Pmi in attesa di semplificazioni privacy; ancora non pervenute le misure di garanzia previste, tra gli altri, per i settori sanitario e lavoro; appena cominciato l’iter per le regole deontologiche per la statistica; e solo due codici di condotta operativi.
Il cantiere della privacy è stato aperto cinque anni fa nel 2016 e il regolamento Ue 2016/679 (Gdpr) ha appena compiuto tre anni di efficacia (dal 25 maggio 2018). Così, se molte cose sono state fatte, tuttavia mancano molti tasselli di un quadro normativo molto affollato di fonti e di norme, ma non pregno di regole certe.
Il censimento delle fonti relative al settore della privacy mostra, in effetti, una abbondante produzione di disposizioni generali, le quali contengono molti rinvii ad altri per le norme di dettaglio. E molte disposizioni, che dovrebbero essere in grado di rispondere ai quesiti emergenti nella quotidianità, ancora non hanno compiuto il loro iter: riguardano ambiti e materie che toccano trasversalmente numerosi operatori economici o categorie di titolari del trattamento (la pubblica amministrazione), come le semplificazioni per le piccole e medie imprese, oppure ambiti specifici come, tra gli altri, la sanità, la ricerca scientifica, il giornalismo.
La lista delle cose che mancano chiama ad attivarsi le autorità pubbliche, quella preposta alla protezione dei dati e altre amministrazioni centrali, ma lancia un appello soprattutto ai soggetti privati rappresentativi di determinate categorie a prendere l’iniziativa per l’elaborazione di codici di condotta.
Non si tratta ovviamente di andare a cercare le responsabilità per omissioni o ritardi.
La questione urgente è analizzare le cose che mancano, avviare il cammino di stesura delle fonti richiamate dal Gdpr, dare certezze nell’applicazione della disciplina sostanziale e di quella sanzionatoria.
E questo richiamo è rivolto dal Gdpr in particolare ai titolari di trattamento (imprese e pubbliche amministrazioni), che non possono limitarsi ad aspettare provvedimenti autorizzativi o interventi consultivi sistematici da parte del Garante della privacy.
Lo stesso Garante della privacy ha ribadito di non essere dotato di poteri consultivi generalizzati e che i chiarimenti forniti con propri atti e documenti non danno indicazioni circa le conseguenze delle possibili violazioni e non vincolano l’attività sanzionatoria, la quale verrà svolta caso per caso (provvedimento n. 186 del 29 aprile 2021): questo comporta che, alla fine, è il singolo operatore pubblico o privato che deve definire i perimetri della liceità della propria condotta e responsabilizzarsi assumendo una decisione tra più opzioni possibili o all’interno di un istituto definito solo in base alla finalità da raggiungere.
Tutto ciò potrebbe portare a un certo sconforto e smarrimento per la sensazione di essere lasciati da soli a prendere decisioni su questioni spinose.
Citiamone alcune, generali e specifiche, tra le tantissime: quanto tempo conservare i dati, quando un’impresa deve nominare un responsabile della protezione dei dati, quando si possono trattare i dati senza consenso, quando si deve redigere una valutazione di impatto privacy, come pianificare il calendario della vaccinazione dei dipendenti senza venire a conoscenza del fatto che si vaccinano, come comportarsi con i fornitori di servizi cloud dotati di forza contrattuale tale da impedire di negoziare garanzie per la privacy, quali sono le misure di sicurezza adeguate, se e quando un ente pubblico debba chiedere il consenso e così via.
Ora, il Gdpr obbliga il Garante a non fare il consulente e riduce a marginalissimi casi in cui il Garante rilascia autorizzazioni (le quali taciterebbero il bisogno di regole certe); ma questo non fa venire meno la necessità di avere regole certe e sicure, che consentano agli operatori di prevedere se fanno bene o se vanno incontro a sanzioni o a dover risarcire danni
Se si intende la regola della responsabilizzazione degli operatori (cosiddetta accountability) quale tollerata indeterminatezza della regola a monte sulle condotte da tenere, il risultato a valle è una precarietà del sistema complessivo che non giova all’economia e al pubblico interesse.
Gli operatori, peraltro, hanno almeno nei codici di condotta lo strumento che consente loro di attivarsi in prima persona quelle regole di dettaglio ancora solo sulla carta.
Trattandosi, peraltro, non di regole di soft law (intese queste ultime come orientamenti non vincolanti), ma di norme con efficacia giuridica richiamata dalle prescrizioni dell’ordinamento, i codici di condotta determinerebbero conseguenze tangibili sul piano della certezza degli adempimenti e delle sanzioni.
