lente su documenti

Controlli e sanzioni – Un amaro risveglio

/in

Tre anni fa, nel febbraio del 2017, ho organizzato un evento su GDPR ed Industria 4.0 che si è svolto proprio il 25 maggio del 2017 in una località sul Lago Maggiore. Decisi di intitolare l’evento “Sfida al 2020” contro l’opinione di tutti le persone coinvolte nell’organizzazione che mi dicevano di sottolineare invece la scadenza molto più ravvicinata del 25 maggio 2018, data dell’entrata in applicazione del Regolamento europeo GDPR. Ma io spiegai che ci sarebbero voluti diversi anni per essere in grado di rispettare tutti gli adempimenti e le nuove necessità che il Regolamento europeo avrebbe richiesto. Non mi sbagliavo.

Tre anni dopo, il quadro della situazione in Italia non si può definire roseo. A febbraio 2020 la gran parte delle organizzazioni nazionali, pubbliche o private, grandi o medio-piccole, non sono state in grado di completare correttamente i loro progetti GDPR ed in alcuni casi, non li hanno neanche avviati. Queste realtà pensano o che non saranno mai soggette a controlli oppure, nel caso lo fossero, le sanzioni conseguenti sarebbero modeste e non avrebbero impatto sulla loro attività.

Ma le cose non stanno in questi termini e vorrei che si maturasse la piena consapevolezza della vera situazione con cui ci confrontiamo. In una brochure dedicata spiego dieci buoni motivi per effettuare e completare un progetto GDPR, ma l’amaro risveglio dell’inizio del 2020 è che il Garante Privacy italiano risulta essere, stando ai numeri ed ai confronti effettuati da Federprivacy, il più severo ed esigente su scala europea.

Figura 1 Situazione Generale Sanzioni – EUROPA 2019 – Agg. Feb. 2020*

Situazione Generale Sanzioni – EUROPA 2019

Fonte: Federprivacy

Dalla Figura 1 si capisce che l’effetto che i Garanti Privacy europei si erano prefissi, quello di applicare sanzioni milionarie ai sensi dell’art. 83 del Regolamento GDPR in caso di gravi violazioni delle disposizioni rappresenta sì un deterrente per spingere gli imprenditori e le istituzioni a rispettare le norme, ma in realtà rappresenta anche una fonte di sempre maggiore inquietudine e di smarrimento per tutte le organizzazioni. Ed è veramente incomprensibile come in Irlanda ed in Lussemburgo non sia stata erogata alcuna sanzione. Sì, neanche una sanzione anche se in quelle nazioni dove hanno sede legale alcune delle maggiori piattaforme digitali che raccolgono i dati personali di centinaia di milioni cittadini europei.

L’inosservanza totale o parziale delle regole di salvaguardia dei dati personali da parte dei titolari o responsabili del trattamento sta veramente mettendo a repentaglio la sopravvivenza stessa delle organizzazioni coinvolte (vedi Figura 2), senza che i titolari o i manager ne siano veramente coscienti. Alla mia domanda: “Cosa succederebbe se si trovasse a dover pagare una sanzione di 145mila Euro per mancato rispetto delle norme sulla tutela dei dati personali?” molti imprenditori mi hanno risposto più o meno così: “Gli lascio le chiavi dell’azienda e vado a vivere ai Caraibi (o alle Maldive n.d.r.). Basta con queste rotture, non ne possiamo più di regole da rispettare, non si riesce più a lavorare”.

Figura 2 Quali sono le sanzioni amministrative? Art. 83 del Regolamento

Quali sono le sanzioni amministrative? Art. 83 del Regolamento

Ma qual è il ruolo dei consulenti privacy o dei DPO/RPD (Responsabili Protezione dei Dati) in una situazione come questa? Io penso che il nostro ruolo sia quello di costituire un motore del cambiamento sulla data protection, ovvero di spingere tutte le organizzazioni ad analizzare i rischi sui dati personali, effettuare delle approfondite mappature dei dati e dei trattamenti effettuati, soppesare le misure di sicurezza adottate per verificare se siano o meno adeguate, impostare e rivedere i processi organizzativi pur di ridurre i rischi per i dati personali trattati, effettuare delle valutazioni di impatto e predisporre delle nuove procedure per i casi di violazione dei dati personali (i c.d. data breach). Ma la nostra realtà quotidiana è molto diversa.

