Breve premessa: il GDPR (Regolamento Europeo per la Protezione dei Dati Personali) è la legge internazionale (europea) rivoluzionaria che tanti Stati nel mondo, nonostante le iniziali critiche, ci stanno copiando (uno tra tutti: la California, patria della Silicon Valley).
Uno dei principi cardine e più innovativi del GDPR è il principio di accountability, che sposta sulle aziende l’onere della prova di compliance alla normativa (in precedenza, erano le varie autorità nazionali istituite ad hoc a dover fornire prova della presunta non compliance di un’azienda). Inoltre, il GDPR prevede che siano le aziende stesse, nel fornire tale prova, ad elaborare i mezzi ritenuti idonei ad assicurare la conformità delle pratiche aziendali alla normativa.
Tale principio ha il grande vantaggio di rendere sempre attuale una regolamentazione difficilmente aggiornabile, trattandosi di una legge di rango europeo, garantendone la stabilità e l’attualità per gli anni a venire, anche in un ambito così dinamico come quello del trattamento dei dati personali.
A tal fine, il GDPR necessità di un elevato grado di generalità che si traduce nella vaghezza delle disposizioni che riguardano i sistemi di protezione imposti ai Titolari dei dati personali (figura prevista dal Regolamento all’articolo 4, il quale la definisce la persona fisica, giuridica o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali), i quali hanno di fatto grande discrezionalità in merito all’adeguatezza delle misure di sicurezza da implementare.
Questo, per contro, si traduce in un’oggettiva difficoltà per i Titolari e gli esperti del settore nell’applicazione del Regolamento, come si è visto nelle recenti sanzioni che il Garante della Privacy italiano, nei primi due mesi del 2020, ha irrogato nei confronti di due giganti nei rispettivi settori, EniGL e TIM, per un valore totale di circa 40 milioni di euro.
I due provvedimenti del Garante offrono numerosi spunti di riflessione, sui quali non ho modo di soffermarmi in maniera approfondita in questa sede e, per questo motivo, mi limiterò a indicarne alcuni dei più interessanti, senza pretese di esaustività:
1. Non basta una buona nomina a Responsabile del trattamento ex art. 28 GDPR a liberare il Titolare da ogni responsabilità, risultando invece necessari controlli continui, oltre ad un’adeguata formazione e procedure volte a individuare per tempo ogni possibile deviazione dalla regola (il che pone interessanti interrogativi per quanto riguarda la responsabilità di quei Titolari che si avvalgono, ad esempio, di fornitori di servizi in cloud).
2. Il dissenso specifico vince sul consenso generico. Per lungo tempo molti esperti del settore avevano, invece, ritenuto che il principio cardine in materia di consenso fosse quello cronologico, ma la sanzione ad Eni ha sancito che un dissenso specifico precedente è idoneo a superare un consenso generico successivo.
3. Ogni cessione di dati, anche a pagamento, dev’essere coperta da consenso, il che rende l’acquisto di database dai vari list provider (pratica adottata da un grandissimo numero di aziende) pressoché impossibile, almeno nelle modalità in cui quest’attività è stata svolta fino ad ora.
4. Una società oggi adeguata non è libera per gli eventuali trattamenti illeciti del passato, pprincipio pericoloso, dato che la grandissima maggioranza delle aziende non era pronta e compliant all’entrata in vigore della nuova normativa, nonostante i 2 anni di tempo concessi a tale scopo dalla pubblicazione del GDPR dal legislatore europeo.
Mi preme, però, sottolineare come aziende del calibro di Eni e TIM non siano state certo colte impreparate dalle ispezioni del Garante e che le ragioni dietro alle 2 sanzioni non sono delle mere inadempienze, ma delle critiche alle scelte coscientemente fatte dalle due società nel tentativo di rispettare i principi del GDPR.
In conclusione, è importante notare come proprio da questi fatti emerga un possibile punto di scontro tra la disciplina italiana e il Regolamento Europeo per la Protezione dei Dati Personali, per via del fatto che nel nostro ordinamento le sanzioni dovrebbero rispettare, tra gli altri, i fondamentali principi di legalità e tassatività, con obiettiva certezza della norma, e di personalità e colpevolezza. Non sono mancate a riguardo voci in dottrina pronte a sostenere come il GDPR abbia introdotto nell’ordinamento italiano un “monstrum” giuridico ad altissimo rischio di incostituzionalità.
Martino Pozza
#JEMIBreview