Eye in the sky
Il Vaticano si dota di un proprio GDPR: lo chiamerò il SANTO GDPR.
Qui trovi il testo del decreto appena approvato: N. DCLVII – Decreto della Pontificia Commissione per lo Stato della Città delVaticano con il quale viene promulgato il Regolamento Generale sulla protezione dei Dati personali. (30 aprile 2024)
PERCHE'?
CUI PRODEST?
Nessun c'è alcun apparente motivo per farlo poichè lo stato pontificio è sovrano nei propri confini e non ha certo bisogno né di imparare dagli altri come trattare dati personali, come proteggerli, né di scopiazzare una norma europea che mal si adatta alle peculiarità che lo contraddistinguono.
IMHO l'unica ragione per farlo è la necessità di ottenere il "GIUDIZIO DI ADEGUATEZZA" ossia un riconoscimento di pari livello di protezione tra i paesi dell'UE e un paese terzo.
Questo giudizio di adeguatezza permette la libera circolazione dei dati, consente quindi di poter localizzare un fornitore o utilizzare provider dei paesi terzi senza doversi preoccupare di valutare, organizzare, strutturare, legittimare questo trasferimento di dati transfrontaliero, esattamente come se ci si avvalesse di un soggetto francese o tedesco. In breve, semplifica enormemente la vita e permette di considerare "a norma" ogni fornitore di un certo paese extra UE.
Ad oggi, questa è la lista dei paesi per i quali esiste un giudizio di adeguatezza e che non sono più paesi terzi:
- Andorra
- Argentina
- Australia (accordo)
- Canada
- Faer Oer
- Giappone
- Guernsey
- Isola di Man
- Israele
- Jersey
- Nuova Zelanda
- Regno Unito
- Svizzera
- Uruguay
- USA (accordo)
Ora anche il Vaticano può iniziare la procedura per essere riconosciuto come "ADEGUATO" rispetto alle misure normative che garantiscono la protezione dei dati personali in tutta Europa.
Dopodichè... beh, libera circolazione dei dati: l'anima del commercio
Si può dire "Anima"?
Nel merito, il testo del SAN GDPR è breve e ricalca la prima parte del GDPR.
Mi sono divertito a leggerlo nel dettaglio e ho trovato delle chicche interessanti:
La definizione di dati sensibile è molto differente da quella del GDPR. Ecco uno schemino sinottico
GDPR
| SANTO GDPR
|
Quindi, a differenza che nel resto d'Europa, nello stato del Vaticano, NON SONO DATI PARTICOLARI (Sensibili) le informazioni relative alla vita sessuale, l'orientamento sessuale, l'appartenenza sindacale, le convinzioni filosofiche.
Che scelta bizzarra, non riesco proprio a pensare alle ragioni che l'abbiano determinata. Mi sforzo ma non mi viene in mente proprio niente... (andrò all'inferno anche per questo).
Mi incuriosisce molto il fatto che in Vaticano siano dati sensibili "altre situazioni collegate alla vita privata". Alla faccia della certezza del diritto. Come faremo a distinguere un dato particolare di questa tipologia (altre situazioni) e come faremo a capire se afferisce alla vita privata oppure no? Peraltro, quale altra vita esiste se non quella privata?
Mah! Mistero della fede.
Ha, già... la fede. Forse questa è la chiave di lettura.
L’informativa, tutti sanno, è un atto fondamentale che da senso e contenuto al principio di trasparenza e buona fede: PRIMA ti dico come tratterò i tuoi dati, POI tu decidi se darmi i tuoi dati ed un eventuale libero consenso informato.
Credo che non sarei riuscito a fregare nemmeno mia figlia quando aveva due anni dicendole: "prima mi dai la tua caramella, poi io ti dico cosa io ti do in cambio e che cosa farò con la caramella."
Eppure, il Santo GDPR prevede proprio questo. L'informativa può essere data ENTRO 30 GIORNI.
Non sono bravo in matematica ma con l'aiuto di chatGPT sono riuscito a capire che questi 30 giorni significano, in sostanza, che l'informativa può serenamente essere data anche DOPO aver acquisito i dati, DOPO aver ottenuto un consenso rilasciato alla cieca, DOPO aver trattato i dati.
Non ho idea di come si possa pensare che il consenso sia "libero e informato" senza una informativa preventiva e senza che intervenga un MIRACOLO... ah, già. Capito.
MA PORCA EVA.
No, Eva non si può dire in questo contesto...
MA PORCA VACCA!
Vacca si può?
Arrivando ai PRINCIPI che legittimano il trattamento, serve un altro quadretto sinottico:
GDPR
| SANTO GDPR
|
Sono stati replicati i principi dell'art 5 del GDRP, con l'aggiunta di alcune reliquie del passato codice. In effetti mancherebbero gli altri principi, quelli sparpagliati nel GDPR, quelli che si applicano ai processi decisionali automatizzati, il principio Privacy By Design e by Default... e vari altri principi che costellano il regolamento generale. In vaticano parrebbe che non interessino. Ok.
