Privacy, tavola rotonda Aidr su controlli e sanzioni Garante.

Trascorso il periodo transitorio che tutti gli Stati europei hanno osservato per consentire alle imprese di adeguarsi al nuovo sistema legato al GDPR, entrato in vigore da maggio 2018, sono iniziate le verifiche e i controlli nonché l’irrogazione delle sanzioni amministrative. Da una prima analisi è possibile constatare come il Garante privacy italiano stia tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme a quanto dispone il regolamento stesso, secondo cui le sanzioni devono essere “effettive, proporzionate e dissuasive”. Emerge altresì come tutte le sanzioni finora inflitte presentino un denominatore comune rappresentato dal mancato rispetto dell’Accountability, principio cardine del GDPR.

Sono questi i punti chiave attorno ai quali si è sviluppato il confronto su privacy, accertamenti e sanzioni, oggi a Milano, nel corso di una tavola rotonda con aziende organizzata dall’Associazione italian digital revolution (Aidr), a cui hanno partecipato Cristiana Luciani, funzionario del Garante per la protezione dei dati personali, Federica De Stefani, avvocato, responsabile Aidr per la Regione Lombardia e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager di Aidr, e Michele Gorga, avvocato e componente osservatorio per il coordinamento dei DPO, RTD e Reputation Manager di Aidr. Occasione dell’incontro, moderato da Mauro Nicastri, dell’Agenzia per l’Italia Digitale e presidente Aidr, è stata la presentazione dell’ultimo volume di Giusella Finocchiaro, professore ordinario di diritto privato e di diritto di Internet Università di Bologna, La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d.lgs. 10 agosto 2018, n. 101 (Zanichelli editore).

“L’obiettivo che ci siamo posti – ha dichiarato Nicastri – è quello di analizzare gli aspetti legati alla valutazione dei rischi per la tutela dei dati personali ed il suo impatto sulle attività già oggetto di ispezioni per aziende di marketing e call center. Ma anche per società che rilasciano Spid, banche dati di rilevanti dimensioni della Pa, grandi alberghi, e rientra tra le iniziative di sensibilizzazione programmate dall’Osservatorio per il coordinamento dei DPO, RTD e Reputation Manager di Aidr la cui responsabile è la prof.ssa Finocchiaro”.

“L’accountability è il principio innovatore del GDPR in base al quale il titolare del trattamento diventa il protagonista indiscusso – ha spiegato Luciani. Valuta le misure tecniche ed organizzative per assicurare la sicurezza dei dati personali attraverso una complessa attività di valutazione, un’analisi dei rischi e dei costi, un’attuazione delle misure individuate per dimostrare la loro completa efficacia”.

“L’incontro di oggi rappresenta un importante momento di confronto tra le aziende su un tema di grande attualità – ha riferito dal canto suo De Stefani. A quasi 2 anni dalla piena esecutività del GDPR persistono ancora diverse difficoltà operative per la completa ed effettiva realizzazione della tutela dei dati personali. Le criticità più frequenti riguardano la corretta individuazione dei trattamenti che vengono realizzati, soprattutto per quanto attiene l’ambito digitale, poiché la tecnologia è ormai entrata a far parte della nostra quotidianità e il trattamento dei dati personali è correlato a strumenti che vengono utilizzati sia da privati che aziende. Non bisogna però dimenticare che la protezione dei dati non deve impedire la circolazione degli stessi e non deve rappresentare un ostacolo per lo sviluppo e la promozione del business. Si tratta di trovare quindi il giusto equilibrio tra due diverse e opposte esigenze”.

 “Il termine ‘privacy’ – ha inquadrato Finocchiaro – oggi, indica, molti temi diversi: dalla riservatezza vera e propria, alla protezione dei dati personali, all’identità digitale e alla reputazione. Per tutelare i diritti sottesi l’ordinamento giuridico offre strumenti diversi. Occorre comporre questi diversi diritti in un sistema, che oggi è tutto da costruire. Il Regolamento europeo – ha rimarcato l’autrice di La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d.lgs. 10 agosto 2018, n. 101lascia molte questioni aperte. La più importante è quella del bilanciamento. Il Regolamento richiede un bilanciamento costante fra diritti e interessi contrapposti: basti pensare all’utilizzo dei dati personali nelle applicazioni di intelligenza artificiale o al diritto all’oblio. Il Regolamento non risolve e non potrebbe risolvere il problema, ma indica invece le direttrici lungo le quali si deve svolgere il ragionamento giuridico e il necessario costante bilanciamento”.

Per le aziende sono intervenuti Simona Bosi di Canon Italia, Annarita Marra di GiGroup, Roberto Maraglino di Randstad Group Italia, Alessandro Falco di Consis, Alberto Tiriolo di BSolution Group, Giovanni Rossini di ARTINESS, Carmine Spatolisano di Telejnform, Paolo Pistoni di APM Service e Francesco Alfano di BEAT 2020.