Roma 16 Luglio 2019: E’ notizia di questi giorni delle prime ingenti sanzioni irrogate ad aziende in base al GDPR, hanno fatto notizia i casi Google, da parte del CNIL, nonché British Airways e Marriott, da parte dell’autorità britannica ICO.
In questa breve intervista le impressioni del dr. Riccardo Giannetti, presidente dell'associazione Osservatorio679, scheme manager e training manager dell'organismo di certificazione Inveo Srl, su questi tre anni appena trascorsi dall’entrata in vigore del GDPR.
A breve anche in Italia assisteremo a fenomeni analoghi?
Le sanzioni fanno notizia, specie se riguardano importi considerevoli, come nei casi citati. L’Italia non sarà da meno in quanto la fonte normativa è la stessa ed uguali sono i criteri da seguire nella determinazione effettiva dei valori delle sanzioni da irrogare. Già si notano avvisaglie in questa direzione: le ultime sanzioni irrogate dal Garante, ancorchè applicate adottando le “vecchie” norme del previgente codice privacy, mostrano uno scatto in aumento della media delle sanzioni ante-GDPR. Questo è dovuto ad un maggiore e più ampio ricorso a quella norma del vecchio codice che prevedeva l’applicazione di un coefficiente moltiplicatore delle sanzioni di base, in ipotesi di maggiore gravità e per meglio perseguire un’efficace deterrenza.
Certo che l’importo delle sanzioni è tale da costituire un valido deterrente …
Si tratta di somme che certamente fanno scalpore, eravamo abituati a cifre che si aggiravano nell’ordine delle migliaia di euro mentre ora si assiste ad un doppio salto nell’ordine dei milioni; può fondatamente ritenersi che la deterrenza sia assicurata. Eppure, l’impianto di un sistema regolatorio complesso, come quello del regolamento europeo sul data protection, non può essere demandato esclusivamente al profilo repressivo. Occorre intervenire congiuntamente, a mio giudizio, su due versanti paralleli: una diffusa e concertata azione di divulgazione per accrescere il livello di conoscenza e sensibilizzazione degli imprenditori, che l’Eurobarometro ci indica ancora terribilmente basso (17% in Italia), insieme alla diffusione di strumenti di conformità che siano più vicini alla quotidianità operativa.
A cosa si riferisce in particolare?
Penso al settore noto come “soft law” o “regolamentazione dal basso”, fatto di codici di condotta, meccanismi di certificazione, marchi e sigilli, che costituiscono un’importante soluzione accessoria che il GDPR impone di incentivare ai vari stakeholder (Stati membri, autorità di controllo, comitato europeo e Commissione).
In che senso “regolamentazione dal basso”?
Prendiamo l’esempio dei codici di condotta, si tratta di una normazione auto-imposta dagli aderenti che lo sottoscrivono e che fanno parte di una determinata categoria o settore imprenditoriale. Costoro, nel rispetto del GDPR, individuano e definiscono le regole attuative che sono maggiormente calzanti per il proprio contesto di riferimento, ottenendo contemporaneamente più risultati, tutti importanti: l’aderente si immedesima maggiormente nella regola di comportamento ritagliata sulla propria esperienza operativa, l’attuazione pratica della regola di settore viene ad essere agevolata, si facilita la conoscibilità delle regole anche tra i non esperti. In breve, si riduce l’asimmetria informativa esistente tra regolatore e impresa.
E gli altri strumenti da lei citati?
Sono ulteriori soluzioni individuate sempre dal regolamento europeo le quali servono ad incrementare il livello di fiducia che il consumatore/cittadino ripone nell’impresa che gli fornisce prodotti o servizi sempre più “ad personam”. Meccanismi di certificazione, marchi e sigilli privacy soddisfano tutti questa esigenza di fiducia e trasparenza che risulta vitale per la società “data driven” dei sensori.
Possiamo immaginarci all’orizzonte una “segnaletica privacy”?
Certamente sarebbe opportuno ed auspicabile. Il citato Eurobarometro – che svolge sondaggi negli Stati membri per conto della Commissione UE – ha nuovamente evidenziato che le policy privacy esistenti sul web sono lette integralmente dagli utenti da una sparuta minoranza di soggetti. Cause maggiori di questa “disattenzione” sono la lunghezza dei testi e la complessità dei contenuti. In effetti, come suggerito efficacemente da qualche commentatore, la società di internet necessita di reazioni immediate come, e forse più, di quelle che sono richieste alla guida di un autoveicolo: sarebbe mai immaginabile che prima di accedere ad un’area cittadina (tipo Area C) il guidatore fosse tenuto a leggersi vari fogli informativi?
E sui meccanismi di certificazione? L’azienda Inveo di cui lei fa parte ha promosso uno schema che sembra coprire molteplici situazioni.
La certificazione è l’attività di cui mi interesso a livello professionale e, quando appresi anni orsono che la proposta del GDPR stava per prevederli, la nostra organizzazione raccolse la sfida. Il compito non era dei più facili: si trattava di adeguare le regole di normazione standard ai principi ed alle regole sulla protezione dei dati personali, creando un matrimonio perfetto. Il lavoro ha richiesto molto impegno e non sempre le soluzioni individuate all’inizio sono risultate quelle giuste: si è avuto bisogno di una significativa attività di laboratorio. Il risultato finale, però, ha ripagato gli investimenti profusi, specie in termini applicativi e di impegno.
Tutto positivo, dunque…
In realtà come in ogni storia che si rispetti vi è sempre una faccia oscura, ma a me piace pensare ed agire in positivo… Non è stato facile interagire con i diversi stakeholders in questo ambito ed il nostro paese – che ha il merito di aver contribuito alla redazione della norma del GDPR relativa alla certificazione – si è poi fatto trovare spesso in ritardo nella creazione di schemi in questo ambito. Oppure, cosa che mi rattrista personalmente, si è preferito ricorrere a lotte di bottega o a forme prodromiche di concorrenza sleale per imitazione servile verso chi era più avanti, rispetto ad un auspicale gioco di squadra del sistema paese nell’ambito della “certificazione gdpr”.
.jpg)