Poi, nelle definizioni mi sono imbattuto nella definizione di "anonimizzazione" e mi sono genuinamente messo a ridere:
Anonimizzazione: il Trattamento di informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a Dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’Interessato;
No, Don, l'anonimizzazione consiste nel rendere anonime le informazioni, non nel trattare informazioni che sono state rese anonime. Quello è un trattamento di dati non personali e, quindi, per definizione, non soggetto né al GDPR né ad ogni altra norma. Se i dati sono anonimi, puoi farci quello che vuoi perché NESSUNO sarà coinvolto o danneggiato.
Ma se prendi dei dati personali e li vuoi rendere impersonali, allora li stai anonimizzando. Facendolo, stai trattando dei dati personali e lo devi fare bene, nel rispetto dei principi che ti sei dato.
La definizione è proprio sballata.
Più sotto, nel testo si trova il campo di applicazione che ci dice a cosa si applica il Santo GDPR. Beh, una delle esclusioni recita proprio "c) nelle ipotesi di anonimizzazione dei Dati."
Ma stando alla definizione, significa che il Santo GDPR non si applica all'atto di PRENDERE DATI PERSONALI E RENDERLI ANONIMI. Quindi, il processo di anonimizzazione che, ricordiamolo, parte da dati personali, magari anche sensibili, è escluso dall'applicazione della norma. Libero, spensierato... Cosa mai potrà andare storto.
Altri elementi interessanti riguardano un diverso schema di DATA CONTROLLER - DATA PROCESSOR e DATA PROTECTION OFFICER... o, per dirlo in italiano, riguardano il titolare del trattamento, il responsabile del trattamento e il responsabile della protezione dei dati personali, il DPO.
In Vaticano, il Titolare è solo il Vaticano stesso. Non avrai altro titolare all'infuori di me. Ok
In Vaticano, il DPO è il Consigliere Generale del Vaticano. Solo lui, protempore, a prescindere da chi possa essere. Il DPO del Vaticano può fare uso della gendarmeria e questa è una figata senza pari: il sogno proibito di ogni DPO. Del resto, a Sanpietro, hanno esteso molto il ruolo del DPO che ha anche la funzione di GARANTE interno. Si perché non c'è il Garante e ogni funzione, compreso il fatto di poter fare un RECLAMO, è riferita unicamente al DPO.
Speriamo che ne abbia le competenze.
Ci vuole fede. Tanta fede.
Nel testo c'è una cosa che nel GDPR non esiste e che mi piace molto. Il REFERENTE.
Il REFERENTE è la persona fisica autorizzata a mettere in atto le misure di sicurezza, vigila e garantisce la corretta osservanza delle medesime ad opera dei lavoratori che materialmente effettuano operazioni di Trattamento sui Dati personali. In caso di violazioni riscontrate dal Referente, ne da notizia al DPO entro 72 ore.
Di referenti ce ne vogliono tanti.
Bello il Referente, concordo molto con la sua necessità, al punto da averlo introdotto anch'io, non senza difficoltà, nei sistemi di gestione dei dati che ho elaborato.
Il REFERENTE, per fare un parallelo noto a tutti, assomiglia molto al PREPOSTO per la sicurezza del lavoro, una figura che ne capisce, che supervisiona e che, così facendo, garantisce l'attuazione delle leggi e delle regole che un'azienda si è data. Nel mio piccolo, ho introdotto il PREPOSTO PRIVACY nelle aziende che hanno accettato questo consiglio, ovviamente configurato come un autorizzato al trattamento con funzioni di coordinamento e vigilanza.
Bravo Don, bella idea, e non perchè lo dico io, ma perchè questo è proprio l'ingranaggio che manca al GDPR per funzionare veramente.
Chiudo questa carrellata di differenze tra il GDPR e il Santo GDPR con un aspetto sul quale bisognerà riflettere a lungo: nel Santo GDPR mancano completamente le sanzioni.
ZERO, nemmeno un buffetto sulla guancia, manco uno scappellotto.
Le ho cercate bene perchè mi sembrava poco coerente con una istituzione millenaria che ha prosperato sulla paura del Diavolo e dell'Inferno, sulla confessione dei peccati, sul peccato originale (la presunzione della colpa), sulla penitenza e che, fino a non molto tempo fa, puniva con incredibili strumenti di tortura che oggi troviamo nei musei. Una istituzione che ha saputo dotarsi della Santa Inquisizione e che ha imbracciato le armi per andare a punire comportamenti che riteneva di dover presidiare su tutto il globo terraqueo, a prescindere da confini, credenze, usi e costumi.
In breve, se qualcuno violasse le misure di sicurezza, causasse un data breach, violasse la riservatezza di migliaia di persone o calpestasse i più basilari diritti alla protezione dei dati di un interessato, potrebbe cavarsela semplicemente con due Pater e cinque Ave.
Bene, ma non benissimo.
Prosit