Così come accade per la cosiddetta “privacy”, anche nel riferirsi al fenomeno della “data economy” si rischia spesso di affidarsi troppo alla (necessaria) semplificazione linguistica, cadendo così in una (imprudente) banalizzazione concettuale. Il misunderstanding è particolarmente pericoloso quando si tratta di cogliere la dimensione onnicomprensiva e trasversale di questi concetti. Difatti, le nuove regole dettate dall’avvento della data economy non investono solo questa o quella componente del nostro vivere contemporaneo, ma hanno invero la capacità di condizionarli pressoché tutti. Occorre dunque dotarsi di strumenti di regolamentazione capaci di rispondere alle nuove sfide collegate al trattamento e alla valorizzazione dei dati personali e in grado di adattarsi alle esigenze peculiari di imprese e pubbliche amministrazioni secondo logiche flessibili e personalizzate.
Servono, insomma, abiti regolatori da cucire su misura. E a tale fine il miglior cartamodello ce lo offre il GDPR con i codici di condotta. Attorno a questo fondamentale meccanismo di autoregolamentazione ruota la seconda puntata di “Italia: focus data economy”, la serie di approfondimenti curata per questa testata e dedicata alle sfide che attendono il nostro Paese di fronte all’affermarsi dell’economia dei dati (ed inaugurata poche settimane fa con un focus sulla PA).
Cybersicurezza e privacy, così la PA italiana può vincere la partita del secolo
Per comprendere come e per quali motivi i codici di condotta sono lo strumento su cui puntare per un’Italia a prova di data economy sarà necessario prima di tutto ripercorrerne, seppur brevemente, la storia. Una storia che, come si vedrà, è soprattutto italiana.
Il quadro normativo: dal GDPR alle linee guida dell’EDPB
Senza trasformare questa riflessione in un trattato sul diritto alla protezione dei dati personali, ai nostri fini sarà sufficiente individuare solo le principali coordinate normative ed interpretative in materia di codici di condotta.
Stella polare è l’articolo 40 del Regolamento Generale sulla Protezione dei Dati (GDPR), il quale disciplina con dovizia di particolari l’istituto de quo. Detta norma deve essere letta in combinato disposto con il successivo articolo 41, mediante il quale il legislatore europeo ha inteso affidare il controllo della conformità con i codici di condotta ad appositi organismi il cui accreditamento è demandato alle autorità di controllo competenti. A questi punti fermi si aggiungono le molte “stelle” minori che ricollegano determinati (e determinanti) effetti giuridici al fenomeno dei codici di condotta. Rileva in tal senso, ad esempio, quanto previsto in materia di responsabilità del data controller (articolo 24) o per l’applicazione delle sanzioni amministrative pecuniarie previste dal GDPR (articolo 83), ma anche per il responsabile del trattamento (articolo 28) o in materia di sicurezza del trattamento (articolo 32) o per la valutazione d’impatto sulla protezione dei dati (articolo 35). A completare lo spettro visivo c’è poi l’articolo 46 del regolamento Ue, il quale svela l’importanza dei codici di condotta anche nel contesto dei trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
Lo “statuto” normativo dei codici di condotta ha trovato poi completamento grazie all’attività ermeneutica dell’European Data Protection Board (EDPB). Tale fondamentale contributo si è realizzato dapprima mediante l’adozione delle “Linee guida 4/2018 relative all’accreditamento degli organismi di certificazione a norma dell’articolo 43 del regolamento generale sulla protezione dei dati” e delle “Linee guida 1/2019 sui codici di condotta e sugli organismi di monitoraggio a norma del regolamento (UE) 2016/679” e, più di recente, con le “Guidelines 04/2021 on codes of conduct as tools for transfers” dello scorso luglio.
Codici di condotta in Italia: una storia “antica” quanto la privacy
Sono in molti a considerare i codici di condotta come la promessa dei prossimi anni per disciplinare nel dettaglio settori verticali in cui la fenomenologia del trattamento dei dati trova compimento. Se la concreta utilità di tale strumento per il presente e il futuro non è revocabile in dubbio, altrettanto non può dirsi per l’idea spesso insita in tali considerazioni, vale a dire che la vicenda dei codici di condotta sia qualcosa di recente, un portato dal nuovo regolamento europeo. In verità, si tratta di una storia antica, almeno quanto la Direttiva 95/46/CE che ha preceduto il GDPR, e di una storia anche italiana.
