A proposito di Cnil e di approccio 'nudge' dei poteri dei Garanti Privacy ex art 50 del Gdpr
Lo scorso giugno Federprivacy, da attento osservatorio qual’è dei fenomeni che - non solo in Italia - attengono alla privacy, ha dato notizia della intimazione della CNIL, l’Autorità francese per la protezione dei dati personali, ad un gruppo di 22 amministrazioni locali – pubblicandone anche l’elenco – che non avevano proceduto alla nomina del Responsabile della Protezione dei Dati (DPO), di provvedere ad assegnare tale incarico quattro mesi.
Tali amministrazioni erano state all’uopo interessate già nell’aprile del 2021, senza però dar seguito all’invito allora formulato.
Siamo in scadenza del quadrimestre concesso e sarà interessante vedere se la messa in mora ha avuto successo ho meno (nel frattempo, come pubblicato dalla CNIL, alcuni comuni si erano già mossi in tal senso). C’è da auspicare che tutte le amministrazioni locali coinvolte si siano mosse per nominare questa importante figura nella architettura della privacy pubblica (e non solo). Nell’ambito delle attività del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione non si mancherà di monitorare tale situazione.
Come ben sappiamo, la nomina del DPO non è una questione formale e dovrebbe essere interesse di ogni titolare del trattamento poter far conto sull’apporto consulenziale e di supervisione indipendente proprio di tale figura.
Aldilà del merito di questa vicenda, comunque, quello che si vuole qui approfondire è la specificità dell’assetto normativo francese che permette alla CNIL di adottare, in funzione della gravità della non-compliance, un percorso di progressivo accompagnamento dei Titolari del trattamento al sostanziale rispetto della privacy.
Come rilevabile nell’infografica pubblicata della CNIL, il proprio Presidente può attivare una azione pre-repressiva, che poi si sviluppa con l’intervento della Commissione, che può prevedere un periodo fino a dodici mesi per il titolare del trattamento, per realizzare quanto richiesto.
Si tratta di un approccio che potremmo definire, in qualche misura, à la “nudge” come qualche anno fa propugnato dal premio Nobel per l'economia Richard Thaler e da Cass Sunstein, professore alla Harward Law School, che nel 2008 pubblicarono "Nudge: Improving Decisions about Health, Wealth, and Happiness", ispirato al "paternalismo libertario" e teso a promuovere un approccio attivo nell'architettura delle scelte.
Se la CNIL ha potuto operare in tal senso, è perché l’art. 20 della Section 3 : Mesures correctrices et sanctions della Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, che completa in Francia le disposizioni del GDPR, espressamente regolamenta l’istituto della messa in mora.
Uno stimolo che si può trarre è valutare se una policy simile possa essere seguita dalle altre Autorità Garanti. Nell’ambito dei poteri correttivi previsti dall’art. 58 del GDPR - in particolare, per l’argomento in esame, la lettera d) – vi è quello di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine”. Tale previsione fornisce la cornice in cui una procedura “nudge” possa essere condotta.
Ma, perché possa essere esperita in maniera giuridicamente inattaccabile andrebbe emanata una procedura – a livello normativo congruo con il quadro normativo generale - che ne definisca, come in Francia, le modalità applicative (e che dovrebbero ovviamente riguardare anche il contesto privato).
È uno dei temi che potranno essere nel prossimo futuro affrontati per impostare una privacy per quanto possibile omogenea nello spazio europeo.