Il 25 maggio diventa pienamente operativo il regolamento 2016/679 (Gdpr). Fra i dubbi
Pagine a cura di Antonio Ciccia Messina
Il 25 maggio 2018 comincia l’era della privacy europea. Il regolamento Ue 2016/679 diventa operativo. Diventano operative le norme sugli adempimenti e sulle sanzioni. Ma i lavori legislativi sono ancora in corso.
A dire il vero, molte cose sono applicabili in un quadro di norme compiute e definite. Ma ci sono anche tante altre cose per cui il legislatore o il Garante della privacy devono ancora scrivere regole.
Si tratta di pezzi importanti della disciplina della protezione dei dati. Primo su tutti, le semplificazioni per le Pmi. Dappertutto si legge che per le piccole e medie imprese la normativa sarà ritagliata e ridotta e adeguata alle relative dimensioni. Il problema è che è stato usato tanto inchiostro per scrivere che queste semplificazioni si faranno, e neanche una goccia per scrivere quali sono queste semplificazioni.
Il richiamo è fatto, naturalmente, ai legislatori e non alle autorità garanti.
È il legislatore che deve indicare le scelte di minimizzazione dell’impatto economico della normativa privacy sulle realtà economiche piccole. Realtà, queste, dalle quali non sono venuti, statisticamente, grossi rischi per la privacy delle persone. Altro settore che andrà seguito negli stessi termini è quello degli studi professionali. Qualche cosa è stato detto per gli studi individuali (sia con riferimento alla esclusione della nomina del responsabile della protezione dei dati sia per altri adempimenti, come la valutazione di impatto privacy). Ma, come per le Pmi, ci sono spazi per ulteriormente adeguare la normativa alla dimensione, ad esempio, di un piccolo studio associato.
Ci sono, poi, altri adempimenti e altri istituti, in cui il Regolamento è intervenuto e ha dettato le regole di principio, lasciando il dettaglio ai singoli operatori, i quali si trovano a dover decidere, nel loro caso concreto, la portata pratica di norme generalissime. E, quindi, il regolamento è certo formalmente applicabile, ma da un punto di vista sostanziale si mette l’operatore in grosse difficoltà.
Facciamo un esempio. C’è la regola per cui le misure di sicurezza devono essere adeguate. La norma è compiuta, esprime un principio generale e, da questo punto di vista, non manca di nulla (articolo 32).
Passiamo, però, alla concreta attuazione. Sarà la singola impresa a dover dire se è adeguato, per accedere ai computer aziendali e alla rete aziendale, una credenziale basata sulla parola chiave o se ci vuole una autenticazione forte (biometria, token ecc.).
Ancora un altro caso. C’è un’altra regola che dice che chi tratta dati sensibili o biometrici o genetici «su larga scala» deve nominare un responsabile della protezione dei dati. Come prima, la norma è compiuta, esprime un principio generale e, da questo punto di vista, non manca di nulla (articolo 37). Passiamo, però, alla concreta attuazione. Sarà la singola impresa a dover dire se i suoi trattamenti interessano o no una larga scala. E sarà giudicata per questo, anche con sanzioni amministrative pesanti.
Di fronte a questo, l’approccio giusto e sulla stessa lunghezza d’onda del regolamento europeo, è l’approccio basato sul rischio. Traduciamo. Si cerchino i possibili buchi nella rete, i focolai di possibili incendi. Altrimenti detto: si individui dove i dati personali conservati possano essere attaccati o possono subire un danno perché soggetti a smarrimento. Si intervenga a diminuire quel rischio e si cominci a costruire attorno un apparato documentale. Cominciare dalla sicurezza è un metodo assolutamente compatibile con il progetto del regolamento, che pretende di progettare la privacy e di avere la privacy come impostazione predefinita nella organizzazione dell’ente pubblico o dell’impresa.
La minimizzazione del rischio di perdita o di attacco ai dati significa mettere al riparo le persone, la cui identità è disegnata da quei dati. Siamo in un’epoca in cui lo sparpagliamento delle informazioni, senza alcuna prevedibilità e senza alcuna possibilità di controllo, mette le informazioni (cioè l’identità) di ogni persona nelle mani di tantissime persone. Questo a causa della cosiddette rete, che è uno strumento per collegare, ma anche uno strumento per catturare.
Gli operatori economici e gli enti pubblici possono usare i dati delle persone, molto spesso anche senza il loro consenso, ma devono «pagare» questa disponibilità con i doveri di custodia dei dati. Posso trattare i tuoi dati (perché il diritto di una persona sui suoi dati non è assoluto), ma devo proteggere i tuoi dati. Lo pretende la funzione sociale delle attività economiche, lo pretendono i principi di buon andamento e imparzialità dell’attività amministrativa.
Il dovere di custodia dei dati ha ricadute sul piano della responsabilità per danni, la quale non a caso, prevede a carico dell’operatore economico e dell’ente pubblico l’onere di provare la propria «innocenza» e cioè che il danno non è loro imputabile.
