Alcuni aspetti che emergono, anche implicitamente, dalla relazione annuale del Garante della privacy. Primo. Una tutela della privacy su base nazionale si rivela ogni giorno sempre più inadeguata. Diventa sempre più evidente, infatti, che un tema di portata sovranazionale ha bisogno di una impostazione almeno di livello europeo: l’ultimo episodio che ha confermato questa tesi è quello del divieto di utilizzo dei dati di Google analytics, dove è risultato chiaro che se interviene un singolo garante nazionale non si fa altro che mettere in difficoltà gli imprenditori del singolo stato: interventi dei garanti nazionali scoordinati da una prospettiva europea mettono in crisi addirittura la ragione per cui è stato emanato il regolamento europeo, cioè favorire le imprese del continente.
Secondo. Il Gdpr ha comportato una carenza dal punto di vista delle sanzioni, che si rivelano molto alte come importo assoluto, ma mentre si risolvono in importirelativamente bassi per i campioni del web, sono insostenibili per il sistema delle piccole e medie imprese. Eppure, in fin dei conti l’unica vera novità del Gdpr è proprio l’apparato sanzionatorio, il resto poteva essere ricondotto anche alla precedente disciplina. È necessario quindi individuare velocemente criteri omogenei come quelli che stanno faticosamente mettendo a punto i garanti europei in modo congiunto.
Terzo punto è la sicurezza informatica. Fino a quando gli stati non interverranno per inserire barriere di sicurezza o sistemi di gestione del rischio informatico ci sarà una situazione nella quale sarà impossibile a molte imprese non finire nella rete degli hacker. E poi si ritrovano spesso costrette a dover pagare anche le sanzioni al garante. L’attività su internet comporta un rischio necessario allo sviluppo dell’economia digitale? Anche la circolazione stradale è pericolosa ma necessaria per consentire la circolazione di persone e merci, ma qui si è inventato il sistema di assicurazione obbligatoria, che funziona abbastanza bene. La stessa cosa si potrebbe fare per il rischio informatico: chi vuole trattare dati dovrebbe essere obbligato ad assicurarsi.
Quarto. Sta montando, in alcuni paesi europei, come la Germania, un orientamento giurisprudenziale per cui anche le microlesioni alla privacy sarebbero risarcibili: un terreno molto appetibile che apre un nuovo settore per studi legali ma crea grossi rischi per le imprese. Si potrebbe allora immaginare un sistema di conciliazione obbligatoria o di indennizzi forfettizzati, per evitare che tante piccole microsanzioni cumulate diano origine a una mega sanzione difficile poi da sostenere. In questo modo invece un costo risarcitorio può essere trasformato in un costo prevedibile dall’imprenditore piuttosto che in uno imprevedibile aggravato dalle spese accessorie delle cause. Quello che più dà fastidio oggi è l’imprevedibilità assoluta dal punto di vista delle sanzioni amministrative e del risarcimento del danno.
Infine, per rendere più comprensibile anche nei suoi risvolti pratici la disciplina della privacy bisognerebbe consentire a tutti gli operatori di porre quesiti al Garante e avere la certezza di ottenere risposte in tempi ragionevoli, cosa che non sempre oggi avviene.
Marino Longoni
Fonte: