Osservando i dati forniti dal GDPR Enforcement Tracker, che registra le sanzioni spiccate dalle Autorità Garanti Europee di tutela dei dati personali, emerge come l’Italia sia stato lo Stato Membro che ha emesso le multe più salate – anche cifre record (oltre 27 milioni di euro) ed il secondo per numero di sanzioni. Lo studio di questi dati è utile perché, fornendo le motivazioni alla base delle multe, permette di ragionare su aspetti pratici del trattamento dei dati. Tra questi, l’individuazione della corretta base legale del trattamento.
Cosa vuol dire? Costruire un sistema di gestione privacy in grado di tutelare l’azienda in qualità di titolare evitando sanzioni. Un trattamento dati svolto su base giuridica errata è passibile di sanzione.
Sebbene, l’art. 6 del Regolamento GDPR (Liceità del trattamento) indichi in modo molto specifico quali siano le basi giuridiche di trattamento (legge, contratto, consenso, interessi vitali, interesse pubblico, interessi legittimi) l’individuazione della soluzione più corretta non è sempre un’operazione lineare, facile ed immediata.
Qualche esempio: nel settore sanitario in molti professionisti e strutture continuano ad indicare il consenso come base legale, quando invece il Garante ha chiarito, con un proprio provvedimento, come ciò non sia, in linea generale, corretto; oppure, nel settore digitale (e-commerce, profilazione, marketing automation) spesso si ricorre semplicemente all’interesse legittimo senza tener conto della reale funzione che assume tale base giuridica (su cui vi sono specifiche linee guida).
Individuare la corretta base, significa tutelare l’impresa (si pensi al controllo a distanza, alla videosorveglianza, all’utilizzo dei device mobili, alla selezione del personale, all’utilizzo della bacheca aziendale, ecc.). Non a caso, le sanzioni del Garante italiano hanno avuto oggetto trattamenti che riguardavano i dipendenti.
Come individuare la giusta base giuridica del trattamento? È essenziale procedere ad una analisi approfondita di tutti i processi aziendali (intesi proprio nell’accezione ISO come un insieme di attività correlate o interagenti che trasformano un input in un output). Occorre conoscere nei particolari la propria attività sotto il profilo dei soggetti che la rendono possibile, degli strumenti che questi utilizzano, dei risultati cui le singole attività tendono e, infine, degli obiettivi che devono essere raggiunti.
Tale indagine è un’operazione complessa e articolata, che va eseguita con professionalità e competenza, necessariamente svolta nel rispetto del principio di accountability. Il concetto di responsabilizzazione e responsabilità (sintetizzato nel termine accountability), infatti, ha immediati risvolti concreti: il titolare del trattamento (l’impresa) deve essere in grado di spiegare e giustificare in modo chiaro le ragioni che hanno portato ad un determinato trattamento dei dati. Significa anche evitare (o minimizzare) eventuali sanzioni da parte dell’Autorità Garante.
È proprio sotto questi aspetti che vorrei segnalare, infine, due importanti linee guida appena emesse agli inizi di settembre dal EDPB (il Garante Europeo) ed attualmente sottoposte a consultazione pubblica: il Targeting degli utenti dei social media; i concetti di titolare, responsabile e contitolare del trattamento. Tali linee guida forniscono ulteriori approfondimenti sui fondamenti interpretativi dei sistemi GDPR e, indirettamente, sulle basi legali su chi questi devono essere gestiti.
_______
Articolo dell’Avv. Emiliano Vitelli