Il 25 maggio 2019 il regolamento privacy europeo (il Gdpr) ha compiuto un anno d’età. L’approccio delle società alle privacy è cambiato veramente? Quale è l’effettivo rischio in caso di mancata conformità?
Si parla tanto di 25 maggio 2019, ma il 20 maggio è anche importante perché è cessata l’efficacia della norma transitoria secondo cui il Garante per la protezione dei dati personali “avrebbe tenuto conto”, ai fini dell’applicazione delle sanzioni amministrative previste dal Gdpr della fase di loro prima applicazione.
Questa disposizione aveva fatto scalpore tra gli esperti privacy. Non era chiaro cosa significasse il termine “tenere conto” ai fini del calcolo delle sanzioni della “prima applicazione delle disposizioni sanzionatorie” del regolamento privacy europeo, soprattutto rispetto ad obblighi che in alcuni casi rispecchiano principi già dettati dal decreto legislativo 196/2003, se non addirittura dalla legge 675/1996.
È come ammettere infatti che la conformità alla normativa privacy prima dell’avvento delle sanzioni del Gdpr non fosse ritenuta importante dalle aziende, che ora si rendono conto che devono attivarsi.
Ad essere sinceri però, anche il garante privacy francese aveva previsto una moratoria di 12 mesi dall’inizio dell’applicabilità del Gdpr ai fini dell’applicazione delle sanzioni. Tuttavia, sappiamo poi come è andata. La sanzione di 50 milioni di euro emessa dal Cnil contro Google è di gran lunga la più alta sanzione per la violazione della normativa privacy mai adottata. Potrebbe essere addirittura superata però dalle sanzioni che, sulla base delle ultime indiscrezioni, è probabile che siano emesse contro Facebook in relazione agli eventi collegati allo scandalo di Cambridge Analytica.
Con la disposizione sopra richiamata, sembrava che il legislatore italiano avesse inviato le aziende a “provare” a essere conformi al Gdpr in questi primi mesi. Ma mi viene in mente una famosa citazione da Star Wars del maestro Yoda: “Provare no! Fare o non fare non c’è provare!”.
L’approccio delle aziende italiane in molti casi è stato di “provare” a fare quanto richiesto dal Gdpr e di avere un piano di messa in conformità.Tutto ciò è avvenuto principalmente nei mesi precedenti al 25 maggio 2018, con livelli di tensione che sono notevolmente aumentati nei giorni immediatamente precedenti alla scadenza.
Le aziende italiane sono pronte alle sanzioni?
Quello che è sorprendentemente accaduto successivamente al 25 maggio 2018 è stata una notevole riduzione del livello di priorità riconosciuto dalle aziende alla necessità di conformarsi al Gdpr. Alcune aziende avevano previsto investimenti milionari nel 2018 nel loro programma privacy per poi non allocare quasi alcun importo nel 2019. Come se gli adempimenti richiesti dal regolamento si riducessero a delle procedure e misure tecniche che, una volta adottate, mettono in sicurezza l’azienda per sempre.
Ma lo scenario che abbiamo riscontrato in alcuni casi, evidenziava che le aziende avevano adottato informative sul trattamento dei dati personali, registri del trattamento e procedure prima del 25 maggio, ma queste non riflettevano in alcun modo l’operatività dell’azienda. Queste misure erano state adottate prima della scadenza, unicamente perché il management aveva scoperto la rilevanza della compliance privacy durante quei giorni in cui la notizia dell’avvenuto di questa nuova normativa era su tutti i giornali. Tuttavia, successivamente altre priorità erano diventate più rilevanti e la situazione di “mera facciata” sopra indicata, era rimasta.
L’inizio delle nuove ispezioni del Garante
Un primo segnale di allarme è arrivato dal Garante per il trattamento dei dati personali, che negli ultimi mesi ha ripreso le proprie ispezioni con l’ausilio della Guardia di Finanza. La particolarità che abbiamo riscontrato nelle ispezioni post 25 maggio è data dal livello di dettaglio delle richiesteindirizzate alle aziende.
Ci sono infinite liste di informazioni che vengono richieste e soprattutto che vengono verificate dal Garante, anche accedendo ai sistemi informatici delle aziende per verificare la corrispondenza tra quanto indicato nella documentazione e lo stato di fatto.
Le aziende spesso non sono preparate a queste misure. Ciò vale per assurdo sempre più spesso nelle multinazionali, che hanno adottato dei programmi di messa in conformità con il regolamento privacy molto complessi. Tuttavia, hanno poi deciso che una localizzazione basata sul trattamento dei dati personali effettivamente svolto dalla società italiana, sull’approccio del garante locale e sulle disposizioni di integrazione del Gdpr applicabili, fosse eccessivamente onerosa per il gruppo.
La soluzione è stata in molti casi di adottare le medesime procedure, informative, misure organizzative e di sicurezza e adempimenti per tutte le società del gruppo, con registri del trattamento dotati di un livello di tailorizzazione molto limitato. Tutta questa documentazione spesso contieneindicazioni di mero principio che difficilmente possono essere lette come istruzioni specifiche agli incaricati del trattamento. Allo stesso modo, in alcuni casi i documenti non vengono tradotti in italiano, aggiungendo un’ulteriore complicazione perché il Garante valuta solo documenti in italiano.
Quanto sopra indicato avviene spesso in un contesto dove si individua un unico data privacy officer di gruppo a livello globale che è difficilmente accessibile, non ha una conoscenza approfondita della realtà locale, non può essere presente in caso di ispezioni e nella maggior parte dei casi non parla italiano.
Queste circostanze sono considerate negativamente dal Garante nell’ambito di un’ispezione e inevitabilmente aumentano il rischio di subire una sanzione. Tale rischio viene ulteriormente aumentato dal fatto che le aziende non sono a volte pronte per gestire un’ispezione. Le procedure per la gestione delle indagini fiscali o i cosiddetti dawn raid in materia di antitrust sono molto comuni. Tuttavia, non molte società li hanno adottati con riferimento alle ispezioni privacy.