Emergenza coronavirus permettendo, dopo quasi un anno di rinvii per mancato accordo fra le forze politiche, dovremmo essere prossimi all’elezione del nuovo Collegio del Garante per la protezione dei dati personali.
Incrociamo le dita. L’agenda (nazionale ed europea) del nuovo vertice sarà fitta: occorrerà contribuire prima alla costruzione della parte mancante, e poi alla manutenzione, di un edificio che dal GDPR e dal codice privacy ha avuto solo i primi piani. E bisognerà fare attenzione ad altri edifici che gli stanno crescendo vicino in contemporanea, come le norme sulla repressione e il contrasto all’evasione fiscale.
Fra gli ambiti in cui il prossimo Collegio potrebbe dare la sua impronta “di governo”, anche usando in modo parzialmente nuovo le risorse a disposizione, ci sono le campagne di comunicazione pubblica sulla privacy.
Come viene finanziata l’Autorità per la privacy
Secondo il codice privacy (versione novellata nel 2018) le spese di funzionamento del Garante sono poste a carico di un fondo stanziato nel bilancio dello Stato e iscritto in un’apposita missione e programma di spesa del Ministero dell’economia e delle finanze. Fra queste spese, il legislatore menziona esplicitamente quelle connesse alle risorse umane, tecniche e finanziarie, ai locali e alle infrastrutture necessarie per l’adempimento dei compiti e l’esercizio dei poteri dell’Autorità, compresa la partecipazione alle procedure di cooperazione con le altre Autorità di controllo europee e al meccanismo di coerenza, secondo il quale l’applicazione del GDPR deve essere omogenea nei vari Stati membri dell’Unione europea.
Nella nota integrativa alla legge di bilancio per il triennio 2020 – 2022, una missione è dedicata ai diritti sociali, alle politiche sociali e alla famiglia. In questa, fra le azioni non correlate ad obiettivi, ci sono i trasferimenti correnti per il Garante. Il fabbisogno individuato per l’Autorità è pari a 30.127.273 di euro per ciascuno dei tre anni (2020, 2021 e 2022) ed è il frutto dell’analisi di normative, di accordi e/o convenzioni, e di un monitoraggio accurato delle somme effettivamente erogate nel corso del tempo.
Oltre a questo importo già stanziato, il fondo viene alimentato con i proventi delle sanzioni pecuniarie irrogate dal Garante medesimo. Per legge, il 50 % del totale annuo delle sanzioni è destinato a tre attività del Garante: sensibilizzazione; ispezioni e attuazione del GDPR.
In realtà, la norma non è nuova: anche nel “vecchio” codice privacy c’era una disciplina simile, pensata per creare un circolo virtuoso, dove ciò che viene pagato da chi ha commesso un’infrazione diviene almeno per metà risorsa da reimpiegare per creare cultura della protezione dei dati personali (sensibilizzazione), per mantenere costante il controllo (ispezioni) e per completare e manutenere l’edificio privacy (attuazione).
Nuove risorse per il Garante grazie al Gdpr
Una novità è che le risorse potrebbero essere più ingenti che in passato. Della potenziale entità delle sanzioni GDPR abbiamo avuto un esempio con i recenti provvedimenti ENI e TIM. Sembra probabile che ci siano altre sanzioni in arrivo, magari tenute “nel cassetto” dal Collegio uscente, per correttezza istituzionale verso il futuro Collegio, giacché a firmare i provvedimenti di ordinanza-ingiunzione è, appunto, il Collegio. Al momento, non è dato sapere se e come l’epidemia Coronavirus coi suoi effetti recessivi impatterà anche sui controlli e sulle sanzioni, ma almeno sulla carta il meccanismo sanzionatorio del GDPR potrebbe dare già nel 2020 all’Autorità una capacità di spesa per la sensibilizzazione assai maggiore che in passato.
