L’ICO allenta la presa sulla privacy compliance per fronteggiare l’emergenza COVID-19

L’Information Commissioner Office (ICO), l’autorità per la protezione dei dati personali inglese, ha pubblicato il “ICO’s regulatory approach during the coronavirus public health emergency”. L’Autorità, prendendo atto delle difficoltà che si ritrovano a fronteggiare gli enti pubblici e privati in questo particolare periodo di emergenza, e rimarcando il suo ruolo di autorità indipendente, tenuta ad agire nell’interesse pubblico e ad affrontare con la giusta pragmaticità e proporzionalità le sfide poste dall’attuale situazione di pandemia globale, ha aperto le porte ad un’applicazione più elastica dei precetti della normativa privacy applicabile.

L’ICO continuerà la propria attività ispettiva ma, in tale contesto, terrà in debito conto dell’impatto economico della crisi sulle realtà sottoposte a verifica. In pratica, ciò significherà un ridimensionamento dell’incisività dei poteri di indagine, consentendo in particolare periodi più lunghi per rispondere alle richieste di esibizione documentale avanzate dall’Autorità. Verranno altresì condotte meno indagini, concentrando l’attenzione su quelle circostanze che suggeriscono gravi inadempienze. Tale approccio inciderà anche sul piano delle conseguenze delle violazioni, sotto plurimi aspetti: dalla concessione di termini più ampi per porre rimedio alle eventuali violazioni precedenti alla crisi, alla previsione di una riduzione del numero di nuove sanzioni che verranno emesse, finanche alla possibilità di rivalutare i parametri considerati di volta in volta nella quantificazione dell’ammontare della sanzione eventualmente comminata.

Tuttavia, se l’Autorità dichiara espressamente di non voler “paralizzare finanziariamente” le organizzazioni, cionondimeno rimarca altresì “l’importante ruolo che il diritto all’informazione delle persone continuerà ad avere, sia per quanto riguarda la tutela della privacy che la trasparenza nel processo decisionale degli enti pubblici”. Difatti, ad esempio, le organizzazioni saranno in ogni caso tenute a notificare eventuali data breach senza indebiti ritardi (i.e., entro 72 ore dal momento in cui l’organizzazione si rende conto della violazione). Inoltre, sebbene la riduzione delle risorse delle organizzazioni possa avere un impatto sulla tempestività di riscontro alle richieste di accesso degli interessati, ciò non può costituire una giustificazione tout court: sarà comunque necessario registrare debitamente i processi decisionali e le attività di trattamento effettuate, in modo tale da assicurare che le informazioni richieste possano essere rese disponibili al termine dell’emergenza.

In altri termini, l’ICO non chiuderà gli occhi sulle inadempienze rilevate e, a tal riguardo, rimarca che continuerà ad agire con fermezza contro coloro che sfrutteranno la situazione di emergenza per utilizzare impropriamente i dati personali.