13 e 14)
- per le comunicazioni in merito all‘esercizio dei diritti ed al relativo riscontro (articoli da 15 a 22).
Le misure adottate dovranno essere in grado di assicurare che tali informazioni e comunicazioni avvengano «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro» [art. 12(1)].
Completano questo dovere le casistiche di:
- comunicazione in ipotesi di data breach, quando dovuta (art. 34)
- l’eventuale consultazione durante il processo di realizzazione della DPIA [art. 35(9)].