Home » News » Attualità

Normativa Privacy: i due “grimaldelli” dell’adeguamento

Normativa Privacy: i due “grimaldelli” dell’adeguamento

Normativa privacy e i due “grimaldelli” dell’adeguamento: il risarcimento del danno e la sanzione.

È davvero imbarazzante e diseducativo essere indotti all’evocazione del termine “grimaldello” per consigliare ed esortare chi tratta dati e informazioni delle persone ad un serio ed efficace adeguamento alla normativa europea e nazionale in materia di tutela della riservatezza.

Tuttavia, quanto è accaduto e sta accadendo nel nostro Paese, ad opera di coloro i quali si definiscono “esperti” della privacy, non fa altro che alimentare quel senso di disdegno e di disapprovazione rivolto ad una normativa che, al di là degli aspetti coercitivi propri di un precetto, tende ad entrare nel merito del rispetto delle libertà fondamentali e della dignità degli individui.

Non si fa altro che “spaventare” i titolari del trattamento dei dati (aziende, studi professionali, pubbliche amministrazioni e altri enti pubblici e privati) e i responsabili (coloro i quali trattano i dati per conto del titolare del trattamento, ad esempio consulenti), in occasione di Convegni o mediante distribuzione di brochure rappresentando la scure della sanzione (10 Mil o 20 Mil…), oppure la richiesta di risarcimento che l’interessato (o chiunque) possa avanzare quale conseguenza di un danno materiale e immateriale subito per effetto di una violazione del Regolamento 2016/679 (GDPR) o del D.Lgs 196/2003 (Codice Privacy – novellato a partire dal 19 settembre 2018) e dei Provvedimenti del Garante per la protezione dei dati personali.

A parere di chi scrive, i comportamenti volti a creare “terrore” sono esattamente di segno contrario allo spirito della norma europea, ben delineato e non a caso sancito dall’art. 1 del GDPR e che qui riporto  per comodità espositiva: “…….(2) il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali. (3) La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”. 

Cosa sta a significare tutto ciò?

Anzitutto, la protezione dei dati personali è assurto a diritto e libertà fondamentale delle persone fisiche; protezione dei dati che non deve in alcun modo limitare o vietare la circolazione dei dati stessi, onde evitare di comprimere quest’ultima esigenza a vantaggio ingiustificato della prima.

È su queste basi che andremo a riflettere sulle ragioni dell’indispensabile rispetto della normativa privacy da parte di chi tratta dati e informazioni personali, evitando cosi sanzioni e azioni di responsabilità per illecito trattamento e/o contrazione dei diritti dell’interessato; dunque su solide basi “culturali” e “motivazionali” e non su semplice spauracchio di sanzioni.

A differenza della previgente normativa, infatti, il GDPR non “obbliga” ma “responsabilizza il titolare del trattamento e, per esso, il responsabile, al rispetto delle persone allorquando le stesse esprimono e compiono le azioni quotidiane di relazione con essi, per ciò stesso escludendo i trattamenti che sono riconducibili e ricompresi nella sfera esclusivamente personale o domestica.

Il GDPR guarda al trattamento quale attività di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione di dati personali o insieme di dati personali, con o senza l’ausilio di processi automatizzati, nel definire l’accountability del titolare e che si traduce nell’osservanza dei principi generali sanciti dal par. 1 dell’art. 5¹, nonché nella capacità di poterla comprovare. Fanno da contraltare a tale impostazione, le disposizioni del Regolamento che prevedono specifici adempimenti per il responsabile del trattamento². 

È in tale cornice di legittimità che il titolare dovrà “calibrare” l’adozione del proprio modello privacy, “selezionando” gli adempimenti da osservare e far osservare, evitando il configurarsi di violazioni e, conseguentemente, la sanzione e il risarcimento del danno.

Nonostante questa plausibile evidente impostazione normativa, ancora oggi si fa fatica ad adeguarsi scientemente a norme che, se da un lato presuppongono azioni positive e concrete da parte dei destinatari delle stesse, dall’altro producono benefici, materiali e non, traducibili in una competitiva e sostenibile presenza sul mercato dove, ipotesi di violazioni alla riservatezza dei dati personali (e aggiungerei, aziendali), comporterebbe costi diretti e indiretti di non facile tollerabilità (azioni giudiziarie, procedimenti amministrativi di irrogazione della sanzione, danni alla reputazione, all’immagine, alla perdita di chances).

Ecco allora che non si può prescindere dal ritenere prevalenti le esigenze “culturali” e “formative” a fronte di una materia complessa e appannaggio di professionisti dotati di sicuro e solido background in grado di guidare, consigliare, assistere, supportare il titolare e il responsabile del trattamento o anche i designati al trattamento nella propria opera di adeguamento e di mantenimento delle condizioni di liceità nel trattamento stesso. Un professionista in grado, non solo, di discernere tematiche e criticità di carattere legale – apparentemente prevalenti – rispetto a situazioni e soluzioni di natura tecnologica ma che, al tempo stesso, sappia anche imporre azioni a volte “scomode”, rappresentando le “puntuali” conseguenze al non rispetto delle regole.

Solo tenendo fede a questa impostazione, il professionista – che in alcuni casi, previsti genericamente dal GDPR, ovvero su valutazione di esperti, si identifica con il Data Protection Officer – sarà anche in grado di pronunciarsi su evidenze rilevanti costituenti illecito ed evitare che il Garante per la Protezione dei dati possa, attraverso l’esercizio dei poteri conferiti dall’art. 58 GDPR e dall’art. 154-bis del Codice Privacy, adottare provvedimenti di natura correttiva (avvertimenti, ammonimenti), prescrittiva o, nei casi più gravi, anche in aggiunta, sanzionatoria. Inoltre, se dotato di conoscenze multidisciplinari, il professionista sarà anche in grado di suggerire la linea di difesa più efficace avendo ben chiare le regole procedurali e processuali sancite dal Regolamento e dal Codice Privacy,  ponendo in essere un’immediata e costruttiva azione di collaborazione con l’Autorità di controllo e fornendo al Giudice l’esatto quadro probatorio tale da evitare il risarcimento del danno -biologico, esistenziale e, altresì, morale nei casi di illecito penale – richiesto e a favore dell’interessato o di “chiunque” subisca un danno.

Prossimamente, in altri miei articoli, mi soffermerò sui mezzi di tutela dei diritti dell’interessato e sul diritto a un ricorso giurisdizionale nei confronti dell’autorità di controllo, sul diritto al risarcimento del danno – definendone puntualmente i profili di merito e di legittimità – le sanzioni  e i criteri di determinazione delle stesse, gli illeciti penali “privacy” e l’illustrazione di un case-study.

di Domenico Vozza,
Avvocato del Foro di Roma, Esperto in Privacy e Compliance 231

e Comitato Scientifico S News.
Docente alla 2^ ed. Corso Universitario in Data Protection Officer e Information Security


¹ I principi generali, ovvero le basi, i presupposti iniziali, i valori universalmente riconosciuti nella teoria del diritto alla privacy e che costituiscono le condizioni essenziali di espressione della legittimità del trattamento, sono rappresentati dalla: la liceità, la correttezza, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza, la responsabilizzazione.
² A vantaggio di una più efficace e diretta  opera di informazione in materia, si evidenzia che il responsabile del trattamento è anche titolare per i trattamenti per i quali raccoglie o svolge le altre operazioni rientranti in tale ambito sui dati personali dei propri dipendenti, consulenti, personale o altre persone fisiche riconducibili ai propri clienti o fornitori.

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.