PRIVACY: SIAMO CERTI CHE IL RISCHIO MAGGIORE SIA LA SANZIONE?

GDPR: IL RISCHIO NON E' LA SANZIONE
Cosa rischio se la mia azienda non si conforma al GDPR? In molti rispondono evocando pesanti sanzioni. Ma è davvero questo il rischio più grave ed imminente?

Il consulente privacy sta illustrando il progetto di adeguamento al GDPR: si direbbe che ha fatto i compiti a casa.
La presentazione in Power Point è luccicante, curata anche graficamente; il discorso del consulente corre fluido, non dà l’idea di essere preparato a tavolino.
Gli uditori sembrano attenti, vogliono capirci di più; fra i responsabili dell’azienda c’è pure chi abbozza un timido cenno di assenso.
Fra questi, il legale rappresentante, che però scalpita: in agenda ha un altro incontro a cui dovrà prendere parte tra pochi minuti e gli preme fare una domanda, prima di congedarsi: “mi scusi, ho compreso quello che c’è da fare, ma è vero che se l’azienda non è conforme si rischiano pesanti sanzioni?

La domanda è ricorrente nel contesto imprenditoriale.
Magari a farla non è il legale rappresentante; o magari viene posta in forma implicita, alludendo al tema delle sanzioni senza farne espressa menzione, ma il significato in fondo è sempre lo stesso: cosa rischia la mia azienda se non la rendo conforme al GDPR.
Il quesito può risultare cinico agli occhi di un consulente che, fino a pochi istanti prima, cercava di predicare la portata innovativa del GDPR e dei suoi principi di tutela dei dati personali.

A pensarci bene, però, è una domanda del tutto ragionevole per chi deve e dovrà “fare i conti” con i nuovi adempimenti privacy, che verosimilmente avranno un impatto notevole su alcune procedure o prassi operative in seno all’azienda; a ciò aggiungasi il compenso spettante al consulente, nonché le spese occorrenti per implementare nuovi sistemi di sicurezza IT.

Ragionevole, quindi, che ci si chieda se e quanto valga la pena di investire.
Il tema della sanzione rientra proprio in questa logica di analisi costo-beneficio.

1. COSA RISCHIA LA MIA IMPRESA SE NON E’ CONFORME?

A questa domanda, se possibile, va data una risposta realistica, cioè legata al contesto professionale o imprenditoriale cui si richiama quella impresa, quella organizzazione.
Il che significa – anche – spiegare quali saranno gli effetti negativi, qualora non si dovesse procedere ad un tempestivo processo di adeguamento del proprio business rispetto alla nuova normativa.

Negli ultimi tempi, confesso di aver maturato una risposta diversa da quella iniziale, forse dettata dalle più recenti esperienze di lavoro, che mi inducono a pensare che, per la gran parte delle aziende (mi riferisco, in particolare alle PMI) il rischio attuale non sia rappresentato dalle nuove sanzioni del Regolamento.

Certo, le sanzioni rappresentano un rischio in termini di costi, peraltro un rischio maggiore rispetto al passato, tenuto conto dei nuovi importi massimi indicati dall’art 83 GDPR (fino ad € 20.000.000 per i privati e le imprese che non fanno parte di gruppi di imprese o fino al 4% del fatturato complessivo (consolidato) per i Gruppi di imprese); nonostante questo, sono convinto che le sanzioni pecuniarie non dovrebbero costituire la principale preoccupazione in caso di violazione dei dati personali o di controllo dell’Autorità Garante o, perlomeno, non lo dovrebbero essere in questo preciso momento storico.

2.LA SANZIONE PECUNIARIA NON E’ IL RISCHIO PIU’ GRAVE ED IMMINENTE.

Provo a spiegare le ragioni di questa tesi.

Il rischio si misura anzitutto in termini di probabilità e gravità.
Ma nel concetto di probabilità credo che giochi un ruolo anche il “fattore tempo”.
Il senso è questo: fra i rischi probabili ce ne è uno che potrebbe verificarsi prima, cioè che si palesa come un rischio imminente?

Siamo così certi che la sanzione pecuniaria sia il rischio più probabile e grave, e soprattutto quello che dovremo temere di più nell’immediato? In realtà ci sono alcuni elementi che suggeriscono una risposta negativa.

