Mancano otto mesi ormai al 25 maggio 2018, primo giorno di applicabilità del Regolamento UE 679/2016 sulla protezione dei dati personali (“GDPR”), e molte imprese si stanno già muovendo per adeguarsi.
È risaputo che il GDPR è una normativa dagli impatti organizzativi ed economici importanti, soprattutto per quelle imprese che stanno investendo nel digitale e in tecnologie che comportano tracciatura o monitoraggio di persone o che operano nei settori ad alto impatto come il B/C, la sanità, la ricerca.
Forse, è meno noto che il Regolamento è solo la “base” di un edificio normativo in cui sono ancora in fase di costruzione o di progettazione quei “piani superiori”, fondamentali per le imprese per avere indicazioni certe su come porsi al riparo da sanzioni e per applicare gli istituti del GDPR in modo per loro sostenibile.
Fra i “piani superiori” più importanti dell’edificio normativo ci sono i Codici di condotta, che potranno essere proposti dalle associazioni di categoria alle Autorità Garanti. Se approvati dalle Autorità Garanti nazionali (quando relativi a trattamenti di dati personali con portata nazionale), o dalla Commissione previo parere del Comitato Europeo dei Garanti (quando relativi a trattamenti che si svolgono in vari Stati europei), i Codici di condotta integreranno il GDPR con norme di dettaglio e semplificazioni, valide per le imprese aderenti. Il rispetto dei Codici determinerà una presunzione di conformità in caso di procedimento.
In altri termini, per la protezione dei dati personali il GDPR ha già definito “cosa fare”, cioè, la messa a punto di una serie di adempimenti. I Codici di condotta aiuteranno le imprese che vi aderiscono: 1) a capire meglio “come fare” con la certezza che tale modalità di attuazione è approvata dall’Autorità o dalla Commissione UE; 2) quando – nel fare – è possibile avvalersi di semplificazioni; 3) quando è possibile “non fare” (ad es. non chiedere il consenso), a patto di adottare e documentare specifici accorgimenti.
Certo, il combinato disposto del GDPR e dei provvedimenti delle Autorità Garanti indica già un percorso alle imprese che vogliono adeguarsi entro il 24 maggio 2018. Tuttavia, ci sono molte aree per le quali questo pur corposo framework non fornisce indicazioni su come realizzare gli adempimenti, oppure offre la possibilità di avvalersi di semplificazioni, ma solo a patto che le imprese: a) effettuino un’interpretazione dei criteri normativi documentando per iscritto le proprie scelte (cd. accountability) e sottoponendosi al giudizio dell’Autorità Garante su queste scelte in caso di controllo, nonché alla relativa sanzione, se le scelte sono sbagliate, oppure: b) “facciano gruppo”, proponendo alle Autorità Garanti un Codice di condotta, dove ad ogni semplificazione per i Titolari corrispondono accorgimenti a tutela degli interessati.
Facciamo un esempio. Come già la normativa attuale, anche il GDPR prevede che un’impresa “Titolare”, possa trattare dati personali anche se non obbligatorio per legge, né previsto da un contratto con l’interessato, né basato sul consenso dell’interessato, ove un legittimo interesse del Titolare stesso prevalga sulla privacy. Tuttavia, mentre nella normativa italiana attuale la prevalenza del legittimo interesse può essere riconosciuta solo dall’Autorità Garante (che finora la ha ritenuto sussistente in rari casi, individuati d’ufficio a sua discrezione), secondo il GDPR questa prevalenza può essere: 1) riconosciuta dal Titolare a valle di un test comparativo fra i suoi interessi e la privacy degli interessati, in cui il Titolare verifica in modo rigoroso che i suoi legittimi interessi possono prevalere; oppure 2) prevista esplicitamente all’interno di un Codice di condotta approvato dall’Autorità nazionale oppure dalla Commissione UE.
Nei considerando, il GDPR ammette un legittimo interesse di un Titolare a trattare e a comunicare dati personali ad altre imprese per fini di marketing diretto. Già prima che i Codici di condotta siano varati, un Titolare potrebbe ritenere il suo legittimo interesse a fare marketing diretto prevalente sulla privacy, ma lo farà a proprio rischio e pericolo: se l’Autorità Garante non condividerà la sua valutazione, quel Titolare potrà incorrere in sanzioni. Per le imprese, sarebbe prezioso potere avere quanto prima la “codifica” di situazioni di prevalenza del legittimo interesse al marketing diretto, e l’indicazione delle cautele da seguire per garantire comunque la privacy dei destinatari del marketing diretto.
Analogo affidamento ai Codici di condotta dell’ultima parola sul “come fare” vale per molti altri ambiti significativi, come: quali documenti redigere per dimostrare in caso di controllo le politiche (policy) aziendali in materia di protezione dei dati personali, quali misure di sicurezza possono essere ritenute adeguate, come disciplinare il rapporto fra Titolari e Responsabili nei vari comparti, come proteggere i dati personali dei minori soprattutto nei contesti digitali e come chiedere il consenso ai genitori, ecc.
Il sistema dei Codici di condotta disegnato dal GDPR prevede una loro entrata in funzione solo a valle di un iter lungo e complesso. I Codici possono essere proposti alle Autorità Garanti da associazioni di categoria, che però devono dimostrare di avere sentito il parere di realtà rappresentative degli interessati. Per essere applicabili, Codici dovranno essere approvati dalle Autorità Garanti (oppure, se hanno valenza europea, dalla Commissione UE, sulla base di un parere del Comitato Europeo). Oltre che dalle Autorità Garanti, la verifica del loro rispetto da parte delle imprese aderenti dovrà essere curata da organismi indipendenti ad hoc, che al momento non esistono e che potranno operare solo dopo essere stati accreditati dalle Autorità Garanti sulla base di criteri proposti dalle Autorità Garanti al Comitato, che dovrà approvarle.
Non ci sembra che l’Autorità Garante italiana abbia fornito, ad oggi, informazioni sullo stato di avanzamento del progetto di definizione dei criteri per l’accreditamento dei costituendi organismi preposti a verificare il rispetto dei Codici di condotta. Considerata l’enorme quantità di lavoro che la nostra Autorità Garante sta affrontando in questa transizione normativa, è verosimile che il progetto sia ancora allo studio.
Viceversa, sarebbe un peccato se le associazioni di categoria italiane non annunciassero quanto prima l’apertura di tavoli di lavoro per la stesura di Codici di condotta. Poiché l’iniziativa della proposta di bozze di Codice è rimessa dal GDPR al mondo associativo, la circostanza che i criteri per l’accreditamento degli organismi di controllo non siano definiti e che l’iter di approvazione dei Codici sarà lungo non dovrebbe costituire motivo di attesa; anzi, dovrebbe indurre a studiare le strategie (ad es. sarebbe opportuno optare per Codici di condotta relativi ad ambiti molto specifici, come le vendite a distanza, i Call Center, la pubblicità nei contesti digitali, perché più rapidamente verificabili dall’Autorità), a valutare chi coinvolgere come realtà rappresentative degli interessati, ad aprire un confronto con associazioni di giuristi e con singoli esperti sui contenuti da proporre. Portarsi avanti sui contenuti oggi, faciliterebbe il percorso domani.
