Nuove risorse al Garante privacy, ecco i vantaggi
Articolo scritto da: Diego Fulco – Direttore Scientifico Istituto Italiano per la privacy e la valorizzazione dei dati
Il meccanismo sanzionatorio del GDPR, almeno sulla carta potrebbe dare già nel 2020 al nuovo Collegio del garante privacy una capacità di spesa per la sensibilizzazione assai maggiore che in passato. Vediamo quali categorie ne gioverebbero maggiormente
Emergenza coronavirus permettendo, dopo quasi un anno di rinvii per mancato accordo fra le forze politiche, dovremmo essere prossimi all’elezione del nuovo Collegio del Garante per la protezione dei dati personali.
Incrociamo le dita. L’agenda (nazionale ed europea) del nuovo vertice sarà fitta: occorrerà contribuire prima alla costruzione della parte mancante, e poi alla manutenzione, di un edificio che dal GDPR e dal codice privacy ha avuto solo i primi piani. E bisognerà fare attenzione ad altri edifici che gli stanno crescendo vicino in contemporanea, come le norme sulla repressione e il contrasto all’evasione fiscale.
Fra gli ambiti in cui il prossimo Collegio potrebbe dare la sua impronta “di governo”, anche usando in modo parzialmente nuovo le risorse a disposizione, ci sono le campagne di comunicazione pubblica sulla privacy.
Come viene finanziata l’Autorità per la privacy
Secondo il codice privacy (versione novellata nel 2018) le spese di funzionamento del Garante sono poste a carico di un fondo stanziato nel bilancio dello Stato e iscritto in un’apposita missione e programma di spesa del Ministero dell’economia e delle finanze. Fra queste spese, il legislatore menziona esplicitamente quelle connesse alle risorse umane, tecniche e finanziarie, ai locali e alle infrastrutture necessarie per l’adempimento dei compiti e l’esercizio dei poteri dell’Autorità, compresa la partecipazione alle procedure di cooperazione con le altre Autorità di controllo europee e al meccanismo di coerenza, secondo il quale l’applicazione del GDPR deve essere omogenea nei vari Stati membri dell’Unione europea.
Nella nota integrativa alla legge di bilancio per il triennio 2020 – 2022, una missione è dedicata ai diritti sociali, alle politiche sociali e alla famiglia. In questa, fra le azioni non correlate ad obiettivi, ci sono i trasferimenti correnti per il Garante. Il fabbisogno individuato per l’Autorità è pari a 30.127.273 di euro per ciascuno dei tre anni (2020, 2021 e 2022) ed è il frutto dell’analisi di normative, di accordi e/o convenzioni, e di un monitoraggio accurato delle somme effettivamente erogate nel corso del tempo.
Oltre a questo importo già stanziato, il fondo viene alimentato con i proventi delle sanzioni pecuniarie irrogate dal Garante medesimo. Per legge, il 50 % del totale annuo delle sanzioni è destinato a tre attività del Garante: sensibilizzazione; ispezioni e attuazione del GDPR.
In realtà, la norma non è nuova: anche nel “vecchio” codice privacy c’era una disciplina simile, pensata per creare un circolo virtuoso, dove ciò che viene pagato da chi ha commesso un’infrazione diviene almeno per metà risorsa da reimpiegare per creare cultura della protezione dei dati personali (sensibilizzazione), per mantenere costante il controllo (ispezioni) e per completare e manutenere l’edificio privacy (attuazione).
Nuove risorse per il Garante grazie al Gdpr
Una novità è che le risorse potrebbero essere più ingenti che in passato. Della potenziale entità delle sanzioni GDPR abbiamo avuto un esempio con i recenti provvedimenti ENI e TIM. Sembra probabile che ci siano altre sanzioni in arrivo, magari tenute “nel cassetto” dal Collegio uscente, per correttezza istituzionale verso il futuro Collegio, giacché a firmare i provvedimenti di ordinanza-ingiunzione è, appunto, il Collegio. Al momento, non è dato sapere se e come l’epidemia Coronavirus coi suoi effetti recessivi impatterà anche sui controlli e sulle sanzioni, ma almeno sulla carta il meccanismo sanzionatorio del GDPR potrebbe dare già nel 2020 all’Autorità una capacità di spesa per la sensibilizzazione assai maggiore che in passato.
Finora, le iniziative di comunicazione del Garante sono avvenute mediante vademecum di taglio riepilogativo (come “La scuola a prova di privacy” e “Dalla parte del paziente”) e tutorial video diffusi dall’Autorità tramite il suo sito, anch’essi di pregevole fattura, come la campagna “connettilatesta” (per sensibilizzare su un uso sicuro dei social), la campagna “fattismart” (sull’uso sicuro di smartphone e tablet), la campagna “APP-prova di privacy” (sull’uso sicuro delle APP).