Qual è il rapporto tra le aspettative percepite o dichiarate all’inizio del percorso europeo di riforma legato al GDPR, e quello che poi è avvenuto, soprattutto da noi in Italia?
Con il decreto legislativo 101/2018 – in vigore il 19 settembre – usciamo finalmente dalla lunga fase in cui una piena valutazione sul nuovo assetto normativo in materia di protezione dei dati personali era sospesa perché mancava la disciplina italiana di aggiornamento del codice privacy e di collegamento con le nuove norme europee, anzitutto col Regolamento UE 679/2016, o GDPR.
Ora, la legislazione italiana è stata aggiornata: un giudizio è possibile. È importante farlo parlando non solo ai giuristi e alle funzioni che negli enti e nelle aziende sono investite dell’applicazione di questa normativa, ma anche ai politici, ai manager, ai professionisti della comunicazione, ai giornalisti, insomma a quel mondo che segue il rapporto fra innovazione tecnologica, economia e diritto e vuole capire cosa succede.
Gdpr, il rapporto tra aspettative e realtà
Nel 2016 e nel 2017, si è parlato molto di una conquistata omogeneità fra Paesi europei, del futuro ruolo di indirizzo della Commissione Europea nel rendere sempre più uniformi in Europa (perfino sul piano grafico) le informative per i vari trattamenti, di certificazione privacy. Si è discusso di un cambio di paradigma normativo, del passaggio dal formalismo degli adempimenti alla responsabilizzazione degli enti nel fare le scelte più adeguate in ragione del loro ambito di business, della novità di una possibile autodisciplina dei vari settori mediante Codici di condotta portatori – per chi sceglie di aderirvi – di esoneri e benefici, ma anche di oneri gestionali (fra cui la costosa soggezione a un monitoraggio periodico sulla loro osservanza).
Si sottolineava che il GDPR è stato varato in seguito a una proposta della Commissione Europea che era dichiaratamente volta a:
- rafforzare il mercato unico digitale definendo regole chiare e dando maggiori certezze agli utenti,
- semplificare l’operatività delle multinazionali accorciando le distanze sorte fra le varie legislazioni europee nell’applicazione della direttiva 95/46/CE,
- definire un quadro sanzionatorio comune che rendesse identico il rischio sanzionatorio nei vari Paesi europei, dopo anni di notevole difformità.
L’equilibrio di sistema che – in Italia – si è delineato con il decreto, però, è ben altro. Certo, questo equilibrio prenderà forma nei prossimi mesi con i provvedimenti generali che l’Autorità è stata chiamata a varare. Tuttavia, ora l’impalcatura è definita. Mentre la costruzione procede, ne vediamo bene la silhouette.
La novità più importante del decreto legislativo 101/2018
La novità più importante del decreto legislativo 101/2018 è il rilancio di due elementi caratterizzanti della precedente esperienza legislativa privacy italiana (dal 1997 in poi):
- l’affidamento all’Autorità di vasti poteri normativi nel regolare trattamenti “critici”, come quelli di dati sensibili (e in particolare sanitari), dati biometrici, dati genetici;
- la previsione che una serie di trattamenti di dati personali possono avvenire solo se ci sono norme che ne definiscono ragion d’essere e modalità operative.
All’uscita del GDPR, circolava la seguente interpretazione: non ci saranno più autorizzazioni generali dell’Autorità, la consultazione preventiva dell’Autorità da parte dei titolari sarà limitata a casi in cui il titolare stesso, dopo apposita valutazione d’impatto, reputa alti i rischi privacy dell’attività che vuole intraprendere, ogni titolare dovrà fare e documentare le sue scelte in materia di trattamento di dati personali alla luce dei principi del GDPR e risponderne. Più in generale, molti pensavano che la risposta alla domanda (normale nelle aziende) “posso farlo? cosa devo fare per essere conforme?” la si sarebbe trovata nelle norme del GDPR, fatta salva la “sopravvivenza” – almeno nelle parti compatibili col GDPR – dei provvedimenti generali dell’Autorità varati in passato. Vale a dire: il corpus normativo da rispettare è costituito da GDPR, “vecchi” provvedimenti generali dell’Autorità nelle parti e per le prescrizioni compatibili col GDPR e future norme italiane, probabilmente (si pensava) simili alle precedenti, ma emendate ove non compatibili col GDPR. Anche per questo sono fioriti corsi di perfezionamento per DPO, tutti focalizzati sul GDPR, tutti portatori di un’aspettativa (da parte dei tantissimi partecipanti) di potere beneficiare della condizione privilegiata di studiare al suo nascere un sistema normativo nuovo e auto-consistente.
Gli unici due elementi di complessità che sembravano evidenti anche ai più entusiasti della riforma erano il permanere di regole un po’ diverse fra Paesi europei per la privacy nelle comunicazioni elettroniche (es. telefonia e internet) che restava disciplinata almeno temporaneamente dalla direttiva 2002/58/CE, e il riconoscimento dato dal GDPR agli Stati nazionali di integrare con norme statali la disciplina privacy in alcuni settori anche “socialmente” più critici, come il rapporto di lavoro e la ricerca scientifica.
L’indirizzo del legislatore italiano
Invece, già dalla prima bozza di riforma del codice privacy circolata in primavera, è stato chiaro che il legislatore italiano si stava orientando:
- da un lato ad esercitare in modo innovativo la delega per le molte aree rimaste di competenza statale (come ad esempio l’individuazione dell’età a partire dalla quale un minore può esprimere il consenso nel contesto digitale, la tutela dei dati delle persone decedute, il funzionamento del procedimento ispettivo e sanzionatorio, le sanzioni penali),
- dall’altro a mantenere un forte potere normativo dell’Autorità: il potere cioè, di emettere linee guida, provvedimenti prescrittivi con dettagliate indicazioni su adempimenti, misure organizzative, controlli da realizzare nei singoli settori.
Questo indirizzo è stato non solo confermato, ma esaltato nel testo finale del decreto legislativo 101/2018. Sotto diverso nome, sopravvivono e aumentano i poteri normativi dell’Autorità. Ad esempio, oltre alle autorizzazioni generali al trattamento di dati particolari (ora, chissà perché, si chiameranno “misure”) l’Autorità potrà emettere provvedimenti generali per trattamenti svolti per seguire i (tantissimi) compiti individuati nel decreto legislativo 101/2018 come “di interesse pubblico” laddove questi presentano rischi elevati per la privacy, nonché Linee Guida con semplificazioni privacy per le PMI. Inoltre, sopravvivono e vengono rilanciati i Codici di deontologia, che sono cosa diversa dai Codici di condotta previsti dal GDPR perché vengono promossi dall’Autorità (non dalle associazioni di categoria) e perché valgono per tutti, non solo per gli aderenti alle associazioni che scelgono volontariamente di sottoporvisi.
Cambia tutto perché tutto resti uguale?
Cosa significa questo in concreto? Una cosa molto semplice. In Italia, in molti settori imprenditoriali rilevantissimi anche per l’evoluzione digitale, chi – per progetti e attività che imposta – si pone la domanda “posso farlo? cosa devo fare per essere conforme?” nei prossimi mesi e anni troverà le risposte più precise e vincolanti nei provvedimenti generali dell’Autorità e non nella legge, esattamente come era stato negli ultimi anni. E dovrà tenere d’occhio la produzione normativa dell’Autorità, mettere nel conto di seguire le consultazioni pubbliche sulle bozze dei provvedimenti, raccogliere informazioni su discipline in fase di gestazione. Questo senza dimenticare che i provvedimenti dell’Autorità – a differenza del GDPR di cui sono attuazione dettagliata – valgono solo per l’Italia, mentre di solito nel business una progettualità ambiziosa nei settori ad alto impatto privacy, ad es. nel Big Data, nell’e-health guarda oltre i confini nazionali.
È un bene o un male? Dipende dai punti di vista. Forse, è un bene per gli interessati, perché il lasciare ai Titolari il compito di capire “come” proteggere i dati personali in molti ambiti avrebbe generato rischi di frammentazione o di dilettantismi, e perché l’Autorità ha sempre esercitato questo potere normativo in modo da innalzare il livello di tutela. Allora però non c’era bisogno di passare da una direttiva a un Regolamento. È un male per le multinazionali, che in Italia a breve si troveranno –come era prima del GDPR – a dovere fare i conti, soprattutto in alcuni settori, con una normativa più analitica e più impegnativa che altrove. È un male per l’unificazione del diritto europeo, perché non ha senso fare un Regolamento se poi le regole concrete sul “come gestire le operazioni di trattamento dei dati” cambiano da Paese a Paese e se non c’è uniformità fra Autorità di controllo nel valutare e nel sanzionare le infrazioni. È un male per gli imprenditori italiani dei settori ad elevato impatto privacy, perché nel gioco della concorrenza spesso è agevolato chi ha poche regole semplici da rispettare, mentre è rallentato e ostacolato chi deve conformarsi a mille prescrizioni.
Difficile dire se sia un bene o un male per l’Autorità, il Garante per la protezione dei dati personali. Da un lato, le scelte del legislatore delegato ne consolidano il ruolo e il prestigio nel sistema istituzionale, la primazia nell’interpretare le norme europee e nell’indirizzarne l’attuazione. Dall’altro, ha davanti a sé un lavoro immane di revisione e di produzione normativa, che dovrà convivere con la gestione di adempimenti nuovi (pensiamo alla possibile onda d’urto di notifiche di violazioni di dati personali) e di raccordo permanente con le altre Autorità, a margine del Comitato Europeo.
I rischi di un ordinamento più stratificato
Lo stesso vale per i consulenti privacy. Da un lato, invece di essere più semplice, il nuovo ordinamento sarà più stratificato e difficile da interpretare del precedente. Quindi, rimarrà alto il fabbisogno di consulenza. Dall’altro, l’aumento delle complessità genera – specialmente per chi svolge funzioni di DPO esterno, un aumento di responsabilità e di rischi professionali.
Una cosa è indubbia: per chi (da europeo o da non europeo che vuole a interfacciarsi con utenti che si trovano in Europa) investe o lavora in qualsiasi settore che punta sull’innovazione, sulla tecnologia, sul digitale, nell’Europa e nell’Italia del 2018 – e ancora più in quelle dei prossimi anni – diventerà necessario rispettare più adempimenti e cautele di prima, effettuare e documentare molte più analisi tecnico-legali, tenere conto di molte più norme, sia pure se illuminate da un faro ormai noto a tutti che è il GDPR.
Se, in un contesto di competizione globale, questo sia un percorso intelligente sarà la storia a dircelo. Secondo me, non lo è.