PA in affanno sulla privacy: il 71% delle sanzioni per violazioni del Gdpr irrogate a enti pubblici
Pubbliche amministrazioni in affanno con la privacy. Norme privacy oscure mettono all'angolo gli enti pubblici. Ma anche il settore privato non può fare festa. Dal 2020 al primo quadrimestre 2021 oltre il 71% (per numero) delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati. Su un totale di 80 ordinanze-ingiunzioni, 57 sono state indirizzate a pubbliche amministrazioni e 23 a privati. Se quelle imposte a soggetti privati arrivano, in singoli casi, a importi milionari, quelle rivolte agli enti pubblici preoccupano per la loro capillare diffusione, sia tra amministrazioni centrali sia tra enti locali.
(nella foto: l'Avv. Antonio Ciccia Messina)
Tra le pubbliche amministrazioni si trovano l'arma dei carabinieri, una capitaneria di porto, il ministero dell'interno, scuole e università, ospedali e aziende sanitarie e, infine, comuni. La pattuglia dei comuni, anzi, è molto numerosa e il numero delle sanzioni inflitte alle amministrazioni civiche tocca il 31%.
Le cifre sono state elaborate contando i provvedimenti pubblicati sul sito del Garante della privacy e rendono possibili varie interpretazioni.
Siamo ormai entrati nell'era della privacy europea e cioè quella che è stata pianificata sulla base del Regolamento generale Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018. Il regolamento Ue, in quanto tale, è direttamente applicabile nei paesi membri dell'Unione europea, ma non ha finora realizzato l'unificazione normativa del vecchio continente in materia di privacy e protezione dei dati. Anzi, siamo in piena crisi da innesto di un unico corpo normativo, generico, in contesti nazionali molto differenti.
A pagare lo scotto di questo periodo di lunghissimo rodaggio, non ancora terminato e ancora ben lontano dalla conclusione, sono cittadini, imprese e pubbliche amministrazioni.
La cartina tornasole è rappresentata dalla prassi sanzionatoria, che evidenzia quanto sia difficile essere in regola con la privacy, tanto difficile al punto che anche le amministrazioni statali centrali sono state punite con sanzioni pecuniarie. È talmente difficile essere in regola con la privacy che anche il governo italiano fatica a stare dietro alla conformità alle regole sulla protezione dei dati.
Questi anni di operatività del Gdpr, che piaccia o no, hanno fatto emergere titolari di trattamento in affanno per stare dietro a norme forse troppo avanzate o studiate a tavolino e senza una preventiva verifica di fattibilità.
Questa constatazione vale prioritariamente per le pubbliche amministrazioni e anche per le imprese, nel cui ambito tra i sanzionati non ci sono solo gli operatori di telecomunicazioni e di marketing, ma anche operatori della ristorazione, dei trasporti e della distribuzione.
In questo contesto sguazzano soggetti senza scrupoli e dolosamente responsabili di trascurare o fattivamente violare la privacy, ma ci sono anche operatori non in grado di gestire, ciascuno per suo conto, le sfide di quella che nel Gdpr viene chiamata «accountability», da tradurre con «ciascuno si scriva le regole di dettaglio tratte dai principi generali».
L'assenza di binari predefiniti, da un lato, ma solo per chi ha risorse e strutture, ha aperto la strada a una maggiore autonomia nella pianificazione degli adempimenti della privacy, ma, dall'altro lato, ha lasciato per strada chi confida nella capacità del legislatore di dare regole dirette e precise.
Più volte è stata stigmatizzata la lacunosità del Gdpr, che è un mero contenitore di buoni principi, evidenziando come, per esempio, la normativa Ue sulla privacy è un groviera (si veda ItaliaOggi del 27 maggio 2017), la privacy a norma Ue è un puzzle (si veda ItaliaOggi Sette del 21 maggio 2018). Così come si è avuto modo di evidenziare l'amplificazione del perimetro delle sanzioni (si veda ItaliaOggi Sette del 1° marzo 2021) e la necessità di collegare l'apparato sanzionatorio alla definizione di regole ferme soprattutto per le realtà piccole (si veda sempre ItaliaOggi Sette del 1° marzo 2021).
A distanza di cinque anni dall'entrata in vigore del Gdpr e di tre anni dalla piena operatività dello stesso mancano interi pezzi di normativa di rango primario. Non si tratta di soft law, cioè di regole non vincolanti frutto delle iniziative anche private non formalmente facenti parte dell'ordinamento giuridico, ma di regole che devono integrare i precetti primari con forza cogente e sanzionati in caso di inosservanza.
All'appello mancano le regole deontologiche (pubblica amministrazione, statistica e ricerca scientifica, media e informazione, rapporti di lavoro, trasparenza pubblica e codici di identificazione nazionale, obblighi di segretezza e chiese e associazioni religiose), le misure di semplificazione per le piccole e medie imprese e le misure di garanzia per sanità, genetica e biometria.
L'effettività dell'apparato sanzionatorio continua, dunque, ad avere bisogno di quel quadro completo di regole dirette e precise che il legislatore europeo non ha predisposto.
di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 10 maggio 2021)
