Lavoro

Norme e contratti

Privacy in azienda: solo una formalità?

Quando la conoscenza aiuta l’azienda: intervista a Gianluigi Ciacci, esperto e docente di informatica giuridica e di diritto civile dell’informatica
Print
Privacy in azienda: solo una formalità?

Quante volte vi sarà capitato di pensare, ascoltando un dibattito sulla necessità di tutelare la riservatezza dei dati personali, che fossero inutili disquisizioni o utopiche pretese? Sembrerebbe il dilemma del nostro tempo: quanto, la riservatezza dei dati, possa vincolare la realizzazione delle nostre attività; quale delle due esigenze debba prevalere. Dilemma spesso percepito come scelta di campo, che per il manager comporta responsabilità e obiettivi da raggiungere, per i quali si è disposti a correre rischi. Ma è davvero inconciliabile il rapporto fra riservatezza e utilizzo delle informazioni? Ne abbiamo parlato con Gianluigi Ciacci, esperto e docente di informatica giuridica e di diritto civile dell’informatica presso il dipartimento di Giurisprudenza della Luiss Guido Carli, dottore di ricerca della stessa materia presso l’Università degli studi di Roma La Sapienza, nonché avvocato specializzato in diritto delle nuove tecnologie.

Spesso, pensando alla privacy, si ha l’impressione che si tratti di un’eccessiva cautela burocratica, che appesantisce gli oneri delle aziende senza tuttavia risolvere l’esigenza di tutela degli interessati. Condivide questa tesi?
«No, ovviamente. In realtà siamo in presenza di una trasformazione nel modo di pensare, e quindi di un fatto culturale, mentre molte aziende approcciano ancora il tema con un livello di informazione modestissimo. È però sorprendente constatare come cambi il punto di vista al crescere della conoscenza. Certamente, come tutti i cambiamenti culturali, anche questo ha bisogno di un adeguato periodo di riflessione, tanto più in una società come quella attuale connotata dal valore dello scambio di informazioni».

Quindi, per tornare alla trasformazione culturale, cosa dobbiamo fare?
«Dobbiamo abituarci a cambiare il nostro punto di vista: non guardare alla legge come un gravoso fardello, perché commetteremmo l’errore di considerare solo una parte, senza valutare i benefici. Abituarsi a pensare che quelle imposizioni altro non sono che il metodo prescelto dal legislatore per migliorare la nostra e l’altrui qualità della vita, è invece il giusto approccio al tema: guardare al sistema di norme pensando al fine preventivo, non repressivo. Questo è il cambiamento culturale, che fra l’altro, dati alla mano, possiamo misurare nella nostra esperienza».

Nei prossimi giorni il Garante della privacy renderà noti i controlli effettuati e le sanzioni comminate nel 2015: proprio pensando alla sua esperienza, quale sarà il prevedibile bilancio?
«Valutando quanto riportato negli ultimi anni, il bilancio dei controlli avrà una crescita in tutte le attività. Innanzitutto con riferimento ai procedimenti sanzionatori, che derivano dalle migliaia di controlli che il Garante ha posto in essere nell’ambito della sua attività, sia attraverso la richiesta di informazioni o di esibizione di documenti, sia in conseguenza delle vere e proprie ispezioni. Ma poi anche rispetto alle somme che saranno state riscosse nell’anno con le sanzioni comminate a soggetti pubblici e privati (più di 4 milioni di euro nel 2013, più di 5 nel 2014, intorno a 2 milioni nel primo semestre del 2015), mentre non è possibile fare previsioni circa le segnalazioni all’autorità giudiziaria per violazioni penali (71 nel 2013, 39 nel 2014, 20 nel primo semestre del 2015)».

Quindi negli anni c’è un progressivo miglioramento dell’efficienza nei controlli…
«Certo, ma non solo. Questa situazione deve essere considerata dovuta anche a una sempre maggiore espansione dell’attività di tratta- mento dei dati personali, parallela alla diffusione delle nuove tecnologie dell’informazione e della comunicazione, e quindi delle occasioni di inadempienza alla pregnante normativa».

A giorni il Garante pubblicherà anche il piano dell’attività ispettiva per il primo semestre del 2016: quali sono le prospettive?
«Ormai è una prassi che il Garante specifichi, di semestre in semestre, i settori che potranno essere sottoposti a controlli e ispezioni: indicazione che però non coinvolge l’intera attività dell’autorità, come abbiamo detto nella maggioranza dei casi interessata dagli stessi soggetti - attraverso segnalazioni, reclami e ricorsi – i cui dati sono oggetto di trattamenti illeciti. Comunque, per il semestre gennaio-giugno saranno previsti controlli estremamente pervasivi sia nel settore pubblico che in quello privato: anzi, l’impressione che si ha è che il Garante stia passando gradualmente dal monitoraggio del sistema pubblico alle ispezioni sulle aziende. Comunque un maggiore dettaglio sugli ambiti di prevalente concentrazione dell’attività ispettiva può essere acquisito direttamente dal sito dell’autorità».

I controlli che svolge il Garante e le sanzioni che commina da cosa traggono origine?
«Come abbiamo visto, una parte dei controlli viene pianificata dall’autorità sulla base di una valutazione presuntiva dei settori di trattamento dei dati personali con maggiore potenzialità lesiva dei diritti degli individui; mentre altra parte, quella più rilevante, de- riva da segnalazioni e reclami presentati dai cittadini. È interessante riportare come in circa il 15% dei casi l’impulso all’intervento del Garante proviene da altri corpi di polizia dello Stato (anche la polizia municipale), che nell’ambito della loro attività di competenza riscontrano irregolarità nell’applicazione della legge sulla privacy. Nella maggioranza dei casi all’accertamento consegue l’avvio di una procedura sanzionatoria, che in genere obbliga il soggetto a corrispondere una somma di denaro e contestualmente a regolarizzare le inadempienze riscontrate».

Come si svolgono e quanto sono approfonditi i controlli? Come devono comportarsi le aziende coinvolte?
«Il riferimento normativo su tale punto sono gli artt. 157-160 del decreto legislativo 196/2003. In genere qualche giorno prima dell’avvio dell’ispezione il titolare del trattamento riceve una comunicazione che contiene la richiesta di informazioni relative a una determinata attività posta in essere utilizzando dati personali, ad esempio l’uso delle informazioni dei propri clienti o dipendenti, oppure la gestione di impianti di videosorveglianza o di attività svolte su internet: a cui segue la vera e propria ispezione. I controlli sono realizzati attraverso il nucleo privacy della Guardia di finanza. Il livello di dettaglio è molto approfondito e riguarda, come ha dichiarato la stessa autorità, “ogni utile informazione e documento al fine di consentire una compiuta verifica di quanto disposto dal decreto legislativo 196/2003”. In linea di massima prende in considerazione tutta l’attività di trattamento dei dati personali nell’azienda: potenzialmente anche in settori diversi da quelli preannunciati, se il nucleo ispettivo lo ritiene opportuno. In ipotesi di ispezione il consiglio è di essere sempre molto collaborativi, considerando che i funzionari del Garante hanno ben presenti le difficoltà che in genere si incontrano nell’applicazione della normativa in materia».

C’è una proporzione tra controllo, sanzioni e dimensione dell’azienda sottoposta a controllo?
«L’attività e le modalità di controllo non vengono influenzate dalla dimensione dell’azienda, mentre la determinazione dell’importo della sanzione in alcune situazioni sì. La legge infatti prevede che nei casi di “minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta”, i limiti minimi e massimi degli importi di alcune sanzioni siano applicati in una misura ridotta, pari a due quinti. Invece se il soggetto che compie l’illecito è un’azienda di rilevanti dimensioni, o comunque con una situazione economica di particolare importanza, la normativa consente di aumentare tali importi fino al quadruplo».

Qual è la sanzione maggiormente contestata nell’attività ispettiva svolta dal Garante?
«Negli ultimi anni la violazione maggiormente contestata è l’inadempimento all’obbligo di informativa all’interessato, che si realizza non solamente per non aver reso le informazioni prescritte dall’art. 13 del decreto legislativo 196/2003, ma anche nel caso in cui le stesse siano fornite errate o soprattutto incomplete. Ma la riflessione riguarda il fatto che effettivamente la normativa non è ancora conosciuta, portando a concentrarsi unicamente, o in particolare, sugli adempimenti di natura tecnica (le misure di sicurezza, le cui violazioni non sono infatti così numerose), tralasciando quelli più giuridici: tra questi proprio l’informativa, che di prassi non viene data, o se data viene superficialmente predisposta, magari copiando quella di altre realtà, o prendendola da internet, mentre risulta essere di non facile redazione e molto delicata».

Per concludere, quale consiglio si sente di dare ai nostri manager?
«Di non sottovalutare il problema, ma di attivarsi per adeguare la propria struttura e attività all’importante normativa: non solo per lo spauracchio dei controlli e delle sanzioni, ma soprattutto perché il suo rispetto porta sicuramente a un netto miglioramento nella gestione delle attività di trattamento dei dati personali, e quindi in generale dell’It. Questo partendo da quel necessario salto di qualità culturale che si è chiamati a compiere, innanzitutto attraverso la conoscenza della disciplina in materia di protezione dei dati personali».



ALTRI ARTICOLI di Lavoro