La privacy è un cantiere ancora aperto, ma l'accountability ci lascia con il cerino in mano
La privacy è un cantiere ancora aperto. Anzi, non sono state ancora completate le fondamenta. Si potrà ribattere che tempo ce n’è e che non ci sono termini perentori da rispettare. Ma è oggettivo che il RGPD è del 2016, che è diventato operativo nel 2018 ed altrettanto incontestabile è che non ci sono ancora le previste regole ad hoc, ad esempio, per la sanità o per le piccole e medie imprese.
Un quadro non esaustivo dell’agenda è tracciato dalla tabella, pubblicata a corredo di questo articolo, che riporta 16 rinvii, ancora da attuare, del Codice della privacy e del RGPD.
Molto, beninteso, è stato fatto (si pensi alla rivisitazione delle “vecchie” autorizzazioni generali e alla revisione di alcuni vecchi codici di deontologia). Ma altrettanto rimane da fare.
Qui, ovviamente, non si perde tempo a fare il gioco di puntare il dito contro nessuno, ché è difficile mettersi dalla parte di chi è titolato a scagliare pietre.
Se, dal lato istituzionale, mancano ancora, ed in settori cruciali, regole deontologiche, misure di garanzie, linee guida, è sconfortante constatare che, dal lato della società civile e del mondo economico, manca la proposizione di codici di condotta.
Ho osato in questi anni descrivere il RGPD talvolta come una groviera e talaltra come un puzzle, ma al di là della gara, sterile, a disegnare l’immagine più evocativa, rimane il fatto che gli interessati, i titolari e i responsabili del trattamento hanno bisogno di una rete di certezze e non di una ragnatela, che nasconde brutte sorprese.
Qualche anno fa, durante un Privacy Day di Federprivacy, organizzai una tavola rotonda e chiesi ai partecipanti di rispondere con toni affermativi e non dubitativi e la prima domanda che rivolsi fu “quali sono i punti fermi del RGPD?”. Fui spiazzato dalla risposta di uno dei miei interlocutori, che con una battuta suggestiva rispose “l’unico punto fermo del RGPD è che non ci sono punti fermi”. Il gioco dialettico del paradosso è sempre efficace ed apprezzabile. Ma il paradosso si rivela utile se è l’argomento retorico che innesca e catalizza il superamento di se stesso.
Se non ci sono punti fermi e se, tuttavia, abbiamo bisogno di punti fermi, allora, salvo scegliere l’inerzia astenica, si devono pianificare percorsi, strumenti, cronoprogrammi e obiettivi.
È importante sottolineare che tutto ciò ce lo chiede il principio dell’accountability ... anzi il trabocchetto dell’accountability.
Letta in positivo, l’accountability ritaglia sulle singole organizzazioni il vestito della privacy come un abito sartoriale (quante volte lo abbiamo sentito dire a convegni da tutti e da qualcun altro ancora lo sentiremo anche in futuro).
Letta in negativo, l’accountability ci lascia con il cerino in mano, ad aspettare fatalisticamente di essere rimproverati, corretti e sanzionati e ciò per non aver saputo rintracciare regole definite nella volatilità del quadro di un RGPD, che ad ogni piè sospinto proclama il dogma delle soluzioni “caso per caso”: ma così facendo non si affievolisce, con il rischio di estinguere, la norma che, noi figli del diritto romano, siamo abituati a considerare generale e astratta (valida per “n” casi astrattamente descritti dalla disposizione)?
Allora, costretti e rassegnati a considerare la responsabilizzazione del destinatario della norma quale effetto della deresponsabilizzazione del legislatore, non possiamo fare altro che assumerci il carico della scrittura dei “punti fermi”.
Lo dobbiamo fare anche per istinto di sopravvivenza.
(Nella foto: l'Avv. Antonio Ciccia Messia)
Anche in assenza di “punti fermi”, titolari e responsabili sono soggetti a correzioni e sanzioni, che vengono prescritte e irrogate con le norme che ci sono (né si potrebbe fare altrimenti, si dirà).
E, in proposito, diciamo due cose che probabilmente abbiamo pensato tutti (ma non sempre abbiamo osato dire).
Prima cosa, l’articolo 5 RGPD è mostruoso (naturalmente in senso etimologico): nella sua vaga indeterminatezza e nella sua contestabilità autonoma trovano spazio, anche ex post, tutte le possibili condotte umane, con buona pace della prevedibilità delle conseguenze dei propri comportamenti e delle garanzia che questa esigenza si porta dietro (almeno fino da quando, nel 1215, re Giovanni fu costretto a rilasciare la Magna Charta).
Seconda cosa, altrettanto impressionante è la forbice delle sanzioni amministrative del RGPD, che, a seconda degli illeciti, va da zero a, rispettivamente10 e 20 milioni di euro: suona quasi ironico leggere che una “inconsueta ampiezza dell’intervallo sanzionatorio” rappresenta una “anomalia” (argomento artatamente estrapolato dalla sentenza della Corte Costituzionale n. 156/2020 e, qui, consapevolmente utilizzato ai fini della descrizione del sistema sanzionatorio del RGPD).
Gli strumenti per tornire i pezzi della disciplina della privacy si chiamano codici di condotta, regole deontologiche, linee guida, misure di garanzia e così via.
È lapalissiano ricordare, sul punto, che una regola è tale se ha un grado di accettazione generalizzato. Altrettanto ovvio e conseguente è sperare (cioè aspettarsi ed aspettare) che le organizzazioni esponenziali di determinate categorie, e cioè di determinati interessi, si rendano protagoniste della stesura dei codici di condotta, ma anche dei testi-canovaccio degli atti di competenza delle autorità. Non certo per invadere il campo, ma solo per offrire la collaborazione di chi è più vicino ai trattamenti ed è, quindi, capace di descrivere più dettagliatamente le varie posizioni.
Alle autorità, ovviamente, la competenza decisionale, ma il diretto succedaneo dell’accountability del singolo titolare/responsabile è il coinvolgimento dei protagonisti del trattamento nella scrittura delle regole (che, devono essere, per forza, generali e astratte).
Prima si intraprenderà questo percorso, prima si sentiranno gli effetti benefici, anche sul piano della accettazione sociale delle norme, accettazione che è la chiave della effettività e del successo delle norme stesse.