Questo quadro, di valori e di obiettivi, sostiene lo sforzo che imprese sono chiamate a fare, barcamenandosi tra norme che presentano ancora tanti buchi come una groviera.
Dpo e dati, istruzioni per l’uso
È una figura chiave, ma non è chiaro quando si deve nominare il Responsabile della protezione dei dati (Rpd o, all’inglese, Dpo). È un’opportunità per le imprese, ma non è ancora chiaro quando è possibile ricorrere al legittimo interesse e bypassare il consenso. Assume connotati nuovi anche un istituto già conosciuto come l’informativa, anche se si preferisce parlare di informazioni, ma ci sono incertezze su come scriverle nella parte in cui, ad esempio, si deve indicare il termine della conservazione dei dati. Sulle misure di sicurezza bisognerà produrre la documentazione di avere adottato misure idonee sia di ordine tecnico che di ordine organizzativo: ma non c’è un modello ufficiale di valutazione del rischio né una lista dei possibili rimedi adeguati a classi di situazioni.
Le richieste poste dal Regolamento Ue ai titolari di trattamento sono tante e bisogna individuare le coordinate giuste per dare la propria risposta, nell’attesa che le autorità legislative comprendano che sono necessari interventi regolatori o, almeno, vi sia un’indicazione degli esempi da emulare. Vediamo alcune criticità e cerchiamo di dare indirizzi operativi e costruttivi.
Legittimo interesse. In base al nuovo regolamento, un’impresa può trattare i dati quando ricorre un suo legittimo interesse, che deve autodichiarare nell’informativa. In questi casi non si deve chiedere il consenso all’interessato. Non c’è però una casistica tassativa dei casi con il legittimo interesse in cui si può evitare di chiedere il consenso.
Una risposta che si può dare è di considerare come coperti dal legittimo interesse tutti i casi in cui il Garante si è pronunciato in passato per il bilanciamento di interessi (cioè per un trattamento senza consenso). Questo è avvenuto ad esempio per il trattamento dei dati sulla morosità nei sistemi informativi creditizi, nella videosorveglianza, per i controlli indiretti sul lavoro, per la biometria. Oltre a questi, si potrebbe pensar coperti dal legittimo interesse anche tutti i casi di esonero dal consenso previsti dall’art. 24 codice privacy. Spieghiamoci. Se ricorre una ipotesi prevista dal codice della privacy (dlgs 196/2003) come un caso di esonero del consenso e se questo caso non è individuato come base giuridica alternativa al consenso dagli articoli 6 e 9 del Regolamento Ue, si può ragionevolmente sostenere che quelle situazioni sono caso di legittimo interesse (visto che c’era addirittura una previsione legislativa espressa): come ad esempio il trattamento dei curriculum spontaneamente inviati o la circolazione di dati infra gruppo per ordinari scopi amministrativi.
Nomina Rpd (o Dpo). Non è chiaro quando un’impresa debba nominare un responsabile della protezione dei dati. Una risposta è che la nomina obbligatoria scatta quando si deve fare la valutazione d’impatto privacy, adempimento quest’ultimo per cui i Garanti dovranno stilare una lista dei soggetti obbligati. Ovviamente deve trattarsi di casi censiti dai Garanti a proposito della valutazione di impatto in quanto trattamento su larga scala. È opportuno che, in caso di scelta di non nominare un Responsabile della protezione dei dati, l’impresa scriva un documento, da conservare nei propri documenti amministrativi, in cui precisi le ragioni per le quali non lo ha nominato.
Valutazione impatto privacy. È un documento necessario per pianificare le reazioni a rischio elevato. Cioè è un documento necessario per programmare la tutela delle persone fisiche in caso di attività sui dati estremamente rischiosa: ad esempio perché un malintenzionato potrebbe copiare i dati e distruggere il patrimonio dell’interessato.
Sul punto si attende un elenco dei Garanti, che le imprese chiedono sia tassativo, senza margini di dubbio. Si attente anche un elenco che, simmetricamente, dica quali sono i soggetti che non sono tenuti a redigere la valutazione di impatto privacy.
Sanzioni. Il regolamento prevede pesanti sanzioni amministrative, quantificate solo nei massimi. Per quanto si possa sostenere che una tale modalità legislativa sia corretta, resta il fatto che è iniquo, già sul piano della astratta previsione di legge, definire con la sola sanzione massima, elevatissima, una violazione formale e minima allo stesso modo di una violazione sostanziale gravissima. D’altra parte un sistema di questo tipo, lascia alla discrezionalità del Garante e della autorità giudiziaria l’individuazione in concreto di classi di illeciti e la graduazione della sanzione. Ma all’interno del limite massimo, ci sta qualsiasi opzione, con ovvio accantonamento della esigenza dell’operatore economico di sapere quale sanzione lo attende e per quale violazione.
Nel sistema attuale, gli operatori, invece, hanno capito che rischiano per tutte le violazioni (piccole e grandi, formali e sostanziali), a seconda dell’articolo violato, fino a 10 o 20 milioni.
Fonte:
