Paolo Soro

Privacy? I am sorry!

La recente entrata in vigore del nuovo regolamento sulla privacy, impone alcune importanti riflessioni di carattere generale sulle inevitabili e – per certo verso – imponderabili ripercussioni che si stanno generando in tutto il mercato del lavoro.

Come noto, dallo scorso 25 maggio, vige il nuovo Regolamento UE 679/2016 sulla privacy (GDPR – General Data Protection Regulation), inizialmente pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016. Per l’esattezza, si tratta del Regolamento del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE (Regolamento Generale sulla protezione dei dati).

Nonostante il periodo di due anni concesso per provvedere all’adeguamento da parte di ogni Paese membro, tutt’oggi, in Italia, non è stato ancora varato alcun quadro normativo di riferimento nazionale. La data entro cui sarebbe scaduta la delega affidata al Governo per armonizzare le disposizioni nazionali sulla privacy, inizialmente prevista per il 21 maggio, è stata prorogata al 21 agosto 2018. E, stante l’attuale quadro politico interno, appare presumibile che pure tale seconda scadenza verrà inevitabilmente disattesa.

Di conseguenza, per ora, si dovrà fare esclusivo riferimento alle norme di cui al citato Regolamento UE, posto che lo stesso ha immediata applicazione in tutti gli Stati membri, senza necessità di alcuna espressa ulteriore norma di ratifica interna. Norma che, viceversa, sembrerebbe particolarmente importante, onde fornire perlomeno dei chiarimenti operativi in merito a determinate previsioni per nulla intellegibili: prima fra tutte, quella concernente l’eventuale obbligo di nomina dell’RPD – Responsabile della Protezione dei Dati (o, se preferite, DPO – Data Protection Officier).

Ciò premesso, occorre innanzitutto evidenziare l’enorme importanza che riveste al giorno d’oggi la tutela della riservatezza delle persone, specificatamente con riguardo al trattamento e alla circolazione dei loro “dati sensibili”. Da qui, dunque, l’assoluta necessità di varare una normativa in grado di garantire detta privacy.

Orbene, siamo d’accordo che tutto è sempre perfettibile; cionondimeno, il Regolamento in questione appare oggettivamente ben lungi dall’essere meramente perfettibile. Con in più l’aggravante che il Legislatore ha agito sulla falsa riga di analoghe leggi previgenti che fungevano da traccia. Il fatto che ci sia necessità di emanare una legge, non significa che bisogna per forza scriverla subito, pur di scrivere qualcosa, anche senza avere la minima conoscenza pratica dei settori che si intende andare a regolamentare.

Se il tetto della nostra casa è sfondato, urge rivolgersi a un ingegnere che realizzi un progetto per risolvere il problema. Ma non è che, pur di far presto, chiediamo aiuto a un ingegnere informatico; aspetteremo comunque di trovarne uno edile. In caso contrario, anziché risolvere il problema, nella migliore delle ipotesi, ne causeremo degli altri ben più gravi.

Qualcuno dirà che le nostre sono critiche pretestuose. E, allora, passiamo più opportunamente ai fatti.

Fatto N. 1: Efficacia del Regolamento

È indubbio che la bontà di una legge sia direttamente proporzionale al livello di efficacia che la stessa dimostra di avere nella pratica. Il Regolamento serve per proteggere la privacy delle persone; dunque, il primo indizio determinante per esprimere un giudizio positivo circa l’utilità delle nuove regole introdotte, è verificare se, a seguito dell’entrata in vigore, si incomincino già a notare dei cambiamenti – superfluo precisarlo – in meglio, rispetto al periodo pregresso.

Invero, di cambiamenti ve ne sono stati non pochi. In quanto “fornitori”, tutti abbiamo dovuto perlomeno mettere mani alle varie “informative”, rivederle e ritrasmetterle ai clienti; i più attenti hanno modificato il loro sistema di archiviazione e gestione dati; per non parlare di chi (oramai, la stragrande maggioranza di noi) ha un sito Internet. In quanto “clienti”, abbiamo dovuto modificare il nostro “consenso informato” (spesso, ristampando il nuovo documento, firmandolo una seconda volta e ritrasmettendolo a chi di dovere); abbiamo, poi, cambiato le varie credenziali/password di accesso ai tanti siti in cui siamo soliti “navigare” (anche quelli relativi a mailing list concernenti esclusivi approfondimenti professionali, per il solo fatto che vi sono inseriti i nostri recapiti personali).

E, a cosa sono serviti questi cambiamenti (a parte, sprecare giornate di lavoro nella vana speranza di non essere sanzionati in caso di controlli)?

Alzi la mano chi ha – per esempio – visto diminuite le mail-spam, o le telefonate da parte delle società che propongono nuovi contratti commerciali per le utenze domestiche o business, le attività di trading online etc.

I comportamenti – come dire – maggiormente bislacchi restano, peraltro, quelli delle compagnie telefoniche: prima mandano una comunicazione in perfetta osservanza del Regolamento, dal seguente tenore: “La nostra società affronta con molta serietà il problema privacy…”. Dopo, chiamano a un cellulare (il cui numero non dovrebbe essere noto ad alcuno) per proporre passaggi da un gestore all’altro, mantenendo l’attuale numero, ovviamente (tanto, ormai, lo conoscono cani e gatti). Cosa che, a pensarci bene, ufficialmente, dovrebbe essere impossibile, posto che tutti gli interessati si erano a suo tempo assicurati di barrare la specifica casellina “nego il consento a fornire il mio numero per attività di marketing et similia”.

Ergo, o tali compagnie telefoniche hanno una specie di gentlemen agreement secretato in forza del quale si scambiano liberamente fra di loro le utenze dei propri clienti, oppure esiste una sorta di banca dati nazionale dei numeri telefonici e degli indirizzi email, a cui tali compagnie hanno accesso. Eppure, tali banche dati, dovrebbero essere sottoposte a stretta vigilanza da parte delle Autorità pubbliche. Evidentemente, questi organismi statali non devono ancora essersi adeguati alle previsioni del Regolamento UE (così come, d’altronde, non si erano mai adeguati neppure alle precedenti normative in vigore).

La domanda sorge spontanea: ma il Garante della Privacy che fa, a parte essere una delle voci di spesa più rilevanti del bilancio dello Stato?

In conclusione del “Fatto N. 1”, possiamo affermare senza tema di smentita che il Regolamento ha causato molti cambiamenti; nessuno dei quali in meglio. Dunque, quanto a efficacia, il Regolamento merita una decisa insufficienza.

Fatto N. 2: Facilità e costi di attuazione

Un secondo pregio che ogni legge dovrebbe possedere è, poi, quello relativo alla circostanza che risulti semplice adempiere alle sue previsioni, e che le stesse non comportino dei costi sproporzionati.

Ebbene, quanto ai costi, il risicato utile di gestione che di questi tempi solo poche piccole e micro imprese riescono a conseguire, subirà inevitabilmente un grosso colpo a seguito delle prescrizioni imposte dal Regolamento UE. Intanto, sarà necessario pagare un consulente specializzato che analizzi la situazione e illustri all’imprenditore tutte le conseguenti misure che occorre adottare. Oltre a ciò, parimenti indispensabile sarà acquisire dei nuovi software che siano in condizione di rispondere alle raccomandazioni imposte per il trattamento dei dati. Poi, occorrerà rivedere l’intero modus operandi aziendale, di modo da essere in condizione di attuare tutte le diversificate procedure obbligatorie di custodia e reazione alle violazioni.

Esempio, non basta essere in grado di rispondere tempestivamente alle eventuali richieste dei vari interessati, relativamente al tipo di trattamento effettuato; ma occorrerà poter pure dimostrare che esistono in azienda delle procedure standard già predisposte in modo tale da attivarsi immediatamente e autonomamente all’occorrenza, senza necessità che vi sia l’intervento umano.

Non basta: il tutto deve essere dettagliatamente riportato nella check-list di auto-valutazione e altresì periodicamente indicato nel Registro delle attività del trattamento, in cui andrà pure evidenziata ogni operazione svolta in materia di privacy.

Inoltre, la mera presenza di tutta la documentazione regolarmente annotata, fine a sé stessa non è sufficiente. Bisognerà dimostrare che l’azienda assume nella pratica concreti comportamenti proattivi al fine di tutelare i dati degli interessati (siano essi, clienti, fornitori, collaboratori o dipendenti).

E i costi non finiscono qui. Il personale dovrà essere adeguatamente formato in materia di privacy: dunque, dovremo dimostrare che i dipendenti hanno frequentato dei corsi specifici e, al termine, hanno conseguito dei titoli di abilitazione.

Last but not least, occorrerà fare particolare attenzione alla nomina di un Responsabile esterno per il trattamento dei dati, che sarà evidentemente diverso dal titolare del trattamento (nonché dai contitolari del trattamento, opportunamente nominati mediante accordo scritto, nel caso in cui il titolare non possa essere sempre reperibile), e che comporterà un ulteriore rimarcabile spesa.

Ad abundantiam, giova pure ricordare che il titolare e il responsabile del trattamento (o i loro rappresentanti), a richiesta, hanno l’obbligo di cooperare con l'Autorità di controllo nell'esecuzione dei suoi compiti, nonché l’onere di notificare immediatamente ogni possibile violazione.

Tutto ciò senza nemmeno volerci addentrare nei meandri concernenti le procedure da adottare in caso di trasferimento dei dati degli interessati all’estero.

Insomma, non pare proprio che applicare il Regolamento sia facile o a buon mercato. E, a esser sinceri, ancora non abbiamo fatto alcun accenno a talune previsioni completamente inattuabili, oltre che di difficile comprendonio, come – udite, udite – la già famigerata pseudonimizzazione. Un oggetto misterioso che poteva essere partorito solo da qualcuno che non ha mai vissuto all’interno di un ufficio (tanto meno, in uno studio di commercialisti).

Intanto, appare quanto mai contraddittorio, prima prescrivere l’obbligo di sostituire i nominativi dei clienti con dei numeri (in modo che non siano immediatamente identificabili gli interessati), poi precisare che in realtà tale obbligo non sussiste, salvo ora imporre addirittura la pseudonimizzazione (principio per cui le informazioni di profilazione devono essere conservate in una forma tale da impedire l’identificazione dell’utente). Come si dice, l’importante nella vita è avere le idee chiare.

E quando mai è possibile svolgere il nostro lavoro quotidiano, se nemmeno noi possiamo ricordarci come individuare un determinato cliente e, ogni volta, dobbiamo andare a ricercarne il “Nick”?

Allorché dovesse pervenire una qualsiasi richiesta dall’interessato (o, peggio, una visita ispettiva), che rispondiamo?

Ripassa domani, perché prima dobbiamo verificare nel Registro qual è lo pseudonimo che è stato attribuito, e solo il titolare del trattamento (attualmente assente), può legittimamente conoscere tali informazioni.

Ma mi faccia il piacere! Esclamerebbe il compianto principe della risata. E ne avrebbe ben donde.

Possiamo, in sostanza, concludere che, pure con riferimento al “Fatto N. 2”, il giudizio sul Regolamento appare completamente insufficiente.

Fatto N. 3: Congruità del regime sanzionatorio

Un terzo indiscutibile fattore di valutazione afferente qualsivoglia nuova legge, riguarda senz’altro la corretta gradualità e proporzionalità dell’apparato sanzionatorio, previsto dal Legislatore a fronte delle eventuali violazioni normative.

Orbene, detto ulteriore elemento valutativo, anziché salvarlo, infligge il definitivo colpo di grazia al nuovo Regolamento UE.

Fermo impregiudicato ogni eventuale diritto di ciascun interessato al risarcimento dei danni personali eventualmente subiti (e, fin qui, nulla quaestio), per le violazioni del Regolamento – anche dovute solo a colpa ordinaria – sono imposte sanzioni amministrative pecuniarie che vanno:

-         fino a 10.000.000,00 (diconsi, dieci milioni) di Euro, e, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore;

ovvero, a seconda del tipo di violazioni riscontrate:

-         fino a 20.000.000,00 (venti milioni, anche qui lo ripetiamo pure in lettere, nel caso qualcuno sia legittimamente portato a pensare a un errore) di Euro, e, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Quisquilie… pinzillacchere… bricciche… zacchere… scegliete voi.

Si può, quindi, fatti alla mano, affermare che questo nuovo Regolamento UE in materia di privacy è una legge incomprensibile, irragionevole e, soprattutto, inapplicabile.

Tutto sta a vedere se, viceversa, saranno applicate le anzidette sanzioni, così adoperando due pesi e due misure rispetto a quanto fatto sinora. Oppure, anche i professionisti e gli imprenditori nostrani saranno graziati così come l’UE ha appena effettuato con, Sua Maestà, Mark Zuckerberg.

Già, perché, a titolo di curiosità, giova rammentare che, proprio in concomitanza col varo del Regolamento, il Parlamento UE ascoltava in seduta plenaria Mr. Facebook, il quale se l’è di fatto cavata solo con delle scuse, per avere spiattellato a cani e porci, in tutto il mondo, i “dati sensibili” dei suoi utenti.

L’unica linea di difesa che, a questo punto, possiamo quindi suggerire è la seguente:

-         Privacy? I am sorry!

comments powered by Disqus
reclamo
top