Gli unicorni della privacy: Creature fantastiche

Ogni tanto arrivano documenti che sembrano scritti in un universo parallelo, dove le regole del GDPR si piegano alla fantasia del redattore.

Ecco alcune perle testuali da una “nomina a responsabile esterno”:

“ogni qualvolta si raccolgano dati personali, provvedere a che venga fornita l’informativa ai soggetti interessati”
No: l’informativa è compito del titolare, non del responsabile esterno.

“definire, per ciascun trattamento di dati personali, la durata del trattamento e la cancellazione o rendere anonimi i dati obsoleti”
No: La durata della conservazione è responsabilità del titolare, non di chi fornisce i servizi informatici.

“Il Responsabile del trattamento risponde al Titolare per ogni violazione”
Qui l’errore è doppio: il responsabile non “risponde al titolare”, ma ha una responsabilità autonoma.
Il titolare resta responsabile per le sue scelte e le sue istruzioni; il responsabile invece risponde se non applica misure adeguate o se agisce oltre le istruzioni ricevute. In sintesi: le responsabilità sono distinte, non un semplice scaricabarile.

Queste frasi non hanno nulla a che vedere con un corretto incarico ex art. 28 GDPR. Sono l’esempio di come un documento raffazzonato possa trasformarsi in un boomerang per le aziende.

La documentazione che viene chiesta in firma non va mai data per scontata. Vale in generale, ma soprattutto in materia di privacy – dove le aziende spesso hanno più difficoltà – è bene controllare due volte e, se non si è preparati, chiedere chiarimenti prima di firmare.

La morale? Diffidare dagli unicorni della privacy: creature fantastiche che vendono documenti preconfezionati e confondono i ruoli. Meglio affidarsi a professionisti veri, che la materia la conoscono.