Il 14 aprile 2016, finalmente, il Parlamento Europeo ha approvato il Regolamento UE sulla protezione dei dati – d’ora in poi probabilmente definibile “Regolamento Privacy europeo” – che sostituisce e abroga la vecchia direttiva 46 del 1995 (più di vent’anni, in materia di dati personali, equivalgono a un millennio). Il voto del Parlamento era una (perigliosa?) formalità, necessaria per chiudere il cerchio dopo la delibera del Consiglio dell’Unione Europea di una settimana prima.
Ora, il testo del Regolamento – ben limato nella traduzione italiana anche grazie al contributo prezioso del nostro Garante Privacy – dovrebbe andare in Gazzetta Ufficiale (europea) entro maggio, e poi entrare in vigore 20 giorni dopo. La sua concreta applicazione, tuttavia, scatterà solo 24 mesi dopo l’entrata in vigore. Per riempire costruttivamente questo lasso di tempo, con l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, in collaborazione con il Garante, ci siamo fatti “parte diligente” nell’organizzare due anni di seminari mensili a Roma, a partire dal 20 aprile, ogni volta dedicati a una tematica specifica diversa, proprio per sviscerare tutti i dubbi e le risposte di carattere interpretativo che questo nuovo testo legislativo presenterà a chi lo dovrà applicare. E le novità, per forza di cose generatrici di dubbi, non mancano di certo leggendo questo Regolamento. Cerco allora di accennare ad alcune questioni – poche, per ragioni di spazio/tempo – che mi paiono le più immediate, ma in futuro ne evidenzierò altre.
Prima questione: la definizione dell’ambito di applicazione materiale e territoriale delle nuove norme privacy europee è tanto sfumata da risultare a tratti enigmatica. Per esempio, si dice che il Regolamento riguarda solo il trattamento di dati personali (evito di entrare nel merito del “quid” che li renda personali) interamente o parzialmente automatizzato ma, anche, il trattamento non automatizzato se i dati personali contenuti in un archivio o destinati a figurarvi. Si precisa inoltre che non dovrebbero rientrare nell’ambito di applicazione del Regolamento i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine. Noi addetti ai lavori sappiamo che questi sono retaggi della vecchia disciplina, ma tanto valeva essere più chiari e netti, soprattutto nell’interesse di individui e imprese che saranno toccati da queste norme. Da un lato, pare difficile inquadrare precisamente il concetto di “destinazione ad essere archiviati” di dati o documenti che li contengano; dall’altro, rende perplessi l’esclusione dalle tutele del Regolamento dei dati contenuti in fascicoli non strutturati, il che potrebbe esporre ogni persona ad altissimi rischi di violazioni per il solo fatto della non-strutturazione dei supporti.
Sull’ambito territoriale, sembra quasi un gioco di parole – ben poco comprensibile – il criterio per cui si applicherà il Regolamento UE ad ogni trattamento di dati di persone di qualsiasi nazionalità “effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. Ergo, se io titolare ho stabile organizzazione in UE, mi si applica la normativa europea anche se faccio trattare i dati fuori dalla UE; peccato, viceversa, non sia chiaro cosa debba applicarsi nel caso di un titolare del trattamento stabilito extra-UE che fruisca di servizi di trattamento di dati da parte di un responsabile del trattamento stabilito in UE: prevarrà lo stabilimento del titolare o del responsabile? Mistero. Sembra quasi un dispetto fatto alle imprese europee che trattano dati per conto di clienti-titolari extra-UE: questi ultimi potrebbero preoccuparsi e smettere di rivolgersi loro, per evitare il “contagio applicativo” della severa disciplina privacy europea?
Così come rimane abbastanza oscura la regola per cui offrire beni o servizi a “interessati che si trovano nella UE” basti a far scattare l’applicazione del diritto UE a carico di titolari o responsabili del trattamento stabiliti extra-UE: come fare a capire che quell’utente si trova in quel preciso istante su territorio UE? In base all’IP di provenienza o a cosa? Presumere, come fa il Regolamento, che l’utilizzo di una certa moneta o di una certa lingua possa indicare la collocazione nel territorio europeo dell’interessato pare quantomeno curioso.