Finora, le iniziative di comunicazione del Garante sono avvenute mediante vademecum di taglio riepilogativo (come “La scuola a prova di privacy” e “Dalla parte del paziente”) e tutorial video diffusi dall’Autorità tramite il suo sito, anch’essi di pregevole fattura, come la campagna “connettilatesta” (per sensibilizzare su un uso sicuro dei social), la campagna “fattismart” (sull’uso sicuro di smartphone e tablet), la campagna “APP-prova di privacy” (sull’uso sicuro delle APP).
Elemento comune di tutte queste iniziative è stato rivolgersi agli utenti finali (utenti dei social, minori, ecc.) che hanno bisogno di indicazioni sui loro diritti e sui rischi che corrono, e a organizzazioni (scuole, condominii, ospedali, ecc.) che traggono utilità da un riepilogo, di taglio divulgativo, dei loro compiti.
Per costruire una consapevolezza, è fondamentale partire dal basso. Le campagne rivolte agli interessati e ai Titolari meritano di proseguire, magari – budget permettendo – anche in forme aggiuntive, come spot televisivi (eventualmente con volti noti) o con forme virali, che sarebbero spiazzanti ed efficacissime.
Una nuova sensibilizzazione dovrebbe raggiungere i corpi sociali intermedi: associazioni, categorie, organismi. Molte realtà devono ancora aprirsi ad una conoscenza aggiornata del mondo della protezione dei dati personali anche sotto il profilo del data security e delle novità del mercato digitale: la magistratura, le Università, le associazioni dei consumatori.
Quali categorie trarrebbero più vantaggi da una comunicazione più efficace
Fra le categorie che trarrebbero grande vantaggio da una sensibilizzazione efficace di taglio operativo (qualcosa di intermedio fra il classico corso professionalizzante e la comunicazione istituzionale), ne vedo tre che queste norme le devono saper usare per gli altri, o le devono fare funzionare in modo evolutivo.
La prima è quella degli avvocati, specialmente i civilisti, quelli che hanno una clientela di privati. Larga parte della categoria è stata finora timida nell’impadronirsi della materia. La privacy è campo di azione per avvocati con competenze ICT che fanno consulenza alle imprese per aiutarle ad essere conformi alla norma. Invece la platea dei civilisti andrebbe stimolata, formata a conoscere e usare gli strumenti procedimentali che la legge prevede a tutela dei diritti dei propri assistiti, magari a capire se e come fare valere anche in sede risarcitoria i provvedimenti sanzionatori del Garante. Finché la normativa a protezione dei dati personali sarà appannaggio prevalente di un’Autorità amministrativa indipendente sia pure molto attiva, finché i Tribunali civili ospiteranno poco contenzioso sulla materia e produrranno poca giurisprudenza, non avremo una vera “vita” del diritto alla privacy. Penso a campagne di comunicazione/formazione sul risarcimento del danno privacy e su come funziona il procedimento civile privacy.
La seconda è quella, a cavallo fra Università e impresa, degli hub dell’innovazione digitale: spin off accademici, corsi per ingegneri del software, ecc. Un mondo che ha bisogno di essere sensibilizzato e guidato per fare, in concreto, privacy by design, cioè progettazione orientata al rispetto della privacy, e magari anche di altro, ad esempio di linee guida su un’intelligenza artificiale rispettosa delle persone.
La terza è quella dei funzionari e degli assistenti parlamentari, degli uffici legislativi nazionali – anche ministeriali – e regionali. Talvolta, chi scrive le norme è sembrato ignaro di doverlo fare nel rispetto di questa normativa fortemente tecnica e trasversale. La sensibilizzazione privacy e l’attuazione del GDPR passano anche per una condivisione di scenari, conoscenze e metodi fra il Garante e questi interlocutori.
Condivido, infine, totalmente l’appello di Luca Bolognini su Cybersecuity360.it per una moratoria temporanea delle sanzioni pecuniarie in materia di protezione dei dati personali legata all’emergenza Coronavirus e al suo impatto devastante sul nostro sistema economico. Al momento, però, non è dato sapere se ci saranno i presupposti formali e politici per darvi seguito, e comunque non possiamo smettere di pensare alla normalità. Le riflessioni di questo articolo nascono dall’esperienza degli anni scorsi e guardano al futuro.
