A 25 ANNI DALL’INSEDIAMENTO DEL GARANTE, IL PUNTO SULLE MISURE ATTUATE E QUELLE DA ADOTTARE
Antonio Ciccia Messina
Un solo codice di condotta privacy, 655 sanzioni e misure correttive, 352 pareri (in maggioranza ad autorità pubbliche): sono alcuni dei numeri che descrivono uno spaccato di quasi quattro anni di operatività del Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679). Un bilancio è quasi d’obbligo in occasione della ricorrenza dei 25 anni di insediamento del Garante per la protezione dei dati, che ha aperto i battenti il 17 marzo 1997. Da allora molte cose sono cambiate: in Europa alla direttiva 1995/46 è seguito nel 2016 il regolamento generale (2016/679) e, in Italia la originaria legge 675/1996 è stata sostituita dal Codice della privacy (dlgs 196/2003), che è rimasto, revisionato e ridotto, anche dopo che il Gdpr è diventato efficace il 25 maggio 2018. Il Garante ha dovuto adattarsi al nuovo panorama normativo con una dimensione più internazionale e con un contenimento degli interventi tipicamente autorizzativi: si pensi al venir meno dell’istituto della verifica preliminare e del cosiddetto bilanciamento di interessi.Lo stesso spirito di adattamento è richiesto alle imprese, le quali però ancora non hanno sfruttato tutto lo spazio d’azione attribuito dal Gdpr.
Emblematica la vicenda dei codici di condotta: strumento di possibile autoregolamentazione, che però non ha avuto finora successo.L’unico codice prodotto interamente sotto il regime del Gdpr è di una azienda sanitaria e riguarda un tema di nicchia: l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica. A dire il vero, di codici di condotta ce ne sono altri due (per le informazioni commerciali e i sistemi informativi creditizi), ma sono figli di altrettanti codici di deontologia dell’epoca pre-Gdpr e la loro approvazione era imposta dal decreto legislativo 101/2018 (decreto di armonizzazione dell’ordinamento italiano al Gdpr).
Questo significa che, in questi anni di Gdpr, un bilancio, dal lato delle imprese, evidenzia che le imprese stesse e, per loro, le organizzazioni di categoria non hanno ancora sfruttato le prerogative concesse dalla normativa Ue, la quale punta molto proprio sulla iniziativa di soft law degli operatori.
Dal lato del Garante, in questi quattro anni di privacy a tinte europee, spiccano due tipi di intervento: le sanzioni e i pareri (anche se, per lo più, resi a ministeri, enti pubblici, organi legislativi e giudiziari a proposito di atti e provvedimenti in corso di emanazione).
Se, però, alle sanzioni si sommano anche gli interventi di natura correttiva e prescrittiva del Garante, il peso della bilancia pende dalla parte di tali atti.E tale esito statistico collima con il fatto che l’impostazione del Gdpr è di affidare ai singoli operatori (non all’intervento regolatorio e autorizzatorio dei Garanti) di responsabilizzarsi per la determinazione di cosa fare in concreto per arrivare all’obiettivo di proteggere i dati e le persone.
Peraltro, questa auto-responsabilizzazione può essere aiutata anche con tutti gli innumerevoli interventi del Garante anteriori al 2018, soprattutto verifiche preliminari, bilanciamento di interessi, provvedimenti generali e linee guida, che hanno agevolato le imprese e le p.a. a districarsi tra le maglie di questa non facile normativa. Non si parte da zero e le imprese devono aiutarsi da se stesse, innanzi tutto non lasciando lettera morta gli articoli del Gdpr sulla autoregolamentazione mediante codici di condotta.
Che l’agenda sia fitta, è testimoniato dagli operatori del settore, impegnati sul campo ad applicare la privacy, i quali, dal loro osservatorio, dettano, in maniera propositiva e collaborativa, una vera e propria agenda, che chiama in causa sia le imprese sia il Garante, cui si chiede, in generale, di prevenire il boom di sanzioni con più assistenza.
