Da zero a 20 milioni di euro e oltre, senza graduazione predefinita. La forbice delle sanzioni per violazioni della privacy, prevista dal Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr), azzera le garanzie e mette in serio pericolo il diritto di difesa. Per come sono costruite le sanzioni «privacy» hanno evidenti profili di iniquità. Vediamo quali. Innanzi tutto si tratta di sanzioni determinate solo nel massimo (ci sono due gruppi: uno da 10 milioni e l'altro da 20 milioni).

Non ci vuole il consenso dell’interessato per alimentare il Fascicolo Sanitario elettronico. Conseguentemente non può essere revocato un consenso, che a priori non è richiesto per il caricamento delle informazioni. Il consenso è, invece, necessario, tranne alcune eccezioni, per rendere possibile la consultazione, ma si tratta di un consenso che dal campo del trattamento del dato finisce per sconfinare nel consenso sostanziale per la terapia o per le analisi mediche.

La rincorsa allo scoop mette all’angolo la privacy e stropiccia il diritto di cronaca. La storia, di cui vogliamo trattare, comincia con una iniziale notizia di un esito positivo di un tampone Covid di una ministra, da considerarsi contagiata, notizia diffusa addirittura prima che l’interessata lo sapesse, seguita dalla notizia che si trattava di un falso positivo, con la conseguenza che non c’è nessuna ministra contagiata. In sostanza la notizia iniziale è azzerata, ma, come vedrà chi ha la pazienza di arrivare in fondo a questo articolo, c’è una vera notizia non messa in sufficiente evidenza. Peraltro, il succo della vicenda consente di studiare la legislazione della privacy applicata al giornalismo e la deontologia del giornalista.

Il regolamento europeo sulla protezione dei dati dedica numerosi articoli alla “trasparenza”, e ciò testimonia il carattere multiforme di questo istituto, non limitabile alle sole “informative”. Così, se in prima battuta, si riflette sulle finalità della trasparenza, si arriverà a concludere che la trasparenza ha uno scopo di agevolazione del controllo da parte di soggetti terzi.  Questi soggetti terzi potrebbero essere le autorità amministrative di controllo oppure le istituzioni legislative oppure le autorità giudiziaria e, non ultimo, l’interessato stesso. Quest’ultimo dispone di strumenti di verifica e di controllo in ordine alle circostanze che lo riguardano personalmente.

Privacy su misura per il marketing. Le imprese possono stabilire per quanto tempo tenere per scopi di marketing e di profilazione i dati personali raccolti con il consenso dell'interessato. È quanto discende dal provvedimento del Garante per la protezione dei dati personali n. 181 del 15 ottobre 2020. Con l'avvento del Regolamento Ue 2016/679 (o Gdpr, operativo dal 2018) può considerarsi superato il provvedimento, sempre del Garante, del 24 febbraio 2005 (sulle Fidelity card), che fissava il limite dei due anni per tenere i dati per scopi di marketing profilato e il limite di un anno per scopi di marketing profilato.

Un contratto tipo per l'outsourcing: lo ha confezionato la Commissione europea in applicazione del regolamento Ue sulla privacy o Gdpr (n. 2016/679). Lo schema di atto interessa tutti i casi in cui un'impresa o una pubblica amministrazione si serve di un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente.

L’accountability richiede urgentemente un repertorio europeo sul Gdpr. Ci vuole un catalogo delle pronunce e dei provvedimenti, delle linee guida e dei codici di condotta. Si deve abbinare un massimario dei provvedimenti sanzionatori e degli atti di rilevanza generale. Bisogna costruire, e siamo già in ritardo, il digesto europeo del Gdpr o se si preferisce il data base europeo, indicizzato e di pronto utilizzo, in tutte le lingue dei paesi in cui si applica il Gdpr.

Corsa (teorica) contro il tempo per il nuovo registro delle opposizioni al telemarketing. Il vecchio registro sarà mandato in cantina dal regolamento che sostituirà il decreto del Presidente della Repubblica n. 178 del 7 settembre 2010. E, a dire il vero, la nuova versione del dPR è passata all’esame preliminare del Consiglio dei ministri già il 17 gennaio 2020, dando il via alla trafila della raccolta dei pareri. Tra questi quello del Consiglio di Stato, che si è pronunciato due volte e, in dettaglio, all’adunanza del 2 aprile 2020 e, poi, a quella del 9 luglio 2020, in aperto disaccordo con il Mise, ministero dello sviluppo economico, incaricato di predisporre il testo del provvedimento.

Sicurezza nazionale controllata. Le serie minacce all'ordine pubblico autorizzano raccolte generali o mirate di dati, compreso l'indirizzo IP degli apparati elettronici. Ma ci vogliono garanzie per i cittadini: tempi limitati e controllo giudiziario o di un'autorità amministrativa imparziale. A studiare il bilanciamento tra privacy e sicurezza è la Corte di giustizia dell'Unione europea, con la sentenza del 6/10/2020, resa nelle cause C-623/17, C-511/18, C-512/18 e C-520/18. La sentenza rappresenta un vademecum che risponde al quesito a quanta privacy il cittadino debba rinunciare per ottenere di vivere sicuro e protetto.

Il guazzabuglio della vicenda romana dei feti sepolti con i nomi delle mamme (e anche contro la volontà delle stesse) contiene oggettivamente un’accozzaglia di incompetenze ed anche di contraddizioni e di ipocrisie.  Non a caso il Garante per la protezione dei dati personali ha deciso di aprire un’istruttoria per fare luce su quanto accaduto e sulla conformità dei comportamenti, adottati dai soggetti pubblici coinvolti, con la disciplina in materia di privacy.