Il Gdpr ha aperto una voragine privacy: c’è una lunga lista di cose non fatte e gli stati dell’Ue vanno in ordine sparso. È quanto attesta la risoluzione del Parlamento europeo del 25 marzo 2021 sulla relazione di valutazione della commissione concernente l’attuazione del regolamento generale sulla protezione dei dati (Gdpr) due anni dopo la sua applicazione (www.europarl.europa.eu/doceo/document/TA-9-2021-0111_IT.html). Il documento mette in fila lacune della normativa, prassi disordinate e settori senza regole. Vediamo quali sono le criticità appuntate dal parlamento Ue.
Pmi senza attrezzi. Per le piccole e medie imprese la risoluzione Ue evidenza che mancano strumenti pratici per agevolare l’attuazione del Gdpr. Questa lacuna colpisce anche start-up, organizzazioni e associazioni, comprese scuole, imprese che effettuano trattamenti a basso rischio.
Disarmonia a tinte Ue. Il Parlamento di Bruxelles descrive una situazione disomogenea e, addirittura, talvolta inesistente del Gdpr da parte delle autorità nazionali di protezione dei dati. In particolare la risoluzione osserva alcune incoerenze tra le linee guida degli stati membri e quelle del comitato europeo dei garanti della privacy (Edpb) e fa notare che le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del Gdpr, con conseguenti applicazioni divergenti tra gli stati membri nonché vantaggi geografici e svantaggi per le imprese.
Reclami in pausa. La risoluzione dà notizia del fatto che nei primi 18 mesi di applicazione del Gdpr sono stati presentati circa 275 mila reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni. A fronte di ciò il parlamento rimprovera il fatto che finora è stato dato seguito solo in minima parte ai reclami presentati. Come dire il bisogno di tutela è inascoltato.
Moduli senza modelli. Il parlamento europeo si spinge a deprecare la mancanza di un modulo standard europeo di notifica delle violazioni dei dati. I data breach sono quotidiani (milioni di dati di milioni di persone sono sparpagliati nel web, che sia dark o deep) e la burocrazia europea non ha fornito uno standard utile per armonizzare i diversi approcci nazionali.
Sanzioni imprevedibili. Per le violazioni della privacy il Gdpr prevede sanzioni determinate solo nel massimo. La risoluzione si rammarica del fatto che l’importo delle sanzioni pecuniarie applicate nei singoli episodi vari notevolmente da uno stato all’altro (si veda ItaliaOggi del 1° marzo 2021) e che alcune sanzioni imposte a imprese di grandi dimensioni siano troppo basse per avere l’effetto deterrente previsto per le violazioni della protezione dei dati. Da qui l’invito del Parlamento alla commissione e all’Edpb ad armonizzare le sanzioni mediante linee guida e criteri chiari, al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.
Garanti dimezzati. La risoluzione riferisce che 21 garanti della privacy su 31 hanno dichiarato esplicitamente di non disporre di risorse umane, tecniche e finanziarie, di locali e di infrastrutture sufficienti per adempiere efficacemente i loro compiti ed esercitare i loro poteri. A ciò si aggiunge la preoccupazione che la mancata attuazione da parte delle autorità di protezione dei dati e l’inerzia da parte della Commissione nell’affrontare la carenza di risorse delle autorità fanno ricadere l’onere dell’attuazione delle norme, e quindi il ricorso a un tribunale per azioni in materia di protezione dei dati, sui singoli cittadini.
Legislazioni scoordinate. Il Parlamento europeo lamenta che il ricorso, da parte degli stati Ue alle clausole di specificazione facoltative (ad esempio, il trattamento nell’interesse pubblico o da parte delle autorità pubbliche sulla base del diritto dello Stato membro e dell’età del consenso dei minori) abbia pregiudicato il conseguimento di una piena armonizzazione legislativa.
Far web. Così la risoluzione: la profilazione è impiegata sempre più spesso, dal momento che le attività online delle persone consentono di avere una conoscenza approfondita della loro psicologia e della loro vita privata. Considerato che la profilazione permette di manipolare il comportamento degli utenti, fino a oggi è un mancato un argine allo strapotere dei colossi della rete, così da limitare la raccolta e il trattamento di dati personali relativi all’utilizzo dei servizi digitali a quanto strettamente necessario per fornire il servizio e addebitarne il costo agli utenti.
Consumatori inermi. Il Parlamento stigmatizza il fatto che i consumatori non sono messi nelle condizioni di prendere decisioni informate sulle conseguenze per la vita privata derivanti dall’utilizzo delle nuove tecnologie: le persone non possono esercitare il diritto a un trattamento equo e trasparente e non hanno a loro disposizione opzioni di facile utilizzo per accordare e revocare il proprio consenso al trattamento dei dati personali, conformemente a quanto stabilito dal Gdpr.
Linee guida non disegnate. Tra le linee guida ancora non elaborate il parlamento cita quelle relative alla qualifica dei produttori di tecnologie informazioni e comunicazioni, alla classificazione degli usi legittimi delle profilazioni e ai chiarimenti sui trattamenti attinenti alle risorse umane.
I paletti della Corte costituzionale
Nelle contestazioni di violazioni della privacy, l’incolpato ha diritto a non autoaccusarsi. Le regole di garanzia, che il Gdpr mette in secondo piano, arrivano dai principi della giurisprudenza della Corte costituzionale (sent. 84/2021). Deve, infatti, essere applicato all’ambito privacy il principio per cui chiunque, sottoposto a un procedimento che potrebbe sfociare nella irrogazione di sanzioni di carattere punitivo, ha il diritto a non essere obbligato a fornire all’autorità risposte dalle quali potrebbe emergere la propria responsabilità, sotto minaccia di una sanzione in caso di inottemperanza.
La pronuncia della Consulta riguarda il comparto finanziario, ma l’orientamento riguarda tulle le sanzioni amministrative che, come quelle previste dal regolamento Ue sulla privacy 20166/679 (Gdpr), sono sostitutive di quelle penali. Alle sanzioni del Gdpr devono, infatti, applicarsi le garanzie a favore del reo. L’articolo 5, secondo paragrafo, del Gdpr mette a carico della p.a. e delle imprese (o meglio di tutti i titolari del trattamento) l’obbligo di dimostrare di essere in regola con la privacy e commina la sanzione più salata (fino a 20 milioni di euro o il 4% del fatturato mondiale, se più elevato) se uno non lo dimostra. Ciò significa essere puniti se non si dimostra di essere senza macchia e significa anche spostare l’onere della prova a carico dell’incolpato. Il Gdpr mette in pericolo il diritto di difesa (si veda ItaliaOggi Sette del 18/1/2021), dal momento che un elementare regola di garanzia impone a chi muove un rimprovero di dover specificare le condotte contestate e non il contrario. La Consulta ribadisce che l’incolpato ha diritto al silenzio, a non autoaccusarsi e non deve essere obbligato a fornire elementi che possano far emergere la sua responsabilità per un illecito passibile di sanzioni amministrative di carattere punitivo o per un reato. Nel procedimento sanzionatorio l’autorità deve dichiarare e provare se gli elementi acquisiti nel corso delle attività istruttoria e di indagine configurino una o più violazioni del Gdpr.
© Riproduzione riservata
Fonte: