Sanzioni GDPR, l’Italia si scopre da record ma c’è poco da festeggiare
Il Garante Privacy italiano in coda di mandato ha deciso una sanzione – 27,8 milioni di euro a Tim per il telemarketing – che ha permesso all’Italia di scalare di colpo la classifica delle sanzioni Gdpr, ora secondi solo al Regno Unito. Ma c’è poco da festeggiare. Il Gdpr ha introdotto elementi di incertezza del diritto che rischiano facilmente di collidere con i principi essenziali del potere sanzionatorio amministrativo: il Regolamento europeo per la protezione dei dati personali è insomma uno strumento sì prezioso, ma da usare con cautela.
Un po’ come quando capita di leggere, sui giornali, storie di entusiasti padroni di belve esotiche – tigri, leoni, pantere e affini – che alla fine ne vengono disgraziatamente divorati. In questi casi di cronaca nera, di solito, l’entusiasmo incoraggia prima l’incoscienza e poi l’imprudenza dell’essere umano, il quale sottovaluta i rischi e le possibili conseguenze di una relazione acritica e non proporzionata con l’altro (alieno) da sé. È una forma di wishful-thinking, di desiderio d’armonia che si fa convinzione malgrado la difforme realtà, e la realtà spesso arriva a riequilibrare crudelmente tutto. Nella tragedia, ahinoi.
Lo confesso, io tendo a provare un sentimento simile e inquietante, di sottofondo, quando leggo i proclami elettrizzati, magari provenienti da illustri colleghi variamente galvanizzati, a commento delle notizie di sanzioni e ispezioni in materia di protezione dei dati personali e privacy che – meglio tardi che mai – stanno iniziando ad arrivare dopo due anni e mezzo di sostanziale moratoria nazionale.
Il motivo di tanta euforia lo comprendo bene, e simpatizzo: senza ispezioni né sanzioni, e a monte senza regole, non ci sarebbe il minimo rispetto per i diritti e le libertà fondamentali degli individui. Tutti noi siamo persone interessate e protette da queste garanzie fondamentali, e potenzialmente – o effettivamente, talvolta – siamo oggetto di abusi e soprusi privacy: quindi è certamente giusto gioire dell’enforcement.
Peraltro, in assenza di applicazione delle norme verrebbe meno la necessità di consulenza e assistenza in queste materie, sia per le vittime sia per i trasgressori, e si spegnerebbe un ormai florido mercato professionale specializzato: motivo in più perché gli “addetti ai lavori privacyisti” debbano rallegrarsi della severità dell’approccio da parte delle autorità competenti.
Però l’inquietudine resta, è lì e non passa, anzi cresce. Da sempre, mi divido personalmente tra due mondi e indosso due “cappelli”: da un lato, quello della dottrina, della ricerca e dell’innovazione, con l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e attraverso la scrittura di saggi e lunghissimi commentari; dall’altro, quello della professione, come avvocato dei dati. Non è un segreto che io mi occupi, come altri colleghi meglio di me, di assistere in Europa medie e grandi imprese o enti negli adempimenti e nei procedimenti in materia di privacy e protezione dei dati personali. Per questo, lasciatemi essere – come d’altronde non so non essere, abitualmente – sincero e fuori dal coro.
Quando leggo di sanzioni multimilionarie adottate ai sensi e per gli effetti dell’art. 83 del Regolamento privacy europeo (il “famigerato” GDPR), io provo inquietudine, preoccupazione, per certi versi tristezza. Dopotutto, una sanzione rappresenta la certificazione ufficiale di un fallimento del convivere umano. La cronaca si fa tragica, se emerge l’accertamento di violazioni dei diritti umani fondamentali – tali sono le violazioni privacy – e quindi non si può godere della notizia: vuol dire che ci sono state delle persone in pericolo, almeno potenziale, o perfino degli individui che hanno sofferto un nocumento apprezzabile, a causa dell’inosservanza di regole e salvaguardie da parte di colpevoli titolari o responsabili del trattamento di dati personali. Vuol dire che imprese o enti dovranno pagare multe pesanti, e questo potrà danneggiarne la robustezza economica e la reputazione, e potrà avere ripercussioni sulla loro competitività e sui loro lavoratori.
C’è poco da festeggiare, insomma, sono situazioni tristi.
L’inquietudine, però, aggredisce anche altri lati ed aspetti, e tradirei il mio spirito garantista – che immagino appartenere ad ogni avvocato che abbia giurato lealtà, onore e diligenza secondo i principi del nostro ordinamento – se non li elencassi e spiegassi brevemente di seguito.
