Manifesto per la stesura di una ‘Privacypedia’ sul Gdpr
L’accountability richiede urgentemente un repertorio europeo sul Gdpr. Ci vuole un catalogo delle pronunce e dei provvedimenti, delle linee guida e dei codici di condotta. Si deve abbinare un massimario dei provvedimenti sanzionatori e degli atti di rilevanza generale. Bisogna costruire, e siamo già in ritardo, il digesto europeo del Gdpr o se si preferisce il data base europeo, indicizzato e di pronto utilizzo, in tutte le lingue dei paesi in cui si applica il Gdpr.
Da un lato è un problema di garanzia, imprescindibilmente, ineludibile e indifferibile rispetto all’applicazione delle sanzioni.
Dall’altro lato è anche un problema di cultura: o si accelera l’educazione al dovere della protezione dei dati e al diritto alla riservatezza o sarà irrimediabilmente pregiudicata la contesa con i robot e con gli umani che stanno dietro ai robot.
Tutti i garanti europei hanno la base giuridica e devono trovare le risorse per un digesto europeo della privacy. Hanno la base giuridica. Si legga l’articolo 57 del Gdpr:
“....... ogni autorità di controllo: ....... b) promuove la consapevolezza e favorisce la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento. Sono oggetto di particolare attenzione le attività destinate specificamente ai minori;”
Devono trovare le risorse perché dell’epoca in cui la società degli umani è diventata la società dell’informazione, il diritto sul trattamento delle informazioni è la parte fondante dei diritti dell’umanità.
È un problema, si diceva, di garanzie per l’applicazione delle sanzioni.
Il Gdpr è un regolamento che impone tanta documentazione delle scelte adottate (cioè tanta burocrazia) e delle misure eseguite, ma è pieno zeppo di formule generali.
Inoltre, ogni singola disposizione è abbinata a una sanzione. Come ti muovi c’è una sanzione possibile. E questo a fronte di precetti vaghi e indeterminati.
A questo proposito per un attimo accantoniamo, ma non abbandoniamo, la convinzione per cui se un sistema di sanzioni amministrative sostituisce quelle penali (divieto di bis in idem), gli illeciti devono essere descritti con la massima precisione e non con la massima vaghezza: non possiamo rinunciare alla verità che bisogna rispettare il principio di tassatività, che sola rende prevedibile la reazione dell’autorità; e non possiamo rassegnarci alla indeterminatezza, che ti lascia nel dubbio se hai agito bene o male.
Accantonato, peraltro, ma solo per un attimo, questo irrinunciabile discorso, abbiamo, comunque, necessità vitale di un sistema di garanzie per poter fare una previsione se saremo puniti o no.
(Nella foto: l'Avv. Antonio Ciccia Messina, legale esperto di protezione dati, e presidente di Persone & Privacy)
Dobbiamo avere una spiegazione, una illustrazione delle regole vaghe. E come si fa? Ce lo indica una frase catturata a un regolamento dell’autorità di controllo sulle compagnie di assicurazioni (Ivass):
“Nelle materie disciplinate da norme di principio, di carattere generale o gestionale, in coerenza con esigenze di certezza e prevedibilità della sanzione, l’IVASS valuta la condotta tenendo anche in considerazione eventuali provvedimenti o istruzioni a carattere generale emanati allo scopo di precisare, laddove ritenuto necessario, il contenuto del precetto. L’IVASS valuta la fattispecie anche alla luce degli interventi correttivi eventualmente adottati nei confronti dei destinatari, inclusi richiami, ordini, divieti e altri provvedimenti particolari, fra i quali la rimozione di esponenti” (articolo 8, comma 2, regolamento Ivass n. 39 del 2 agosto 2018).
Anche per il Gdpr ci vuole coerenza con le esigenze di certezza e prevedibilità della sanzione e ci vogliono provvedimenti e istruzioni di carattere generale e anche provvedimenti di carattere particolare (richiami, ordini, divieti destinati a singoli operatori). Ma tutto ciò non basta. Ci vuole un sistema di conoscibilità capillare e diffusa, pronta e facilmente disponibile, aggiornata e completa.
Tutti devono poter sapere cosa significa, ad esempio, “correttezza” dei trattamenti oppure “larga scala” oppure, ancora, “rischio elevato” e così via.
Tutti lo devono sapere con casistica concreta, non con parafrasi piene di sinonimi inutili, perché generali e vaghi come il testo originario.
La vita del Gdpr è piena di vicende concrete, storie di vita vissuta, esperienze delle imprese e delle pubbliche amministrazioni, episodi valutati dai garanti e dai giudici.
Siamo nell’epoca in cui la tecnica consente la catalogazione, l’indicizzazione e la diffusione istantanea di un mare di informazioni. E per il Gdpr la priorità è proprio questa: condividere la casistica concreta. Solo questa conoscenza diffusa alimenta la consapevolezza, solo la consapevolezza modifica i comportamenti, solo i comportamenti conformi consolidano una cultura.
Pensiamo ad una raccolta di casi sul DPO, su chi lo deve nominare, chi può essere nominato, quali compiti può svolgere, quali compiti non deve svolgere; pensiamo a un gruppo di lavoro dinamico che raccoglie, censisce, traduce, sintetizza e rende disponibile gratuitamente, in maniera immediata e a tutti le informazioni.
Un supporto di questo tipo rende omogenee le decisioni delle autorità di controllo, costruisce un substrato di notizie per consentire alle imprese e alle pubbliche amministrazioni di adeguarsi, migliora la vita delle persone.