Secondo macro-tema: che ne sarà della vecchia normativa privacy secondaria a livello nazionale? Intendo, per l’Italia, la copiosa produzione di provvedimenti generali del Garante per la protezione dei dati personali, che ha regolato molto in questi decenni, consentendoci di orientare nel tempo le interpretazioni e le condotte in relazione ai più diversi settori e ambiti (dalla sanità al marketing, dai cookie alla videosorveglianza). Il nuovo Regolamento fa esplicitamente salve le autorizzazioni del Garante, ma le autorizzazioni non sono tutti i provvedimenti generali e le linee guida dell’Autorità. Dovremo sottoporre a vaglio di compatibilità con il Regolamento – oltre ai residui articoli del Codice Privacy – anche quei provvedimenti e con quali effetti? Basteranno 2 anni per farlo? Lo spero ma tremo all’idea, e temo un irrigidimento da una parte (gli avvocati) e dall’altra (le autorità) che dovrà essere chiarito dalla giurisprudenza.
Terzo tema: la Commissione UE, come peraltro apertamente previsto nel Regolamento, ha avviato i lavori per la revisione della direttiva 2002/58/CE, quella sulla e-privacy. Ottimo e urgente. Urgente, soprattutto, perché non è chiaro quanto la pur recentissima “cookie law” – che è recepimento, appunto, della direttiva e-privacy e della 2009/136/CE lasciate intatte dal nuovo Regolamento – possa essere impattata e complicata dalle nuove norme in materia di profilazione comportamentale online scolpite nel Regolamento. Si aggiungeranno ulteriori obblighi e divieti? Per esempio, dovremo evitare di “cookiezzare” e profilare on line i bambini? Non è chiaro cosa e come.
Quarto dubbio, più specifico ma comunque spinoso: il Data Protection Officer, in italiano Responsabile della Protezione dei Dati (da non confondere con il responsabile del trattamento, Data Processor in inglese), sarà obbligatorio da un lato per tutti i soggetti pubblici (titolari e responsabili del trattamento), tout court, e dall’altro lato per tutti i privati che gestiranno come attività principale dati sensibili o giudiziari o che monitoreranno su larga scala e stabilmente gli interessati. Gli altri titolari e responsabili potranno dotarsene facoltativamente. Il DPO sarà una persona fisica, necessariamente, e potrà essere interno o esternalizzato (ad esempio un consulente). Sarà indipendente, inamovibile se non in casi gravissimi, e non potrà avere conflitti di interesse, come un vero e proprio “organismo di vigilanza privacy”. Egli dovrà essere tempestivamente e adeguatamente coinvolto, dal titolare e dal responsabile, in tutte le questioni riguardanti la protezione dei dati personali. Farà consulenza, sorveglierà, dovrà rilasciare pareri sulle valutazioni d’impatto privacy, dovrà fungere da punto di contatto per l’autorità e per gli interessati che vorranno esercitare i propri diritti: una montagna di funzioni e responsabilità, miste tra organo di controllo ed executive manager, e c’è da chiedersi come farà una persona singola a gestire strutture grandi e complesse, o perfino ad essere designato da più enti congiuntamente, portando tutto sulle proprie spalle. Inoltre, se esternalizzato, dovremo considerare poco credibili i “collezionisti” di incarichi DPO conto terzi, per oggettiva impossibilità di seguire tanti titolari e responsabili con compiti così estesi e gravosi. Più sensato, a mio avviso, pensare all’esternalizzazione di “Data Protection Office” qualificati (studi legali, ad esempio), che aiutino con specializzazione e competenze avanzate i singoli DPO interni alle aziende e agli enti.
Vedremo gli sviluppi interpretativi. Intanto, noi addetti ai lavori abbiamo cominciato ad addentrarci nell’analisi e molte aziende stanno predisponendo i primi passi di adeguamento, almeno in chiave di pianificazione. Due anni sembrano tanti ma sono pochissimi, e tanto vale chiarirsi le idee il più possibile prima, per non trasformare la riforma privacy in un boomerang d’incertezza del diritto a discapito, paradossalmente, proprio delle imprese e dei cittadini europei.
