A volte ritornano. Temi che ci hanno impegnato all’indomani dell’entrata in vigore del GDPR e che anche durante la discussione in Parlamento del d.lgs. 101/2018 che ha modificato il Codice Privacy non hanno dato tregua. Mi riferisco, ad esempio, all’assenza, nel GDPR in tema di sanzioni di un valore minimo a cui parametrare l’eventuale sanzione, lasciata alla discrezionalità amministrativa dell’Autorità, la quale dovrà tenere conto di elementi di fatto e di diritto fino ad un massimo del 4% del fatturato annuo del trasgressore.
Il caso delle due sentenze TIM e Eni Gas e Luce, entrambe irrogate nel mese di gennaio 2020 dal Garante Privacy è emblematico. In entrambi i casi è stata applicata una sanzione al di sotto dell’1 per cento del fatturato dei trasgressori, nonostante le censure evidenziate siano significative. Molti commentatori hanno lamentato l’eccessiva aleatorietà del GDPR sul punto e quindi lo strapotere dell’Autorità.
Sanzioni privacy, anche in Italia servono linee guida per quantificarle
L’accountability che piace tanto perché all’italiana viene letta non come responsabilizzazione e affidamento autorevole, ma come “faccio ciò che mi pare”, è un’arma a doppio taglio e l’Autorità ha solo dato un primo assaggio di ciò che il trattamento illecito di dati personali può comportare.
Come più volte ribadito, il minimo edittale c’è ed è pari a zero. Sta all’azienda abbassare i livelli di rischio sanzione a tendere verso lo zero e non verso il 4% del fatturato, seppure nella consapevolezza che il rischio zero e la compliance 100% non è di questo mondo. Per come conosco l’Autorità, siamo (ancora) in buone mani. Funzionari e dirigenti conoscono il lavoro e la materia a puntino, ed hanno quel giusto livello di flessibilità e tolleranza che deriva dal senso delle cose e dalla misura del contesto e forse anche per questo la sanzione nei casi citati si è fermata a meno dell’1%. Certo solo la giurisprudenza nel tempo potrà darci indicazioni più o meno affidabili, sulla prevedibilità dell’azione dell’Autorità. Ma è lo stesso spirito del GDPR che ha introdotto l’aleatorietà e l’interpretazione nella materia della protezione dei dati.
Siamo tutti chiamati a fare un passo in avanti e a diventare adulti nel mondo di Alice nel Paese delle Meraviglie, sperando di non farci troppo male.