Una delle citazioni più note e rimbalzate di Mike Tyson, “Everybody has a plan until they get punched in the mouth”, sembra essere perfetta per chiarire quel gap fra l’aver predisposto un ottimo piano ed essere in grado di attuarlo. Così, nel contesto di un data breach, l’adozione di una procedura per la gestione di una situazione naturalmente connotata da crisi ed emergenza qual è una violazione di dati personali rappresenta una condizione necessaria ma non sufficiente per costituire una misura preventiva efficace.

Cosa dicono le nuove linee guida EDPB 9/2022 sul data breach? Esaurita la fase di consultazione pubblica, l’European Data Protection Board ha infatti licenziato la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali.

La notizia dell’azione coordinata dell’EDPB riguardante il ruolo dei Data Protection Officer può aver mosso qualche titolare, sia in ambito pubblico che privato, a domandarsi in che modo possa controllare il proprio DPO senza incorrere nel rischio di interferire con le garanzie di indipendenza funzionale proprie della figura. Non è mai facile andare a svolgere delle verifiche nei confronti chi è preposto ad una posizione di controllo. Tant’è che già in tempi antichi il Quis custodiet ipsos custodes? era un trend topic.

Nel ventaglio delle casistiche e l’aneddotica che orbita attorno alla figura del DPO abbondano gli esempi relativi alle modalità di adempimento dell’obbligo di pubblicazione dei dati di contatto. E in questi ambiti si passa da chi pubblica persino il numero di telefono cellulare personale del DPO a chi, ponendosi agli antipodi, predispone una serie di moduli da compilare come unica modalità mediante la quale l’interessato può relazionarsi con la funzione. Entrambi sono eccessi di segno opposto, indiziari di incertezza applicativa. Che nel secondo caso è una pratica che espone al rischio di violazione dell’art. 37.7 GDPR.

La tematica dell’age verification è quanto mai attuale e promossa anche dalle autorità di controllo europee, sebbene con degli inviti alla prudenza circa l’adozione di tali sistemi. Difatti, è indubbio che internet sia e debba essere un luogo sicuro anche per i minori.

Già presidio di garanzia per la protezione degli interessati vulnerabili, il Data Protection Officer assume un ruolo ancora più rilevante nella realizzazione di tutele effettive e concrete richieste nel momento in cui sono svolte attività di trattamento che coinvolgono dati personali dei minori. Occorre però compiere preliminarmente alcune considerazioni fondamentali a seconda degli ambiti di operatività delle organizzazioni.

Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.

All’esito dell’attività ispettiva condotta da parte dell’Autorità Garante per la protezione dei dati personali iniziata nel 2021, l’ambito della videosorveglianza ha registrato un rilevante numero di non conformità per lo più riconducibili a trasparenza, liceità e limitazione della conservazione.

La gestione del data breach è un adempimento richiesto alle organizzazioni in relazione alle prescrizioni degli artt. 33 e 34 GDPR, ma le misure tecniche e organizzative predisposte devono consistere - anche per le finalità di rendicontazione e dimostrabilità degli adempimenti richieste dal principio di accountability - nell’elaborazione di una procedura. Su un piano prettamente pratico non è però possibile definire una procedura che vada bene per ogni organizzazione a prescindere da contesto e complessità, ma si possono estrarre dei denominatori comuni che definiscono le fasi essenziali.

Il problema dei dark pattern riguarda tanto la riconoscibilità degli stessi da parte dell’utente quanto la predisposizione di presìdi idonei ad evitare la loro occorrenza da parte di chi propone determinati servizi digitali. Sul punto, quando le Linee guida EDPB 3/2022 affrontano la tematica nell’ambito specifico delle piattaforme di social media, suggeriscono alcuni spunti per l’adozione di controlli atti a rilevare elementi ingannevoli o manipolativi dell’interfaccia utente o della user experience.