Chi si occupa quotidianamente di queste materie, come avvocato/DPO, è già stato probabilmente coinvolto – in veste di consulente e/o di Responsabile della protezione dei dati, esterno o interno – in ispezioni aziendali e procedimenti per possibili violazioni GDPR. Molti controlli e istruttorie hanno avuto luogo tra il 2018 e il 2019, restando ancora “dietro le quinte”. Se questo è accaduto, si saranno sperimentati i metodi e le fasi concrete di richiesta d’informazioni e d’ispezione da parte dell’Autorità e della Guardia di Finanza, di presentazione agli ispettori del
Modello adottato in azienda, di discussione e chiarimento in merito all’effettività delle misure e delle procedure implementate, e – in taluni frangenti – anche di accertamento delle violazioni con conseguente redazione di memorie difensive e produzione d’impegni a migliorare da parte dei titolari e dei responsabili del trattamento.
Ebbene, io credo che siamo tutti – e con “tutti” intendo, espressamente, sia i Funzionari e Dirigenti dell’Autorità e gli Ufficiali della Guardia di Finanza (ai quali va il mio personale e sincero apprezzamento, in nessun modo adulatorio ma solo obiettivo, per la straordinaria bravura tecnica e l’estrema qualità umana nell’operare che fa dell’Italia una punta di diamante nel settore), sia gli avvocati e i consulenti privacy, e i manager che si occupano di queste materie in imprese ed enti – chiamati ad affrontare un periodo pluriennale di umiltà e prudente rodaggio.
Dovremmo imparare e consolidare metodi nuovi di organizzazione, gestione e controllo in ottica GDPR, anche con l’aiuto di dottrina, codici di condotta e giurisprudenza. Con urgenza, ma senza eccessiva frettolosità: la fretta di realizzare modelli, da una parte, e di accertare violazioni e applicare sanzioni, dall’altra, rischia di partorire inefficacie, inefficienze e ingiustizie paradossali.
È la vaghezza l’avversario di tutti noi. Numerosi principi, requisiti e adempimenti previsti dal GDPR sono generici, oltre che generali: primo fra tutti il principio di responsabilizzazione (accountability) che amplifica a dismisura la possibile estensione del perimetro di valutazione dell’adeguatezza delle misure adottate/adottande da parte del titolare o del responsabile, per rispettare il GDPR stesso e, più concretamente, per mitigare i rischi fatti correre ai diritti e alle libertà delle persone a causa del trattamento dei loro dati.
Basta avere partecipato a ispezioni o avere letto provvedimenti del Garante (si vedano le primissime decisioni, rivolte ad Eni Gas e Luce e a Tim, entrambe realtà che non mi vedono coinvolto professionalmente, per cui mi attengo, nelle sensazioni, al dato letterale dei provvedimenti), per comprendere quanto il principio di accountability – combinato con gli altri principi “obbligatori” di cui all’art. 5 e con articoli come il 31 del GDPR, sul dovere di cooperazione con l’autorità di controllo – abbia allargato il campo di discrezionalità amministrativa nella valutazione di legalità e legittimità delle condotte di titolari e responsabili del trattamento.
Non reputo l’estensione di discrezionalità una notizia necessariamente felice, nemmeno per l’Autorità stessa. Sappiamo che – almeno nel nostro ordinamento italiano – le sanzioni dovrebbero rispettare, tra gli altri, i fondamentali principi di legalità e tassatività – con obiettiva certezza della norma – e di personalità e colpevolezza. Ecco, applicare il GDPR si sta già rivelando difficilissimo, per chiunque debba farlo, da una parte o dall’altra della “barricata”. Diciamoci la verità, una verità scomoda perché poco alla moda: il GDPR ha introdotto nel nostro ordinamento un monstrum giuridico ad altissimo rischio di incostituzionalità. Non mi riferisco ai casi EniGL e Tim sopra menzionati, ma cerco di fare alcuni esempi semplici per essere compreso, di seguito.
Immaginate di essere titolari o responsabili sottoposti a ispezione o comunque ad un’istruttoria. Producete, su richiesta, le autorizzazioni al trattamento dei dati, destinate ai vostri dipendenti, accompagnate da istruzioni per il rispetto delle misure di sicurezza organizzative e tecniche del trattamento di dati. Istruzioni generali, da rispettare per qualsiasi situazione o strumento di elaborazione di dati (es. software gestionali in uso in azienda). Ora, ipotizzate che un ispettore rilevi l’inadeguatezza e il mancato rispetto del principio di accountability nel caso non produciate anche istruzioni privacy specifiche, come per esempio un mansionario riferito a uno strumento particolare (es. un mansionario privacy per il gestionale X). Come vi sentireste? Lo chiedo anche agli esperti e agli addetti ai lavori. Rispettare il principio di accountability e le misure di sicurezza ex artt. 5.1.f), 24 e 32 del GDPR significa necessariamente avere mansionari privacy differenziati per singoli sistemi informatici? O no? Chi lo decide, chi lo valuta? Il titolare del trattamento o l’ispettore o l’autorità? Fino a quale grado potrebbe spingersi il potere di richiedere documentazioni al titolare o al responsabile del trattamento, come evidenza di rispetto del principio di accountability, nel caso di documentazioni non tipizzate espressamente come obbligatorie dalla legge (GDPR in primis)?
