Intervista ad Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali, Doc-Web: 9099445.
Non solo sanzioni amministrative nel Regolamento Ue sulla privacy. Le reazioni possibili dell’ordinamento alle violazioni sui dati sono diverse e dovranno seguire un approccio gradualistico.
A sottolinearlo è Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali italiana, che, rispondendo ad una intervista di Antonio Ciccia Messina, del quotidiano Italia Oggi e rilanciata sul sito dell’Autorità (Doc-Web: 9099445), detta le priorità per aziende ed enti alle prese con le nuove sfide poste dalla normativa europea (il Regolamento 2016/679 sulla protezione di dati). In cima all’agenda, la formazione del personale e la sicurezza informatica.
Gli adempimenti prioritari
Adempimenti fondamentali, in questo senso – a detta del Garante – sono:
– un’adeguata formazione del personale, modulata naturalmente sulla base delle specifiche mansioni di ciascuno,
– una puntuale ricognizione delle misure di sicurezza (tecniche e organizzative) che dovranno essere adeguate alle caratteristiche del trattamento,
– una complessiva revisione delle proprie informative per adeguarle all’impostazione più sostanzialistica del Regolamento,
– nonché la predisposizione delle procedure necessarie ad effettuare, ove ne ricorrano i presupposti, la notifica dei data breach (violazione dei dati).
Per rendere più agevole il processo di adeguamento al Regolamento, è poi opportuno per le imprese – continua Soro – che vi siano tenute, ma anche, auspicabilmente, per le altre, nominare il DPO (o RDP – Il Responsabile della Protezione dei Dati), che possa indirizzare le scelte aziendali nella direzione della compliance (correttezza delle procedure e del rispetto delle norme). Coloro i quali vi siano tenuti, dovranno poi provvedere ad adempimenti essenziali quali la valutazione d’impatto privacy e, nel caso di persistenza di rischi, la consultazione preventiva del Garante, o il registro delle attività di trattamento.
Graduazione delle sanzioni amministrative per distinguere violazioni formali da quelle più gravi
Il Regolamento delinea un sistema sanzionatorio alquanto articolato. – precisa l’Autorità – Anzitutto, configura la sanzione amministrativa come una delle possibili “reazioni” (non certo l’unica) dell’ordinamento all’illecito, da applicarsi secondo un approccio gradualistico, congiuntamente o alternativamente alle misure inibitorie e prescrittive.
La scelta in ordine all’an della sanzione deve fondarsi sugli stessi parametri indicati dal Regolamento per la commisurazione infra-edittale della sanzione pecuniaria (gravità dell’illecito desunta anche dal danno che ne sia derivato; elemento soggettivo; eventuale ravvedimento operoso o, al contrario, recidiva; categorie di dati interessate dalla violazione adesione a codici di condotta o sistemi di certificazione; cooperazione con l’autorità di controllo ecc.).
La norma fornisce già, dunque, elementi sufficienti per distinguere gli illeciti in ragione della loro gravita, ai fini della scelta tanto sull’an quanto sul quantum della sanzione.
Semplificazioni in attesa per il settore PMI
Il Regolamento – sottolinea il Garante – già di per sé modula gli adempimenti previsti in capo al titolare in ragione, tra l’altro, della dimensione dell’impresa e, quindi, dell’ambito di incidenza del trattamento.
La disciplina europea, che mira a rafforzare “il clima di fiducia che consentirà lo sviluppo dell’economia digitale” nel mercato interno – conclude Soro – coniuga la protezione dati con istanze di semplificazione, che il decreto di adeguamento peraltro valorizza, prevedendo che rispetto alle micro, piccole e medie imprese il Garante possa promuovere modalità semplificate di adempimento agli obblighi del titolare.