Una di quelle tante storie virtuose che hanno caratterizzato la vicenda dell’evoluzione della disciplina sull’uso dei dati personali nel nostro Paese e che, per fortuna, fa da contraltare ad altre di cui andare meno orgogliosi, come le tante mutilazioni che subì il d.lgs. n. 196/2003 (il nostro “Codice Privacy”), prima dell’entrata in vigore del GDPR, ma anche dopo, ad esempio nel caso dell’inopinata ed errata abrogazione del DPS, il documento programmatico per la sicurezza, poi reintrodotto molto più rinforzato dallo stesso GDPR o, storia di questi giorni, le modifiche introdotte dal c.d. Decreto Capienze – nome tanto inopportuno quanto improvvido.
Ma torniamo ai codici di condotta. Tanto la Direttiva 95/46/CE quanto le leggi italiane che negli anni hanno composto il frame normativo della “privacy” si erano precedentemente occupate di questo tema. In particolare, sia la Legge 675/1996, sia il Codice Privacy avevano già e ampiamente messo a fuoco il fenomeno dei codici di condotta. Ciò ha determinato fin dalla fine degli anni Novanta una certa confidenza con questo strumento regolatorio da parte di istituzioni e operatori italiani. Si è così inaugurata una stagione in cui l’Autorità Garante per la protezione dei dati personali, allora guidata da Stefano Rodotà, ha prodotto una pluralità di codici di condotta ante litteram disciplinanti altrettanti e specifici settori. Si cominciò addirittura nel 1998 con il “Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica” per finire con l’ultimo codice pre-GDPR, vale a dire il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale”. Nel mezzo, in circa vent’anni di vigenza del vecchio quadro normativo, vennero adottati altri codici riguardanti, tra gli altri, le informazioni creditizie, il Sistema statistico nazionale e le investigazioni difensive. Chi scrive ricorda con grande orgoglio quegli anni, avendo seguito in prima persona, come dirigente del Garante, la nascita e l’affermazione di queste (allora) innovative forme di autoregolamentazione. Fu un periodo di grande attivismo e di vivida dedizione, nel quale, occupandomi in prima persona del codice relativo alle investigazioni difensive, ebbi l’opportunità di fare esperienza diretta di quanto dalla negoziazione tra organismi rappresentativi e Autorità possano scaturire provvedimenti di indiscutibile valore. E proprio allora, confrontandomi con l’entusiasmo e il costruttivo spirito battagliero dei vari interlocutori, ho assistito, come credo tutta l’Autorità, ad un grande esempio di accountability ante litteram.
È bene tuttavia precisare che i codici di condotta non hanno avuto la stessa fortuna anche negli altri Paesi europei. In quegli anni ci furono infatti soltanto sparuti esempi di approvazione ed impiego di codici di condotta oltre confine. Non è peraltro da escludere che fra le ragioni di questa confidenza tipicamente nostrana vi sia anche una lunga tradizione in termini di soft law, fatta di codici di condotta, codici etici e disciplinari, applicati nel pubblico così come nel privato e per le professioni ordinistiche. Ciò deve essere precisato anche per comprendere come mai, a seguito dell’entrata in vigore del nuovo regolamento in materia di protezione dei dati personali, l’Italia ha continuato a dimostrarsi Paese trainante nella normazione di secondo livello in ambito data protection. Non è infatti un caso che i vecchi codici approvati in Italia sotto la precedente cornice legislativa siano stati confermati, taluni trasformandosi nelle nuove “Regole deontologiche” (previa verifica di conformità al regolamento effettuata dal Garante), taluni altri assumendo le forme dei codici di condotta ex articolo 40 del GDPR (su impulso delle associazioni e degli altri organismi rappresentanti le categorie interessate). Quest’ultimo destino ha in particolare interessato il “Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” e il “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti”. Peraltro, quello in materia di informazioni commerciali, da chi scrive seguito direttamente, è stato in assoluto il primo codice approvato da un’autorità garante dopo l’avvento del GDPR, mentre quello sui sistemi di informazioni creditizie (i cosiddetti “SIC”) si può fregiare della palma di secondo in Italia e di uno tra i primi in Europa.
Perché insistere sul fatto di essere i primi? Perché è importante dare atto che tali risultati sono anche il frutto dell’instancabile disponibilità del Garante – tanto del Collegio guidato da Antonello Soro, quanto di quello attuale sotto la Presidenza di Pasquale Stanzione – a negoziare con gli operatori interessati per scendere a dettagliare particolari tipologie di trattamenti, individuando così ed in maniera inedita nuove strade da percorrere (si pensi, nei casi di specie, a quanto avvenuto con riferimento allo strumento dell’informativa breve o rispetto alle modalità di reclamo). Tale apporto innovativo ha altresì coinvolto aspetti di maggiore pregnanza giuridica, come la scelta delle basi giuridiche del trattamento. A ben guardare, in entrambi i codici di condotta da ultimo menzionati emerge, in maniera chiara, netta e certificata dall’Autorità, il ricorso legittimo al legittimo interesse – ed il gioco di parole è qui voluto.