Ancora: quanti audit o quante riunioni dovrebbe svolgere un Responsabile della protezione dei dati (DPO, esterno o interno) per essere considerato sufficientemente attivo e diligente? Quali priorità dovrebbe darsi, un DPO, nel caso d’imprese o enti che fossero ancora in alto mare negli adempimenti? Avrebbe senso dedicare sforzi ed energie allo svolgimento di estenuanti audit formali, da verbalizzare ex art. 39.1.b) GDPR, o, piuttosto, quel DPO dovrebbe dedicarsi pragmaticamente ad accompagnare con attività di consulenza ex art. 39.1.a) GDPR il titolare o il responsabile, al fine di permettere la realizzazione e la prima adozione del Modello di organizzazione, gestione e controllo in materia di protezione dei dati personali, senza perdere tempo in sorveglianza inutile (data la tabula rasa di partenza)?
Di più: l’idoneità di un testo di informazioni ex artt. 13 e 14 GDPR (le vecchie “informative”), nel caso in cui esso contenga gli elementi necessari per legge ma risulti stilisticamente discutibile o assai lungo, chi e come la dovrebbe valutare? L’Autorità o un consulente dovrebbero avvalersi di periti comunicatori, di psicologi, di critici letterari per comprendere l’efficacia e comprensibilità del testo a seconda dei diversi destinatari? Esagero, per fare sorridere, ma attenzione che ridendo dicere verum.
Una diversità di opinioni o una precisazione a verbale, in ottica divergente rispetto a quanto rilevato sul momento dagli ufficiali nell’ispezione, rappresenterebbero un corretto esercizio del diritto di difesa e una forma di legittima cooperazione con l’Autorità, oppure costituirebbero una violazione dell’obbligo cooperativo ex art. 31 GDPR?
E, nel caso di data breach (violazioni dei dati), non rischieremmo il paradosso – già infelicemente sperimentato nella quasi ventennale giurisprudenza in materia di responsabilità amministrativa degli enti ex D.lgs. 231/2001 – per cui ogni violazione in sé finisce per costituire la prova auto-evidente dell’inefficacia del Modello di prevenzione adottato dall’impresa, così neutralizzando a priori la sua forza esimente con buona pace dello spirito originario della norma? Considereremo ogni data breach alla stregua di una “pistola fumante” che certifica la non conformità al principio di integrità e riservatezza ex art. 5.1.f) GDPR?
Potrei proseguire ancora per giorni e giorni, e pagine su pagine, ad elencare casistiche realistiche di (probabile) “fuoristrada” nell’applicazione delle regole europee in materia di protezione dei dati personali, sia da parte di titolari e responsabili – e dei loro consulenti/DPO- sia da parte delle autorità competenti.
Perciò mi riferivo all’auspicabile, quasi socratica umiltà degli addetti ai lavori e all’attesa della futura giurisprudenza ordinaria, anche a valle dell’impugnazione di decisioni amministrative. La stella polare è il principio di proporzionalità ex art. 52 della Carta dei diritti fondamentali della UE, per tutti noi che ci troviamo ad applicare queste regole: in primis, per le autorità competenti (alle quali l’art. 52 si rivolge direttamente, come noto), le quali dovrebbero soppesare attentamente i provvedimenti adottandi in rapporto alle loro premesse giuridiche di legalità e tassatività ma anche e soprattutto di ragionevolezza e realismo; e per i titolari e responsabili del trattamento, e i loro avvocati, consulenti, DPO, che di questa proporzionata e responsabile ragionevolezza dovrebbero fare tesoro, nella costruzione di Modelli e di prassi difendibili. Non è un caso che il Considerando 4 del GDPR richiami proprio il principio di proporzionalità e ci ricordi come l’universo privacy non sia assoluto e unico: ci sono altri universi paralleli e non tutto si gioca tra i principi, le basi giuridiche e i diritti di cui agli artt. 5-22 GDPR. I diritti e gli obblighi in materia di protezione dei dati personali vanno bilanciati con altri diritti e libertà fondamentali, compresi la libertà di espressione e d’informazione e la libertà d’impresa.
Il Regolamento 679 del 2016 ha introdotto elementi di incertezza della norma (cioè di incertezza del diritto) che rischiano facilmente di collidere con i principi essenziali del potere sanzionatorio amministrativo, sui quali i giudici non potranno non esprimersi con la fissazione di “paletti” e criteri chiarificanti, a vantaggio di tutti. E a sicuro beneficio delle persone che, non dimentichiamolo, dovrebbero trarre da questa nuova disciplina il massimo della protezione per i loro diritti e le loro libertà. Il GDPR è un gran bel dono, insomma, ma può fare male: per addomesticare questa meravigliosa tigre – in potenza così buona – ci vorranno decenni di migliori prassi, gradualità e molta giuris-prudenza.
Fonte: Agenda Digitale