26 Luglio 2017

Informative privacy teoriche e sanzioni pratiche: accountability?

Informative privacy teoriche e sanzioni pratiche: accountability?

E’ ormai noto che nella calda estate delle novità legislative un posto d’onore vada riservato al nuovo Regolamento Europeo Privacy il quale, a dire il vero ancora con una certa dormienza generale, impegna ed impegnerà in maniera importante gli intermediari (e non solo) laddove impone una rivisitazione (e per molti una creazione ex novo) dei processi e delle procedure adottate in materia di privacy.

Le novità che accompagnano l’intero sistema di trattamento del dato scorrono lungo il filo di una pressante accountability che, se da un lato elimina – salvo eccezioni – il preventivo passaggio autorizzativo al Garante dall’altro il realtà appesantisce il carico di responsabilità di Banche, Confidi, Mediatori, Compro oro, ecc. perché se è vero che i termini di origine anglosassone hanno spesso il difetto di non essere univocamente (e concretamente) interpretabili è altrettanto chiaro che con quello in questione si assiste ad un passaggio di deleghe in capo ai Titolari del dato piuttosto impegnativo. E ciò perché, nello spostare il baricentro della individuazione dei presidi da adottare sul singolo titolare, si assiste tutt’altro che ad un alleggerimento dei rischi, impegnati come saranno adesso tutti a dover sviluppare un’arte, invero assai complessa, di autovalutazione e corrispondente adozione dei presidi.

Spariscono da maggio 2018 istituti come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare di cui all’art. 17 Codice), potenziando l’intervento “ex post” del Garante della privacy.

Leggendo la norma sorge inoltre il dubbio che, nella nuova cultura della conformità normativa in materia di privacy, si possa confondere (identificandoli) l’accountability con il concetto di responsabilità (sebbene il Garante italiano li utilizzi come reciproci sinonimi) laddove quest’ultima sembra essere solo una delle voci in cui si declina la prima. Il nuovo titolare dovrà essere infatti in grado di adottare (e dimostrare di averlo fatto)  un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. Proattività è la nuova parola d’ordine: “mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare il proprio grado di conformità delle attività di trattamento con il regolamento, compresa l’efficacia delle misure”, da cui evidentemente deriverà il relativo livello di responsabilità.

Un sistema così congeniato deve superare diversi ostacoli: quello legato al retaggio culturale di molti di considerare, su una scala di priorità, la normativa privacy di rango inferiore rispetto a ben più “blasonate” normative (prima fra tutti l’antiriciclaggio); quello di emanciparla dal “mero adempimento formale dormiente” per promuoverla a “presidio organizzativo vivente”, avendo cura di entrare nel merito consapevolmente delle scelte adottate e degli strumenti utilizzato. Ciò decreterà la definitiva dipartita dell’arte del “copia e incolla” del contenuto delle informative che ha spesso caratterizzato l’operatività di molti, se non altro perché la parola d’ordine sembrava essere “purché ci sia”.

Niente di più errato come dimostra l’attività ispettiva dello stesso Garante che ha comportato l’analisi delle informative in ossequio ad un duo di principi cardine del già vigente codice privacy: pertinenza e non eccedenza.

Non è raro infatti stupirsi della casistica remota ed inverosimile richiamata nelle proprie informative dove, ad una reale gestione circoscritta del dato (si pensi ad esempio ad un mediatore creditizio che cura la fase iniziale e circoscritta  di trattamento del dato) corrisponde una fantasiosa ricostruzione testuale che rievoca cessione dei dati verso paesi extra-ue, ipotesi di profilature e operazioni di marketing che manco una multinazionale americana, indicazione di luoghi e modalità di conservazione del dato che sfidano le leggi dell’ipotizzabile.

Tanto più che l’Informativa sopravvive al restyling generale poiché il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, con un linguaggio chiaro e semplice.

Quanto ci regala la prassi dunque  rappresenta un’ipotesi di rischio sanzionatorio sino ad oggi sottovalutato e svela una tecnica della gestione dell’intermediario tutt’altro che sana e prudente e soprattutto consapevole perché conferma la filosofia (ormai morta e sepolta) del mero adempimento formale che induce spesso ad un esercizio di autolesionismo assai diffuso: predisporre documenti per il solo “gusto di farlo” nella convinzione che ciò solo basti a tenere al riparo da contestazioni.

Errato, soprattutto nell’era dell’accountability ove ciascuno è artefice più che mai del proprio destino o, per dirla più correttamente è chiamato al principio del “data protection by default and by design” con relativo onere di partecipazione e consapevolezza a cominciare dall’investire tempo nella lettura dei documenti che si utilizzano mettendoli a disposizione della clientela (o semplicemente aggiornandoli).

Per concludere dunque, sicuramente nei prossimi mesi scopriremo le mille variabili dell’accountabiliity ricongiungedoci con serenità – si spera – all’intenzione del legislatore, nell’attesa conviene abbandonare l’idea di origine romana dell’uomo (rectus intermerdiario) in balia del fato piuttosto cominciando a familiarizzare con l’homo faber artefice del proprio destino in un Umanesimo della normativa privacy in cui la virtù (e virtuosità) dovrà prevalere necessariamente sulla fortuna perchè da maggio 2018 definitivamente “Faber est suae quisque fortunae”.