Si tratta di un passaggio di assoluto rilievo, che semplifica lo sforzo di compliance richiesto ai titolari in tali settori, i quali diversamente si troverebbero a confrontarsi con le complessità legate all’impiego di tale condizione di liceità nel chiuso della propria accountability. Lo sforzo propositivo avanzato dalle associazioni e dagli altri organi rappresentativi e la dialettica avviata con gli Uffici ed il Collegio del Garante hanno insomma dimostrato, ancora una volta, come l’accountability guidata in simili ambiti rappresenta uno strumento estremamente utile e vincente.
Di ciò dovrebbero fare tesoro e trarne insegnamento anche le nostre pubbliche amministrazioni e gli apparati governativi e politici che spesso si pongono, invece, rispetto al tema del trattamento dei dati, con sterile muscolarità e nessuna o poca volontà dialogante.
Ovviamente la partita non si ferma all’adozione dei codici di condotta. Come evidenziato all’inizio, il GDPR richiede anche che a presidio del corretto impiego degli strumenti dei codici venga costituito un organismo di monitoraggio (il cosiddetto “OdM”). Allo stato attuale, sulla scia di quanto indicato dall’Autorità Garante nel provvedimento con il quale sono stati approvati i requisiti di accreditamento degli OdM, è stato accreditato un unico organismo di monitoraggio in Italia (e forse in Europa), vale a dire quello annesso al codice di condotta in materia di informazioni commerciali, presieduto da Fabrizio Vigo, il quale ha proprio di recente avviato la propria attività istituzionale.
Un rapido sguardo oltre confine
Credo valga la pena dedicare perlomeno un cenno a talune delle esperienze in materia di codici di condotta registratesi oltre confine dopo l’approvazione del GDPR. In Spagna, ad esempio, è stato adottato il “Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria”, mentre pochi mesi fa è stato varato anche l’“EU Cloud Code of Conduct”, il primo codice di condotta transnazionale. Basterà questo a dimostrare che la tradizione italiana sta facendo scuola anche all’estero.
I codici di condotta al tempo della data economy: una risorsa da valorizzare
Da quanto detto sinora, non v’è dubbio che l’Italia abbia un rapporto privilegiato con i codici di condotta, ora previsti dal GDPR. Si tratta beninteso di un vantaggio competitivo che deve essere massimizzato da qui in avanti.
La concentrazione di complessità nelle nuove sfide portate dall’economia dei dati è in costante aumento e la possibilità di affidarsi a strumenti elastici e al tempo stesso tutelanti diventa sempre più un bene prezioso. Si rende pertanto necessario dare un’ulteriore spinta al sistema, incentivando e promuovendo ancor di più l’adozione di nuovi codici di condotta per rispondere alle specifiche e comuni esigenze degli operatori del mercato, sia pubblici che privati.
A tal proposito, un ambito nel quale si percepisce tale bisogno è quello del marketing e delle tecniche di profilazione impiegate a fini commerciali. Qui lo sforzo per addivenire ad uno schema di autodisciplina condiviso con l’Autorità potrebbe condurre ad una decisa semplificazione nell’ottica del migliore equilibrio tra tutela dei diritti e delle libertà degli interessati e crescita economica di titolari e responsabili del trattamento. Si tratta di uno sviluppo che, peraltro, avrebbe le carte in regola anche per portare una ventata di freschezza in questa materia, visto il carattere ormai anacronistico di alcuni dei provvedimenti cardine del settore (vedasi, ad esempio, quello in materia di fidelity card del 2005). Per farlo chiaramente non servirà soltanto l’apertura dell’Autorità, ma anche l’intraprendenza e pazienza di imprese e rispettive associazioni rappresentative.
Altri comparti nei quali l’adozione di un codice di condotta porterebbe con sé larghi benefici sono tutti quelli legati all’utilizzo di prodotti ad alto contenuto tecnologico. Penso ai droni o agli strumenti di riconoscimento biometrico. In tal modo si potrebbero rendere endogene by design tutta una serie di regole, con l’ulteriore beneficio di sradicare la dipendenza da un’espressa e puntuale pronuncia dell’Autorità, sia essa di carattere generale o sanzionatorio. Sarebbe inoltre opportuno un impegno comune per l’approvazione di un codice di condotta per il trattamento dei dati personali in relazione all’uso dei social media. La recente notizia dell’ammonimento rivolto dal Garante ad un’agenzia immobiliare per aver impiegato dati degli utenti del social network LinkedIn per finalità di marketing dimostra quanto questo specifico settore necessiti di regole chiare e facilmente applicabili. Regole che se messe nero su bianco in un codice di condotta porterebbero forse anche a sdrammatizzare ex ante (e non ex post) il fenomeno del trattamento dei dati.