Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.

All’esito dell’attività ispettiva condotta da parte dell’Autorità Garante per la protezione dei dati personali iniziata nel 2021, l’ambito della videosorveglianza ha registrato un rilevante numero di non conformità per lo più riconducibili a trasparenza, liceità e limitazione della conservazione.

La gestione del data breach è un adempimento richiesto alle organizzazioni in relazione alle prescrizioni degli artt. 33 e 34 GDPR, ma le misure tecniche e organizzative predisposte devono consistere - anche per le finalità di rendicontazione e dimostrabilità degli adempimenti richieste dal principio di accountability - nell’elaborazione di una procedura. Su un piano prettamente pratico non è però possibile definire una procedura che vada bene per ogni organizzazione a prescindere da contesto e complessità, ma si possono estrarre dei denominatori comuni che definiscono le fasi essenziali.

Il problema dei dark pattern riguarda tanto la riconoscibilità degli stessi da parte dell’utente quanto la predisposizione di presìdi idonei ad evitare la loro occorrenza da parte di chi propone determinati servizi digitali. Sul punto, quando le Linee guida EDPB 3/2022 affrontano la tematica nell’ambito specifico delle piattaforme di social media, suggeriscono alcuni spunti per l’adozione di controlli atti a rilevare elementi ingannevoli o manipolativi dell’interfaccia utente o della user experience.

La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).

Le tutele previste in materia di protezione dei dati personali seguono un approccio basato sul rischio, dovendo di conseguenza andare a rafforzare delle garanzie nel momento in cui l’attività può cagionare – o intrinsecamente cagiona – un impatto nei confronti di interessati c.d. “vulnerabili”.

Purtroppo, quella di fare richiesta di consensi privacy superflui o inutili per svolgere delle attività di trattamento di dati personali è una pratica tutt’ora fin troppo diffusa, facendo ricorso a copia-incolla poco o per nulla ragionati. Tutto questo ha però l’effetto di realizzare un duplice impatto negativo nei confronti sia degli interessati sia della capacità dell’organizzazione di essere e dimostrarsi conforme al GDPR.

La gestione di una situazione d’emergenza come un data breach è tutt’altro che semplice per un’organizzazione, ancor più se non ha approntato e diffuso correttamente una procedura a riguardo. La prima misura consiste dunque nel dotarsi di una procedura, ma non è sufficiente: è necessario che il personale che svolge le operazioni di trattamento sia stato adeguatamente sensibilizzato e abbia ricevuto un addestramento a riguardo, al fine di evitare che dalla loro impreparazione possa aggravarsi ancor più l’evento di violazione dei dati personali.

Si dice che il presupposto per gestire correttamente un data breach consista nell’avere un’organizzazione preparata. Ma come? In alcuni approcci viene ad esempio proposta una simulazione di incidente per testare la procedura e individuare eventuali punti critici.  Eppure, per quanto tale intervento possa avere un indubbio fascino si pone al di fuori dei margini della pianificazione bensì attiene maggiormente ad una fase di verifica e correzione. Insomma: può essere utile, ma deve quanto meno coordinarsi ad una corretta pianificazione preventiva e soprattutto all’assetto organizzativo predisposto dall’organizzazione.

Da quanto rilevato nel sondaggio condotto da Federprivacy, la maggior parte dei DPO si dicono preoccupati per la gestione delle situazioni di emergenza e in particolare per le minacce ransomware. L’ambito più ampio in cui tali evenienze si inseriscono è la sicurezza dei trattamenti, in rapporto al quale dunque è fondamentale comprendere qual è il ruolo svolto dal Data Protection Officer in modo tale che l’organizzazione non incorra in false o inesatte aspettative nei confronti di tale figura, circostanza che spesso dà luogo non solo a incomprensioni ma è causa di violazione diretta di alcune prescrizioni del GDPR.