Con una recente sentenza della Corte di Giustizia UE emerge il sacro fuoco dell’accountability, stabilendo che “l’Autorità di controllo non è tenuta ad adottare una misura correttiva in tutti i casi di violazione e, in particolare, a infliggere una sanzione pecuniaria”, come si legge nel comunicato stampa diffuso sul sito CURIA.
Se il principio sul piano teorico non è sconvolgente non essendo altro che l’attuazione dell’accountability ovvero quella rendicontazione che il titolare o il responsabile, per parte sua, del trattamento son tenuti a dimostrare, su quello pratico-applicativo assume invece enorme rilievo.
Spieghiamo meglio.
Indice degli argomenti
Principio di diritto: piena attuazione dell’accountability
Con questa sentenza della CGUE, l’onere probatorio cioè il dover dimostrare non spetta all’Autorità ma al Titolare del trattamento. È un cambio di passo nella impostazione della materia, da ben otto anni cioè da quando è entrato in vigore il GDPR; e in questo non dovremmo essere affatto stupiti.
Tuttavia, che a ribadirlo sia la Corte di giustizia, suona in un certo modo, al punto tale di far quasi “scalpore”.
Il cuore del principio di diritto non è dunque altro che la piena attuazione dell’accountability (art. 24 GDPR). Ne consegue, come scrive la CGUE, “in caso di accertamento di una violazione di dati personali, l’autorità̀ di controllo non è tenuta ad adottare una misura correttiva, in particolare l’irrogazione di una sanzione amministrativa”. Il tutto al solo fine di porre rimedio alla carenza rilevata, garantendo il pieno rispetto del GDPR.
La vicenda analizzata dalla CGUE
Vediamo rapidamente i fatti.
Una Cassa di risparmio tedesca constatava che una dipendente aveva consultato ripetutamente, senza esservi autorizzata, i dati personali di un cliente.
Lo stesso istituto di credito, per contro, non riteneva di doverlo informare, dal momento che secondo il (loro) DPO non si era palesato un “rischio elevato”. A supporto di ciò le evidenze emerse e cioè:
- la dipendente aveva riferito per iscritto di non aver né copiato né conservato i dati, di non averli trasmessi a terzi e che non lo avrebbe fatto in futuro;
- la Cassa di risparmio aveva adottato provvedimenti disciplinari nei di lei confronti, pur notificando la violazione al commissario per la protezione dei dati del Land.
Il cliente venuto incidentalmente a conoscenza del fatto, presentava reclamo all’Autorità Garante la quale, in tutta risposta, riferiva di “non adottare misure correttive nei confronti della Cassa di risparmio”.
Quindi il cliente, non contento, proponeva ricorso a un giudice tedesco, il quale si è rivolto alla Corte di Giustizia europea al fine di interpretare, una volta per tutte, il regolamento generale sulla protezione dei dati (GDPR) sul punto.
Le ricadute della sentenza sulle imprese
Gli impatti concreti della sentenza in parola potrebbero non essere banali, a maggior ragione nella misura in cui, ancora in certe realtà organizzative, manca ancora la piena consapevolezza di quello che è il precipitato del GDPR: l’accountability.
Un principio di cui ci si può fregiare, ma che al tempo stesso va applicato e non solo sulla carta.
Di qui, ancora una volta un suprema Corte richiama all’attenzione un concetto semplice: non sta più all’Autorità, come nel vecchio modo di concepire la privacy, dire cosa si deve fare, ma spetta al Titolare del trattamento sceglierlo, attuarlo e spiegarne i razionali.
In altri termini, c’è una maggiore responsabilizzazione da un lato, una piena autonomia nelle scelte del proprio impianto privacy, pur nei limiti della normativa di settore.
Si tratta ancora una volta di compliance nel senso pieno del termine.
Ma facciamo un esempio, magari chiarificatore. Pensiamo a un data breach. Ecco che quando e se si verificasse, spetterebbe al titolare del trattamento dimostrare, non appena ne viene a conoscenza, di aver adottato tutte le misure necessarie affinché detta violazione cessi e non si ripeta.
Di qui, le ricadute pratiche e il cambio di approccio: quell’ampio margine di discrezionalità rimesso alle parti, purché limitato dalla sola necessità di garantire un livello coerente ed elevato di protezione dei dati personali mediante un’applicazione rigorosa del GDPR.
Ecco perché la sentenza in parola assume un enorme rilievo, scardinando quella sorta di “responsabilità oggettiva” non tollerata né tollerabile, e che si assume ogniqualvolta avviene – stando all’esempio sopra citato – un data breach implicante, per assioma, la mancanza di misure adeguate.
Ma non è sempre così, né rappresenta una regola scritta, anzi, e questa sentenza lo dice a chiare lettere.
