L’Italia si è classificata nell’anno 2019 come primo Paese europeo per numero di multe inflitte dal Garante Privacy in relazione alla violazione dei dati: vi sono state trenta sanzioni privacy che hanno raggiunto, nella loro totalità, i 4.300.000 euro. L’unico neo è che tale cifra, benchè consistente, sia da considerarsi minima se paragonata, per esempio, ai 312.000.000 euro relativi alle sanzioni della stessa tipologia irrogate dal Regno Unito (pari al 76% del totale europeo).
Ad ogni modo, l’attività dell’Autorità appare inarrestabile ed infatti, tra le multe del 2020, spiccano le due irrogate a Eni Gas e Luce, per un totale di 11.500.000 euro, riguardanti i trattamenti illeciti di dati personali nell’ambito di attività promozionali e l’attivazione di contratti non richiesti. Successivamente, è stato il turno di Tim, sanzionata per un ammontare di 27.802.946 euro a causa del trattamento illecito dei dati finalizzato all’attività di marketing e in relazione al quale il Garante ha rilevato che “Tim ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability) ai sensi del GDPR”.
Nuove sanzioni
Risale ai giorni scorsi la comunicazione del Garante Privacy italiano relativa all’approvazione del piano ispettivo del primo semestre 2020, nella quale ha specificato che l’attività di accertamento dell’Autorità si concentrerà su diversi settori, a partire da quello della sanità, nell’ambito della quale ha già inferto una multa di 30.000 euro ad un ospedale per tre episodi nei quali è stato permesso ad alcuni dipendenti di accedere indebitamente ai dati sanitari di colleghi in cura presso la stessa struttura. A seguire, gli accertamenti si concentreranno sui trattamenti di dati effettuati dagli intermediari che operano nell’ambito della fatturazione elettronica, dalle società che gestiscono banche dati reputazionali e dalle società di food delivery.
Le altre ispezioni programmate dal Garante saranno indirizzate a verificare il rispetto delle norme nel rilascio di certificati tramite l’Anagrafe nazionale della popolazione residente, nell’attività di marketing, nell’e-banking, nella gestione delle carte di fedeltà, nelle violazioni della sicurezza dei dati, nell’uso di software per la gestione delle segnalazioni di condotte illecite (il cosiddetto “whistleblowing” nell’ambito del quale il Garante ha recentemente irrogato una sanzione di 30.000 euro all‘ Università La Sapienza per aver rivelato i dati identificativi di due soggetti che avevano segnalato possibili illeciti all’ateneo).
Valutazioni, tra entusiasmi e perplessità
Non sono tardati ad arrivare commenti più che positivi ed entusiastici che hanno esaltato i traguardi ed i numeri raggiunti dall’Italia in tale ambito. E’ certamente vero che, da un lato, i summenzionati dati appaiono rassicuranti e danno evidenza del lavoro svolto dall’Autorità ma, dall’altro, c’è invece chi tende a non sbilanciarsi troppo e nutre delle perplessità in merito alla disciplina generale del GDPR, al suo campo di applicazione nei Paesi membri e alle conseguenze di tali sanzioni.
Infatti, alcuni esperti del settore hanno evidenziato come il Regolamento del 2016, se da un lato ha rafforzato i controlli sul trattamento dei dati, dall’altro non ha fatto altro che rilevare come l’elevata quantità di sanzioni sia la conseguenza di un’altrettanta elevata quantità di violazioni, che si estrinsecano nella violazione dei diritti umani fondamentali alle quali siamo tutti, almeno potenzialmente, esposti.
Da tali presupposti è nata, da parte di alcuni, la tendenza a smorzare l’entusiasmo generale dilagato nel nostro Paese dall’entrata in vigore del GDPR all’irrogazione delle numerose sanzioni succitate ed essi hanno, invece, propeso ad una riflessione volta a sottolineare come sarebbe necessario, per gli operatori della privacy, affrontare la questione con una prudenza che aiuti a sviluppare idonei modelli di prevenzione della violazione dei dati da adottare all’interno delle aziende. L’eccessiva celerità nell’enucleare tali modelli, accertare violazioni e applicare le relative sanzioni, secondo tali esperti, rischia di far adottare scelte poco ponderate e di creare, al contrario, un sistema inefficace che produce ingiustizie e inefficienze all’interno di un sistema che mira, invece, a ridurle.
A tal proposito, un altro elemento che rischia di non centrare il focus della tutela dei dati è l’incertezza data dal concetto della summenzionata “accountability”. Essa è uno dei principi cardine su cui si fonda il GDPR, mira a responsabilizzare ogni titolare, responsabile e addetto al trattamento dei dati, in modo tale da essere accountable con il regolamento, cioè di divenire responsabile delle scelte di mezzi, operazioni, procedure, finalità in materia di trattamento dei dati, ma anche essere in grado di “dare conto” delle valutazioni svolte alla base delle scelte poi operate.
Qualche criticità
Non mancano le osservazioni critiche anche nei confronti di tale principio, considerato da alcuni molto ampio e dai margini sfocati. E’ stata rilevata una vaghezza del concetto di “responsabilizzazione” che amplierebbe in maniera smisurata i confini della tutela della privacy, allargando discrezionalmente il campo sulla valutazione della validità o meno delle condotte attinenti alla violazione dei dati.
In quest’ottica potrebbe verificarsi un rovescio della medaglia, ossia che ci si ritrovi in un sistema di tutela in difficoltà, che, a causa di eccessiva celerità nell’adeguarsi alla nuova normativa, genera l’inefficacia dei modelli di prevenzione adottati dalle aziende. Potrebbe, quindi, sembrare che si cerchi la soluzione partendo dalla fase finale, le sanzioni appunto, piuttosto che concentrarsi sull’enucleare un sistema più solido di prevenzione della violazione dei dati.
Non resta che attendere come si evolverà e adeguerà il complesso apparato della tutela della privacy italiano, auspicando che venga garantita e posta in prima linea una protezione adeguata nei confronti dei cittadini.
© RIPRODUZIONE RISERVATA