Gdpr, perimetro delle sanzioni da zero a cifre esorbitanti che apre le porte all'indefinito senza garanzie
Le sanzioni per violazioni della privacy arrivano fino a 20 milioni di euro. Partendo da zero. Una forbice così larga da atterrire qualunque piccola e media impresa, professionista e anche ente pubblico. È quanto discende dalla possibilità di contestare la violazione di un articolo del regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr): si tratta dell'articolo 5, dedicato ai principi generali. È una questione sottile e sa anche un po' di trabocchetto.
Il Gdpr è un elenco di obiettivi da raggiungere, di obblighi e divieti. I quali, se non raggiunti, sono puniti con sanzioni amministrative: sanzioni che sono di importo stellare. Apparentemente ci sono due fasce, ma in realtà la fascia è una sola. La prima fascia va da zero a 10 milioni euro o, se superiore, al 2% del fatturato mondiale annuo delle imprese. La seconda fascia va da zero a 20 milioni euro o, se superiore, al 4% del fatturato mondiale annuo delle imprese.
La prima fascia sanziona i titolari di trattamento se non adempiono gli obblighi loro imposti. La seconda fascia sanziona le violazioni dei principi del Gdpr e dei diritti degli interessati. Tutto ciò solo in apparenza, perché l'articolo 5 Gdpr unifica tutto in una sola fascia, quella più alta, senza possibile di graduare la sanzione: la sanzione è la stessa sia per una violazione formale lievissima, sia per una violazione sostanziale gravissima. Vediamo perché. Innanzitutto la ragione sta in quello che dice l'articolo 5 citato. La norma in questione sciorina una serie di principi: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione.
E come non essere d'accordo? Certamente chi tratta dati altrui (una Pmi, un professionista, un ente pubblico) deve essere corretto e deve stare attento a non usare dati inesatti. Il problema, però, non è declamare astratti e incontestabili principi. Il problema è che l'articolo 5 non ha solo un valore di enunciazioni di principi, ma è anche un articolo dalla cui violazione deriva l'applicazione della sanzione fino a 20 milioni/4% del fatturato.
In sostanza, se uno viola la correttezza o l'esattezza o l'integrità o la riservatezza rischia una sanzione fino a 20 milioni di euro.
Ma cosa significa violare la correttezza o la trasparenza o la liceità? E ci saranno tanti elenchi di risposte quante le persone che rispondono. Inevitabile, allora, riflettere sul fatto che il Gdpr non descrive in maniera esatta le azioni e le omissioni che sono sanzionate. In sostanza l'articolo 5 usa parole di significato tanto ampio, che qualche cosa che non va si può sempre trovare.
(Nella foto: Antonio Ciccia Messina, legale esperto di protezione dei dati personali e presidente di Persone & Privacy)
Beninteso, non si intende discutere la lealtà delle autorità di controllo (amministrative e giurisdizionali), che si dà per scontata. Il problema è se sia leale la legge che scrive una norma sanzionatoria in bianco: norma che per di più è un ascensore che porta in su l'importo della sanzione.
Facciamo un esempio. Per essere a posto con il Gdpr un piccolo imprenditore deve adottare le misure di sicurezza adeguate per i propri computer, server a dispositivi elettronici. Lo impone l'articolo 32 Gdpr, dalla cui violazione scaturisce una sanzione fino a 10 milioni/2% del fatturato. Però l'articolo 5 impone di trattare i dati trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
E se non si rispetta l'articolo 5, la sanzione raddoppia (fino a 20 milioni/4% del fatturato). A questo punto non è ben chiaro quando si deve contestare l'articolo 32 e quando invece si deve contestare l'articolo 5, nella parte relativa alla sicurezza. Con la conseguenza che chi non adotta le misure di sicurezza non sa se andrà incontro alla sanzione prevista per la violazione dell'articolo 5 o dell'articolo 32 Gdpr. Questo significa, rimanendo al discorso sull'importo delle sanzioni, che per le violazioni delle misure di sicurezza la prospettiva è di subire una sanzione da zero a 20 milioni/4% del fatturato.
Ora non si mette in dubbio che le sanzioni debbano essere dure e disincentivanti, ma non è vero che l'effettività della regola sostanziale deriva da sanzioni di sproporzionata quantità. È vero che la protezione dei dati deve diventare una cultura diffusa, deve diventare un modo di pensare universale, ma è anche vero che un quadro sanzionatorio sproporzionato non aiuta.
Si ritiene, invece, che si debba costruire un sistema di punizioni basate su precetti chiari, se non tassativi, senza ripetizioni e sovrapposizioni e che abbia una scaletta di sanzioni adeguate alla gravità degli illeciti.
Avere una sola forbice di sanzioni dal nulla a cifre esorbitanti e insopportabili da una qualunque piccola o media impresa significa aprire le porte all'indefinito senza garanzie.
di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 1° marzo 2021)