Con il sopravvento del mercato digitale, una riforma generale della normativa sulla protezione dei dati personali era indispensabile per regolamentare i flussi di “Big Data” che attraversano il pianeta da un estremo all’altro.
Era quindi fondamentale conseguire un ombrello normativo all’interno dell’UE; l’obiettivo si è raggiunto grazie all’adozione del Regolamento 679/2016 (GDPR) in tema di privacy e trattamento dei dati personali.
Numerose le novità introdotte dal nuovo Regolamento; tra queste assumono una particolare importanza le sanzioni formanti un apparato sanzionatorio unico ed armonizzato in tutti gli Stati Membri e che, al contempo, si presenta molto severo, prevedendo multe che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato globale del trasgressore.
Cifre che neanche le aziende più grandi e le multinazionali possono permettersi di prendere alla leggera.
E’ un binomio stretto quello che intercorre tra il Regolamento UE 679/16 e la trasformazione digitale delle aziende.
Il GDPR, oltre a definire nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende, ha riflessi diretti nel settore dell’innovazione digitale.
Nel nuovo Regolamento la definizione data protection ha preso il posto della parola privacy. Il termine scelto ha un significato molto più vasto e pone l’accento su un cambio di prospettiva: il problema di fondo non è semplicemente essere in possesso di dati personali, ma saperli gestire nel modo corretto alla luce dell’evoluzione digitale sempre più imperante.
E’ un mondo nuovo quello che ci attende, a seguito anche dell’accelerazione digitale imposta dall’emergenza sanitaria ancora in corso.
Una pandemia che ci ha messo di fronte ad un modo nuovo di lavorare, attraverso le regole smart working, o nel gestire le necessità quotidiane mediante un sms o una APP: abbiamo fatto ricorso ad un sms per richiedere un medicinale attraverso la ricetta medica elettronica o ordinato cibo a domicilio mediante una App di food deliveroo.
Il Titolare del trattamento, oggi, è chiamato quindi a rispondere con attenzione e forte responsabilità alle prescrizioni del GDPR in quanto tanto più l’innovazione digitale si impone tanto più la protezione dei dati personali diventa un tema centrale.
La consapevolezza della criticità del trattamento di dati personali in ogni processo di innovazione digitale deve elevarsi a elemento acquisito dalla cultura aziendale
Il GDPR ha sancito due principi cardine, sul tema, ossia il Data protection by design e Data protection impact assessment, che hanno notevoli conseguenze pratiche sul piano organizzativo e operativo dell’azienda.
In particolare, il Privacy by design, lo ricordiamo, riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto.
Nello specifico il principio è costituito dalla prescrizione per cui:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Il profilo del rischio di una violazione dei dati personali, che l’applicazione dei due citati principi dovrebbe essere in grado di contenere, richiama necessariamente il concetto di sicurezza informatica, ossia l’insieme di metodologie e tecniche da impiegare perché un’impresa possa proteggere il proprio patrimonio di informazioni garantendo la disponibilità e l’integrità dei dati, nonchè la salvaguardia del patrimonio informativo, riducendo al contempo – a livelli accettabili- i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.).
A tutto ciò si aggiunga il fenomeno cd. dell’INTERNET of THINGS (IoT) alla cui base ci sono gli oggetti intelligenti (i cosiddetti “smart objects”).
Con tale espressione non ci riferiamo più solo ai più comuni oggetti tecnologici, quali computer, smartphone e tablet, ma soprattutto a quegli oggetti che ci circondano all’interno delle nostre case, al lavoro, nelle città, nella vita di tutti i giorni. L’Internet of Things nasce proprio qui: dall’idea di portare nel mondo digitale gli oggetti della nostra esperienza quotidiana.
Gli esempi sono numerosissimi: a partire dalle automobili, inizialmente rese connesse “solo” tramite box GPS-GPRS con finalità assicurative, oggi, invece, dotate di connettività della strumentalizzazione già in fase di produzione, fino ad arrivare agli oggetti concernenti l’ambiente domestico (dalla domotica cablata a soluzioni wireless sempre più alla portata di tutti, caratterizzate da servizi in cloud e dall’uso crescente dell’Intelligenza Artificiale caratterizzata da oggetti gestibili a distanza o con l’uso della voce).
Non meno interessante sottolineare l’intento del nuovo Regolamento di rafforzare le sanzioni, come già evidenziato in premessa, soprattutto nella loro entità, inasprendo le sanzioni di carattere pecuniario e ampliando la casistica delle prescrizioni del Regolamento che sanciscono l’illiceità di una determinata tipologia di circolazione del dato.
Si potrebbe quasi azzardare un “parallelo” con la filosofia alla base della nota categoria dei c.d. danni punitivi, caratterizzati da una funzione deterrente che si va ad aggiungere a quella reintegrativa del patrimonio, tipica della responsabilità civile.
Per quanto riguarda i criteri generali di applicazione delle sanzioni amministrative, l’art. 83 GDPR precisa che quelle di natura pecuniarie, devono risultare in concreto: effettive, proporzionate e dissuasive. Nei singoli casi, l’Autorità garante può decidere se applicare le sanzioni amministrative pecuniarie in aggiunta alle misure di carattere prescrittivo, interdittivo o al posto di tali misure .
Ad esempio, in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria.
Doveroso ancora precisare che il Regolamento UE prevede, all’art. 82, una responsabilità risarcitoria civile da “danno da trattamento” cui va il merito, rispetto all’art. 15 del nostro Codice Privacy, di codificare meglio il tipo di danno risarcibile. Viene infatti stabilito, in maniera più dettagliata, che ha diritto di ottenere il risarcimento del danno, da parte del titolare del trattamento (o dal responsabile), il soggetto che subisce un danno materiale o immateriale derivante dalla violazione del Regolamento stesso
Si ricorda al lettore che ai sensi dell’art 82 GDPR “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Un titolare del trattamento coinvolto nel trattamento risponde quindi per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Il rapporto fra azienda e innovazione non può quindi prescindere dal rispetto del GDPR, fermo restando che tutto il Regolamento ruota intorno all’accountability del Titolare che deve essere in grado di giustificare le scelte compiute in tema di data protection rispetto alla complessità dell’intera organizzazione di cui risponde in termini di compliance.
Eleonora Mataloni
