La sanzione contro Facebook arriva durante un periodo di sanzioni privacy di importi rivoluzionari per il mondo della protezione dei dati, che superano di gran lunga i € 50 milioni di multa emessa dal Garante francese, il Cnil, contro Google. Questo scenario si verifica quando, dopo i primi mesi successivi alla data di entrata in vigore del Gdpr, le autorità privacy hanno ripreso le loro ispezioni che stanno diventando sostanzialmente più aggressive. Infatti, il principio della cosiddetta accountability impone all’indagato l’onere di provare l’adozione di una condotta conforme al dettato normativo.
Queste sanzioni potrebbero essere dovute al caldo dell’estate, ma potrebbero essere invece una sorta di allarme per le aziende per incoraggiarle a prendere più seriamente il rispetto della normativa sulla protezione dei dati. Dopo la fretta di “mostrare” la conformità al Gdpr durante i mesi precedenti il 25 maggio 2018, diverse aziende avevano infatti completamente chiuso il loro programma di conformità al Gdpr; lasciato i propri Dpo come unici custodi del rispetto della privacy, anche se sono responsabili della protezione dei dati di grandi gruppi, hanno sede in paesi diversi da quelli delle aziende che intendono monitorare, non parlano nemmeno la lingua locale e non sanno molto del livello locale di rispetto della privacy; notevolmente ridotto (se non annullato) il budget destinato alla messa in conformità con la normativa sulla protezione dei dati; e nominato dei c.d. privacy steward nei vari dipartimenti che hanno partecipato solo ad un giorno di formazione sulla compliance privacy e spesso ignorano addirittura la loro nomina.
Lo scenario di cui sopra non si applica solo alle piccole imprese. Ma – in base alla mia esperienza – è abbastanza frequente nelle aziende multinazionali, soprattutto se hanno l’headquarter negli Stati Uniti.
Il necessario cambiamento nell’approccio al rispetto della normativa sulla protezione dei dati è un cambiamento culturale. Si sente ancora spesso da professionisti molto rispettabili l’affermazione che “la privacy non esiste più” a causa del trattamento invasivo dei dati personali da parte degli operatori online. Ma la privacy non è la stessa cosa della protezione dei dati personali e la protezione dei dati personali non significa riservatezza. La protezione dei dati personali significa che i dati personali devono essere trattati in modo trasparente, e solo entro i limiti e alle condizioni previste dal quadro normativo applicabile.
Gli individui devono essere in grado di comprendere quali dati personali vengono raccolti; le modalità di trattamento dei dati personali; la durata del trattamento dei dati personali; da chi sono trattati i dati personali; e a chi sono comunicati i dati personali.
Questo semplice paradigma richiede un cambiamento nel funzionamento delle aziende, ma soprattutto un cambiamento culturale che deve partire dal top management delle aziende. Le aziende non possono più permettersi il rischio della mancata conformità alla privacy e l’obiettivo di noi avvocati e di trovare la giustificazione legale per permettere ai nostri clienti di fare quello che vogliono fare con i dati.
La corretta identificazione della base giuridica a sostegno di un’attività di trattamento dei dati può fare un’enorme differenza in un’epoca in cui le sanzioni per la protezione dei dati non sono più “peanuts”.