Garante docente. «Le nuove tecnologie pongono sfide sempre più forti anche nel campo della protezione dei dati personali, imponendo analisi e valutazioni non semplici», constata Giuseppe Caruso, responsabile servizio fiscale legale e dogane Confindustria Genova «e il rischio per gli imprenditori di trovarsi in difficoltà anche nell’effettuazione dei soli adempimenti formali, come ben sa chi fa consulenza a queste realtà, è concreto. Possibili omissioni o imprecisioni, anche solo formali, possono avere conseguenze assai gravi, sia per l’accountability, che per la notevole entità delle sanzioni in materia. Anche un sempre più frequente ricorso ad interventi formativi e di comunicazione da parte del Garante, utilizzando esemplificazioni (come è accaduto ad esempio a con i facsimile di registri di trattamento, con i chiarimenti per il data breach, per la dpia, ecc.), ed un ricorso ancora più ampio ad interventi correttivi anziché sanzionatori, potrebbe contribuire a sviluppare un circolo virtuoso».
Piccole e medie imprese. La semplificazione per le pmi è ancora all’ordine del giorno. Secondo Chiara Ciccia Romito, Dpo Confartigianato Bologna Metropolitana «occorre un intervento per definire nuove linee guida sulle pmi. A ciò si unisce l’esigenza di una revisione delle linee guida sull’uso della posta elettronica e Internet per poter garantire l’effettività delle tutele dei lavoratori, ma al contempo tutelare la continuità operativa aziendale». Queste ultime linee guida risalgono al 2007, ma non tengono conto di novità quali i sistemi di messaggistica istantanea e la diffusione di modalità di lavoro da remoto.
Crocevia Dpo. A legislazione vigente deve essere valorizzato l’apporto del Dpo. «Nell’agenda di ogni impresa», rileva Costanza Mottino, responsabile presidio Gdpr Cattolica Assicurazioni, «dovrebbe essere presente la previsione di un documento contenente i flussi informativi verso il Dpo, rivolto a tutte le funzioni aziendali. Così il Dpo sarà informato in merito a tutta una serie di eventi che possono accadere nel corso delle attività ordinarie e straordinarie (come una violazione dei dati o data breach) nonché favorire l’efficacia della sua azione di monitoraggio».
Tra Covid e ricerca medica. «La pandemia ha reso urgente la stesura di un codice di condotta sulla ricerca scientifica», afferma Davide De Luca, Dpo Fondazione Irccs Carlo Besta di Milano, per il quale «solo gli operatori del settore possono stabilire rigidi protocolli di sicurezza e misure di mitigazione del rischio tali di permettere lo svolgimento della ricerca nel rispetto della dignità delle persone. Sono in ballo i diritti delle persone maggiormente esposte e fragili, che aspettano con ansia una cura, ma è molto delicato il bilanciamento tra interesse ad acquisire il maggior numero di informazioni possibili e la riservatezza degli individui».
Garanzie in sanità. «In un quadro di lento ma costante aumento della sensibilità su sicurezza delle informazioni e riservatezza», rileva Pietro Calorio, consulente privacy e Dpo in ambito sanitario e informatico, «i titolari del trattamento trarrebbero giovamento dal poter attingere a linee di indirizzo precise e capillari». «Il Garante della privacy», prosegue Calorio, «ha svolto un’importante azione nella veste consultiva e di stimolo verso le istituzioni e le organizzazioni, ed educativa verso il cittadino. Peraltro, in ambito sanitario è necessaria e urgente l’adozione delle misure di garanzia ex articolo 2-septies Codice Privacy». Si tratta di un provvedimento attuativo che deve dettagliare profili organizzativi e gestionali in ambito sanitario e precauzioni nelle comunicazioni verso i pazienti.
Minori. Punta, infine, i riflettori sulle tutele per i bambini e i giovani Davide Panella, responsabile servizio data protection Crédit Agricole Italia: «La privacy come strumento di cittadinanza e la data protection intesa come driver di sostenibilità hanno futuro se entrano nelle scuole. La privacy di domani non può limitarsi ad essere un sanzionificio o un normificio».
Fonte: