6Una moratoria alle multe per irregolarità in materia di data protection potrebbe evitare il collasso a molte imprese che soffrono la crisi di questo periodo. Infatti, l’emergenza coronavirus rischia di avere ricadute importanti in termini economici: in una situazione così preoccupante, le eventuali sanzioni comminate dal Garante della privacy, che come previsto dal GDPR ammonterebbero a ingenti cifre, rischiano di affossare le aziende, con ripercussioni sul sistema Paese. L’invito quindi è a considerare la sospensione dell’attività sanzionatoria per quest’anno.
Indice degli argomenti
Il contesto attuale
Diversi studi internazionali ma anche italiani (si veda, tra gli altri, quanto prodotto dall’Osservatorio sui Conti Pubblici e dall’Istituto Ref. Ricerche oltre a valutazioni già diffuse, provvisoriamente, anche da centri studi istituzionali di Bankitalia e di varie associazioni di categoria), stanno mettendo in guardia sulle probabili ricadute economiche comportate dall’emergenza coronavirus. Le cifre oscillano e cambiano di giorno in giorno, a causa del decorso dell’epidemia, ma si tratta comunque di molti miliardi di euro di perdite per il nostro Paese, che vanno a colpire in particolare i settori turistico, della ristorazione, dell’intrattenimento, dello spettacolo, dell’agroalimentare, della moda, dell’auto. Le libere professioni, a loro volta, non sono esenti da impatti, per il concatenamento inevitabile delle filiere dei servizi resi a persone e imprese. L’effetto domino causato dalla crisi di interi comparti potrebbe inoltre “contagiare” (è proprio il caso di usare questo termine) anche altri ambiti di indotto o collaterali a quelli colpiti in via principale. Solo pochi settori trarranno un paradossale beneficio dall’epidemia, quali quello farmaceutico e dei dispositivi medici dedicati alla cura o alla prevenzione della malattia da Covid-19; ma sono eccezioni, come ovvio.
Crisi economica ed emergenza sanitaria, insieme, rischiano di mettere in ginocchio il sistema produttivo del Paese, e le conseguenze sarebbero devastanti anche in termini di posti di lavoro persi. Per non dire della generale “crisi di futuro” che ne deriverebbe.
L’appello: serve una moratoria alle sanzioni
Ebbene, in questo quadro preoccupante, l’appello che sento di fare è che da questo momento l’Autorità adotti una moratoria, per tutto il 2020, nell’applicazione delle sanzioni amministrative pecuniarie su enti e imprese italiane. Colpire con centinaia di migliaia o milioni o perfino decine di milioni di euro di multe le nostre imprese, oggi, si rivelerebbe potenzialmente fatale o, come minimo, aggraverebbe una situazione collettivamente già faticosissima da sorreggere. Il Garante possiede certamente altre “armi”, assai convincenti, da utilizzare per punire i contravventori, non meno adeguate di quella economica: può applicare sanzioni non pecuniarie, come la pubblicazione dei provvedimenti, per esempio, ed ha il potere di imporre misure correttive a titolari e responsabili del trattamento. Ricordiamo il potere di:
- rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del GDPR;
- rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del GDPR;
- ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal GDPR;
- ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del GDPR, se del caso, in una determinata maniera ed entro un determinato termine;
- ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;
- imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
- ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali;
- ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.
Un provvedimento di ammonimento, con contestuale prescrizione di misure correttive, quali la limitazione (il blocco) del trattamento di dati personali o l’adozione di specifiche misure di sicurezza organizzative e tecniche, risulterebbe perfino più efficiente ed efficace, per far cambiare rotta ad un’impresa contravventrice, di quanto lo sarebbe una mera sanzione pecuniaria. Si rischierebbe la sproporzione e dopotutto non si rivelerebbe così utile gravare sulle casse fino al punto di penalizzare i lavoratori e la sopravvivenza stessa di un’azienda, in tempi così duri, mentre avrebbe senso puntare all’obiettivo sostanziale della conformità e del rispetto dei diritti delle persone.
Conclusione
Ricordo anche che – in caso di inosservanza di un provvedimento correttivo del Garante, come quello di limitazione totale o parziale del trattamento di dati – vi sarebbe comunque la possibilità, in seconda battuta, di applicare al trasgressore perseverante una sanzione amministrativa pecuniaria fino a venti milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e si configurerebbe perfino una responsabilità penale ex art. 170 del Codice Privacy, con reclusione da 3 mesi a 2 anni. Come si suol dire, errare è umano, ma perseverare è diabolico, e a quel punto se ne pagherebbero le conseguenze.