Il Prof. Pizzetti, professore di Diritto Costituzionale ed ex Garante Privacy, ha sempre parlato di “sostanzialità” del GDPR, non di semplice attività formale nella realizzazione dei progetti. Ma se quello che vogliono i titolari ed i responsabili è solo sapere se “le carte sono a posto?”, allora siamo lontanissimi da quello che vorrebbe il Garante Privacy italiano e che il Nucleo Speciale Privacy della Guardia di Finanza vuole verificare in sede di eventuale ispezione. Perché?

Perché le ispezioni durano tre o quattro giorni consecutivi, dalle ore 9.00 alle 22.00 o 23.00 e se volete sapere di più di come si svolgono realmente leggete questa interessante versione romanzata di Andrea Chiozzi che evidenzia l’approccio seguito e ben descrive lo stato d’animo dei coinvolti.

Sareste in grado di rispondere a tutte le domande ed a tutte le osservazioni rivolte dal Nucleo Speciale Privacy per conto del Garante Privacy? Secondo la mia opinione maturata sul campo, secondo me assolutamente no. Solo una minima parte delle organizzazioni hanno:

  • ultimato il progetto GDPR;
  • elaborato ed aggiornato i documenti del progetto (es. il Registro dei trattamenti del titolare);
  • nominato i soggetti coinvolti (es. Responsabili esterni);
  • istruito i soggetti autorizzati coinvolti;
  • predisposto le procedure;
  • ecc.

Quindi la situazione generale è sicuramente complessa e, quasi di sicuro, non all’altezza delle aspettative dei legislatori europei e nazionali. Ma oltre a questa mancanza sulla completezza e profondità dei progetti GDPR eseguiti ci sono altri problemi?

Sì, ci sono almeno altri due problemi di cui prendere coscienza da parte di titolari e responsabili:

  1. quella della Data Protection è una materia ancora magmatica dove esistono principi da applicare e precise responsabilità dei titolari, ma purtroppo l’interpretazione delle norme e l’applicazione pratica nella realtà dei precetti, anche da parte dei DPO/RPD, non è così semplice e potrebbe essere giudicata come “non corretta” o “non conforme” in occasione di un ricorso o di un’ispezione. E’ un tema di discrezionalità e di proporzionalità, non esiste una formula magica e di sicura applicabilità. Anche con tutta la buona volontà e l’applicazione delle best practise da parte del consulente privacy si potrebbero ricevere contestazioni sull’attività eseguita da parte delle Autorità, come si può vedere dalle community degli specialisti.
  2. L’Autorità Garante Privacy italiana potrebbe inviare in qualsiasi momento una PEC all’indirizzo PEC di una qualunque organizzazione e chiedere di inviare alcuni o tutti i documenti del Progetto GDPR. Entro 24/48 ore. E’ probabile che questa richiesta metta in crisi la gran maggioranza delle organizzazioni sia perché il progetto non sia stato completato (o addirittura intrapreso), sia perché i dati potrebbero essere non aggiornati e non veritieri. Bisogna ultimare i progetti GDPR e tenerli aggiornati. E’ un obbligo.

In conclusione, entro il 2020 è ormai necessario completare i progetti GDPR ancora incompleti ed avviare quelli non ancora varati e non rischiare di mettere a rischio le risorse aziendali o la stessa sopravvivenza dell’organizzazione. Oltre questo, d’ora in poi la data protection deve essere inserita tra le attività ad alta priorità dell’organizzazione, avere le opportune attenzioni in termini di personale e di risorse dedicate.  Non deve più succedere che qualsiasi altra attività di business venga sempre anteposta alla data protection com’è successo con la Fatturazione elettronica, o la migrazione delle applicazioni sul Cloud o mille altre esigenze immediate di business. Alla luce di quanto detto, la data protection è diventata una sfida esistenziale perché se dovessimo perdere la fiducia dei nostri clienti potrebbero decidere di “revocare il loro prestito”, ovvero di cancellare tutti i loro dati personali impedendoci di fatto il prosieguo della nostra attività, qualunque sia.