  1. CIO’ CHE DICE IL REGOLAMENTO:
    La sanzione pecuniaria costituisce l’extrema ratio fra il novero dei rimedi predisposti dal legislatore comunitario.
    D’altronde, questa interpretazione è in linea con il dettato normativo: l’art. 58 pgf 2 del GDPR elenca i “poteri correttivi” demandati alle Autorità di controllo, ma per individuare l’ipotesi della sanzione amministrativa pecuniaria, bisogna spingersi fino alla lettera i). La precedono altri poteri correttivi, per così dire “formali”, cioè senza alcuna incidenza sull’attività produttiva. Si va, nell’ordine, dall’avvertimento, in caso di presumibile violazione del Regolamento (lett. a), all’ammonimento qualora invece l’attività di trattamento abbia già violato le disposizioni comunitarie (lett. b); seguono, quindi, le ingiunzioni, queste sì di natura “sostanziale”, là dove il legislatore fissa un termine entro cui conformarsi al Regolamento (lett. d) o impone una limitazione provvisoria o definitiva al trattamento (lett. f).
    Inoltre, l’Autorità ha il potere di ordinare la rettifica o la cancellazione di dati personali (lett. g) o la revoca o il ritiro di certificazioni rilasciate a favore del titolare del trattamento (lett. h). Per quanto possibile, verranno dunque privilegiate altre soluzioni in luogo della sanzione pecuniari, salvo casi limite di condotte reiterate e in palese violazione del Regolamento.
  2. L’ATTEGGIAMENTO DELLE AUTORITA’ GARANTI NEI CONFRONTI DELLE SANZIONI: A tal proposito, è significativo quanto ha scritto Elizabeth Denham (Il Commissario all’informazione del Regno Unito) in un post pubblicato sul sito del Garante inglese (ICO). 
Ne riporto un estratto: “this law is not about fines. It’s about putting the consumer and citizen first”.

     

    Dunque il GDPR non riguarda le sanzioni, non si riduce a questo; prima di tutto vuole essere uno strumento utile, tanto alle imprese quanto ai cittadini europei.

    In questo senso, le Autorità di controllo ne incentivano l’applicazione come un veicolo per far accrescere la sensibilità verso il tema della protezione dei dati; si dimostra pertanto coerente la decisione di assumere un atteggiamento collaborativo e non repressivo nei confronti di chi fa impresa e non dispone dei mezzi e delle conoscenze dei grandi attori economici.
    L’obiettivo finale è quello di diffondere sul mercato digitale europeo una cultura di data protection, che stimoli le imprese a dimostrarsi virtuose sul tema del trattamento dei dati personali, per accompagnarle in un processo di adeguamento alla norma, di cui a beneficarne saranno prima di tutto i cittadini europei.

  3. IL TESSUTO IMPRENDITORIALE ITALIANO: Come si è detto, le norme del GDPR consentono all’Autorità di modulare il tipo di sanzione da applicare al caso concreto; un principio di flessibilità, che il nostro Garante ha già annunciato di voler sfruttare nel corso della sua futura attività ispettiva (lo ha ribadito il Garante in persona – il Dott. Antonello Soro – al Convegno Privacy tenutosi il 31 Ottobre scorso presso l’Aula Magna dell’Università degli Studi di Milano-Bicocca). Si tratta, peraltro, di una scelta opportuna se si guarda al contesto economico italiano, in gran parte costituito da una galassia di PMI e studi professionali che hanno ancora bisogno di tempo per metabolizzare i nuovi principi del Regolamento ed innalzare il livello della loro sicurezza informatica, a patto che non venga accertato, in sede ispettiva, una situazione di completa inerzia nei confronti della normativa o di utilizzo deliberatamente illecito dei dati.

Tutto questo per dire che i primi controlli saranno diretti a promuovere una verifica costruttiva e di confronto con le imprese; non vi è motivo di ritenere che l’Autorità le voglia punire alla prima infrazione.

Un atteggiamento da “sceriffo cattivo” sarebbe controproducente: in questo momento non serve far fallire le imprese; serve, invece, riorganizzare la loro attività produttiva (c.d. privacy by design) e prepararle alle prossime sfide del mercato digitale (Big Data, internet of things, Intelligenza Artificiale).

3. E QUINDI COSA RISCHIANO LE AZIENDE?

A mio avviso, il rischio più grave e imminente, per chi non ha ancora avviato un percorso di adeguamento alla normativa europea, consiste nella perdita di quote di mercato, di competitività, quindi, di fatturato.
Da questo rischio non sono esenti neppure le piccole realtà imprenditoriali o il singolo professionista.
Fermarsi alle sanzioni è riduttivo nei confronti di una normativa che è mossa da ideali di innovazione e progresso sociale; anzi, favorisce la diffussione di un racconto di comodo, secondo cui sarebbero in arrivo pesanti sanzioni per chi non si dimostra conforme al GDPR; un messaggio utile ad incassare parcelle legali, meno a valorizzare i principi su cui si poggiano le norme del Regolamento, che dovrebbero costutituire il vero stimolo alla realizzazione di un progetto di adeguamento alla norma comunitaria.