Il Gdpr (2016/679/Ue) ha compiuto tre anni, ma il cantiere delle regole resta aperto
Pmi in attesa di semplificazioni. Obblighi ancora incerti
Pagina a cura di Antonio Ciccia Messina
Pmi in attesa di semplificazioni privacy; ancora non pervenute le misure di garanzia previste, tra gli altri, per i settori sanitario e lavoro; appena cominciato l’iter per le regole deontologiche per la statistica; e solo due codici di condotta operativi.
Il cantiere della privacy è stato aperto cinque anni fa nel 2016 e il regolamento Ue 2016/679 (Gdpr) ha appena compiuto tre anni di efficacia (dal 25 maggio 2018). Così, se molte cose sono state fatte, tuttavia mancano molti tasselli di un quadro normativo molto affollato di fonti e di norme, ma non pregno di regole certe.
Il censimento delle fonti relative al settore della privacy mostra, in effetti, una abbondante produzione di disposizioni generali, le quali contengono molti rinvii ad altri per le norme di dettaglio. E molte disposizioni, che dovrebbero essere in grado di rispondere ai quesiti emergenti nella quotidianità, ancora non hanno compiuto il loro iter: riguardano ambiti e materie che toccano trasversalmente numerosi operatori economici o categorie di titolari del trattamento (la pubblica amministrazione), come le semplificazioni per le piccole e medie imprese, oppure ambiti specifici come, tra gli altri, la sanità, la ricerca scientifica, il giornalismo.
La lista delle cose che mancano chiama ad attivarsi le autorità pubbliche, quella preposta alla protezione dei dati e altre amministrazioni centrali, ma lancia un appello soprattutto ai soggetti privati rappresentativi di determinate categorie a prendere l’iniziativa per l’elaborazione di codici di condotta.
Non si tratta ovviamente di andare a cercare le responsabilità per omissioni o ritardi.
La questione urgente è analizzare le cose che mancano, avviare il cammino di stesura delle fonti richiamate dal Gdpr, dare certezze nell’applicazione della disciplina sostanziale e di quella sanzionatoria.
E questo richiamo è rivolto dal Gdpr in particolare ai titolari di trattamento (imprese e pubbliche amministrazioni), che non possono limitarsi ad aspettare provvedimenti autorizzativi o interventi consultivi sistematici da parte del Garante della privacy.
Lo stesso Garante della privacy ha ribadito di non essere dotato di poteri consultivi generalizzati e che i chiarimenti forniti con propri atti e documenti non danno indicazioni circa le conseguenze delle possibili violazioni e non vincolano l’attività sanzionatoria, la quale verrà svolta caso per caso (provvedimento n. 186 del 29 aprile 2021): questo comporta che, alla fine, è il singolo operatore pubblico o privato che deve definire i perimetri della liceità della propria condotta e responsabilizzarsi assumendo una decisione tra più opzioni possibili o all’interno di un istituto definito solo in base alla finalità da raggiungere.
Tutto ciò potrebbe portare a un certo sconforto e smarrimento per la sensazione di essere lasciati da soli a prendere decisioni su questioni spinose.
Citiamone alcune, generali e specifiche, tra le tantissime: quanto tempo conservare i dati, quando un’impresa deve nominare un responsabile della protezione dei dati, quando si possono trattare i dati senza consenso, quando si deve redigere una valutazione di impatto privacy, come pianificare il calendario della vaccinazione dei dipendenti senza venire a conoscenza del fatto che si vaccinano, come comportarsi con i fornitori di servizi cloud dotati di forza contrattuale tale da impedire di negoziare garanzie per la privacy, quali sono le misure di sicurezza adeguate, se e quando un ente pubblico debba chiedere il consenso e così via.
Ora, il Gdpr obbliga il Garante a non fare il consulente e riduce a marginalissimi casi in cui il Garante rilascia autorizzazioni (le quali taciterebbero il bisogno di regole certe); ma questo non fa venire meno la necessità di avere regole certe e sicure, che consentano agli operatori di prevedere se fanno bene o se vanno incontro a sanzioni o a dover risarcire danni
Se si intende la regola della responsabilizzazione degli operatori (cosiddetta accountability) quale tollerata indeterminatezza della regola a monte sulle condotte da tenere, il risultato a valle è una precarietà del sistema complessivo che non giova all’economia e al pubblico interesse.
Gli operatori, peraltro, hanno almeno nei codici di condotta lo strumento che consente loro di attivarsi in prima persona quelle regole di dettaglio ancora solo sulla carta.
Trattandosi, peraltro, non di regole di soft law (intese queste ultime come orientamenti non vincolanti), ma di norme con efficacia giuridica richiamata dalle prescrizioni dell’ordinamento, i codici di condotta determinerebbero conseguenze tangibili sul piano della certezza degli adempimenti e delle sanzioni.
© Riproduzione riservata
Approccio basato sulla sicurezza
Superano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo www.privacyaffairs.com, 661 in tutta l’Unione, di cui 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222). Leggermente diverse sono le cifre fornite da www.enforcementtracker.com, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. Per questa seconda fonte viene confermata la graduatoria per nazioni per numero di sanzioni e si mette in evidenza però che l’Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni). Sempre secondo www.enforcementtracker.com le violazioni più punite (euro166 milioni e 245 sanzioni) sono la mancanza di una base giuridica del trattamento (ad esempio mancanza di consenso) e il mancato rispetto delle misure di sicurezza (oltre 66 milioni e 146 sanzioni). Nella parte bassa di questa classifica ci sono anche 5 sanzioni per mancata nomina del responsabile della protezione dei dati o Dpo (euro 186 mila e 5 sanzioni). Tra l’altro, a riguardo dei Dpo, in Italia al Garante della privacy sono pervenute quasi 60 mila comunicazioni di designazioni di questi esperti privacy.
Questi dati, da un lato, testimoniano l’attività, sanzionatoria e non, delle autorità di controllo, ma, dall’altro lato, non sono in grado di far capire se sia o meno aumentata la protezione della privacy. Per questo profilo, gli indicatori potrebbero essere il numero di violazioni della sicurezza cioè dei cosiddetti data breach.
Il garante della privacy, nel primo trimestre del 2021, ha ricevuto 413 notificazioni di data breach e questo dopo le 421 del trimestre precedente. Ciò significa che in Italia ci sono al giorno oltre 4 segnalazioni ufficiali di sicurezza violata.
Prendendo un altro indicatore e cioè i reclami presentati al Garante, essi sono stati 2839 nel primo trimestre del 2021 e cioè quasi 30 al giorno. Anche a fronte di queste cifre, però, al di là della dimostrazione del volume di attività gestita dall’autorità di controllo, non si ha esatta consapevolezza se questi numeri depongano a favore della aumentata o diminuita effettività della tutela della protezione dei dati e della privacy individuale. Se il livello di effettività non è assicurato, allora bisogna passare da un approccio basato sul rischio a un approccio basato sulla tranquillità: l’impresa, le pubbliche amministrazioni, clienti e cittadini hanno diritto alla effettiva sicurezza del traffico dei dati personali e non solo allo sforzo per raggiungerla.
© Riproduzione riservata
Fonte: