A un anno dalla piena vigenza del GDPR (scattato oggi 25 maggio 2019) è forte la tentazione per molti di fare un primo bilancio e di delineare le prospettive per il futuro della protezione dei dati personali. Neanch’io ovviamente voglio esimermi, ma nel farlo non intendo limitarmi a commentare numeri e tabelle di un anno di GDPR. Cercherò, infatti, di fornire anche una traccia, dal punto di vista del mercato e da quello mio personale, per il Parlamento che sarà a breve chiamato a scegliere i componenti del nuovo Collegio del Garante per la protezione dei dati personali.
Vorrei, inoltre offrire qualche modesto spunto anche ai quattro fortunati che saranno scelti da Camera e Senato a ricoprire – per sette anni – una carica già retta negli ultimi ventidue anni da policy makers, uomini e donne del calibro di Stefano Rodotà, Giuseppe Santaniello, Augusta Iannini, Mauro Paissan, Giuseppe Chiaravalloti, Giovanna Bianchi Clerici, Ugo De Siervo, Franco Pizzetti, Antonello Soro, per citarne alcuni.
La dittatura di chi controlla i dati e l’agonia della democrazia
Ma partiamo dai fatti. Lo scorso martedì 7 maggio, l’Autorità Garante, attraverso le parole del suo Presidente, Antonello Soro, ha presentato alla Camera dei Deputati la Relazione annuale relativa al 2018. È stato un discorso bello e appassionato, come da molti anni, peraltro, ci ha abituati il Garante con i suoi vari Presidenti che nel tempo si sono avvicendati. L’analisi di Soro ha superato il perimetro e la ricognizione del solo 2018 e si è spinta ai primi mesi del 2019, con uno sguardo di insieme a tutti i sette anni di lavoro del Collegio uscente.
Cruciali sono stati i passaggi programmatici relativi alle indifferibili ed urgenti sfide da raccogliere per dare e mantenere equilibrio all’Infosfera in cui viviamo e per iniziare ad usare gli strumenti che il formidabile GDPR offre rispetto alla regolamentazione dell’intelligenza artificiale e al corretto riposizionamento dell’uomo al centro delle triangolazioni indispensabili con l’Internet delle cose e la robotica. Molte le indirette citazioni al pensiero di Stefano Rodotà soprattutto rispetto alla necessaria riaffermazione della centralità della protezione dei dati personali come elemento indispensabile per la protezione delle libertà fondamentali.
L’oblio della neutralità della tecnologia – e di quanti, pochi, ne detengono le leve del potere – cosi come l’avanzamento di una ineluttabile supremazia della stessa rispetto ai diritti e alle libertà dell’individuo essere umano, rischia di spingere l’uomo verso uno stato di minorità, caratterizzato dalla dittatura permanente ed irreversibile di chi controlla i dati e le macchine attraverso le quali il trattamento avviene.
E’ tuttavia illusorio credere che il Garante da solo, o unitamente alle altre Autorità di controllo e garanzia, possa invertire questa pericolosa deriva contemporanea. Da qui l’appello alla mobilitazione erga omnes di Soro, rivolto alla politica, alle associazioni, alle istituzioni, a tutti noi: sull’altare dove si celebra ogni giorno la potenza del mercato dei dati, si sta consumando l’agonia della democrazia, prima, e la libertà dell’uomo, subito dopo.
Qualche numero sul Gdpr
Tornando alla Relazione annuale dell’Autorità, al 31 marzo 2019, sono state più di 48mila le comunicazioni dei dati di contatto dei responsabili della protezione dei dati (i cosiddetti DPO) nominati dai titolari dei trattamenti (imprese private, pubbliche, associazioni e pubbliche amministrazioni) tenuti ai sensi di legge. Un numero destinato ad aumentare, in virtù della sempre più alta sensibilità degli stakeholders verso il tema della protezione dei dati.
Peraltro, uno studio appena pubblicato a cura di IAPP (International Association of Privacy Professionals) mostra come in tutto il mondo il numero stimato dei DPO nominati per effetto del GDPR sia pari a circa 500.000. Un numero che è del tutto in linea, mutatis mutandis, con quello registrato dal nostro Garante.
Sugli altri fronti: sono stati 7219 i reclami rivolti all’Autorità; 946 le notifiche di violazione dei dati, cosiddetti data breach, di cui 641 solo negli ultimi 6 mesi. L’ultima relazione annuale indica, inoltre, in più di 8 milioni di euro l’ammontare dei pagamenti derivanti dall’attività sanzionatoria dell’Autorità solo nel 2018 (sanzioni irrogate ai sensi della normativa vigente prima dell’entrata in vigore del GDPR).
Che il Regolamento abbia superato la prova più ardua, ovvero quella della fase di lancio, la più delicata, è ormai un dato di fatto: le imprese sembrano aver reagito bene all’introduzione della nuova normativa, ed anche nella PA vi è una maggiore consapevolezza dei temi posti dal GDPR rispetto a quanto avveniva sotto il regime del Codice Privacy. Dall’elevato numero dei DPO che sono stati nominati dai titolari dei trattamenti, sino al dibattito ormai costante sui principali temi riguardanti la protezione dei dati personali, la materia della privacy ha risalito la china arrivando a collocarsi tra le prime quattro o cinque priorità nell’agenda di chi si prende cura del rispetto delle norme di legge.
Le sfide dell’accountability
Certamente quello del Regolamento è un campo di applicazione in continua evoluzione e saranno ardue le sfide ancora da fronteggiare. Per questa ragione, l’anno appena trascorso ci consente di affermare come il principio dell’accountability rappresenta l’elemento che maggiormente incarna lo spirito della nuova regolamentazione, fatta di responsabilizzazione, ragionevolezza e capacità di adattamento, strumenti a cui bisognerà sempre più far riferimento in ottica di self-assessment. La domanda era e rimane tuttavia la stessa: il tessuto produttivo e professionale d’Italia era ed è pronto alla sfida dell’accountability? O piuttosto, se cala la tensione e la pressione dei media e delle istituzioni preposte, della privacy non restano che le solite carte e policies di cui nessuno in azienda sa niente?
D’altro canto, lo stesso GDPR ha espresso la sua forza più grande nella propria capacità di adattarsi ai vari contesti, mentre l’eccessiva burocratizzazione dei principi e delle procedure in esso previsti rappresentano l’antitesi degli obiettivi del legislatore europeo. Un concetto, questo, spesso ripreso dallo stesso Presidente dell’Autorità Garante Europea per la Protezione dei Dati Personali (EDPS) Giovanni Buttarelli, nei propri interventi e confermato, senza alcuna limitazione, dall’attività in concreto svolta dal Collegio uscente del Garante italiano e dal Comitato dei Garanti Europei (EDPB).
La privacy arriva ai piani alti delle aziende
L’avvento del GDPR e la riforma del Codice Privacy hanno dunque segnato un passo fondamentale per l’innalzamento del livello di sensibilità degli operatori del mercato. Se prima di rado mi capitava di incrociare Consigli di amministrazione e amministratori delegati, oggi sovente si viene convocati a riferire o comunque le posizioni discusse con il Cliente spesso coinvolgono i vertici dell’azienda o dell’ente che si assiste, e non solo perché ciò è previsto dal GDPR rispetto al posizionamento del DPO, ma anche in ragione del più alto rischio sanzione che ha inevitabilmente portato la privacy ai piani alti dove le decisioni vengono prese sul serio.
Sono questi traguardi sufficienti? Sicuramente no. Forse mai nulla sarà sufficiente, almeno ragionando secondo le attuali categorie, poiché il contesto in cui opera la nuova normativa è in continuo divenire, tenuto conto dell’innovazione tecnologica, delle inimmaginabili frontiere in cui sarà possibile trattare i dati personali e delle rivendicazioni degli stessi interessati a cui tali dati si riferiscono.
La privacy è materia giuridica diversa da tutte le altre discipline interessate dal diritto positivo. La privacy è mutevole, in quanto come disciplina è un mutante, a differenza di istituti cristallizzati da secoli (si pensi ai diritti reali, alla donazione, al legato, solo per citarne alcuni).
Qualche spunto per il nuovo Collegio del Garante
Come potrà dunque il nuovo Collegio del Garante cogliere le opportunità della privacy senza restare imbrigliato nella sua straordinaria complessità? Ecco alcune idee:
- Anzitutto il Collegio dovrà affidarsi all’Ufficio, alle donne e agli uomini che lo compongono da sempre. Qui la prima scelta delicata da compiere sarà quella del Segretario generale. Giuseppe Busia ha svolto un gran lavoro e sarebbe un perfetto candidato tanto per il Collegio quanto per continuare nell’opera iniziata. Ma anche tutti i dirigenti dell’Autorità, da Daniele De Paoli a Claudio Filippi, da Luigi Montuori a Riccardo Acciai, da Cosimo Comella a Francesco Modafferi, da Roberto Lattanzi a Mario de Bernart e a e Luigi Cannada Bartoli, solo per citarne alcuni, ben potrebbero ricoprire il ruolo che fu di Giovanni Buttarelli: ne hanno la competenza e la giusta autorevolezza. Ma altrettanto bene si potrebbe ricorrere ad attenti conoscitori della macchina delle autorità indipendenti esterni al Garante, come l’Avvocato dello Stato Mario Antonio Scino, o i magistrati Mario Malagnino, Giuseppe Staglianò e Massimiliano Atelli – questi ultimi due già dirigenti per molti anni del Garante privacy.
- Il GDPR ci spinge verso nuove frontiere di ricerca e sviluppo: il principio della privacy-by-design è ancora in una fase embrionale e il sostegno agli operatori che sviluppano nuovi sistemi tecnici ed organizzativi per il trattamento dei dati deve essere all’ordine del giorno. Per stare al passo, occorrerà rafforzare l’Ufficio con ulteriori competenze tecnologiche e informatiche, ma non solo. Occorrerà interloquire con filosofi, sociologi e antropologi in grado di decodificare e preconizzare le interazioni uomo-macchina. La dimensione etica della privacy è in forte crescita ed è necessario aprirsi a linguaggi che non sempre politica e diritto sono in grado di comprendere a pieno.
- Al contempo, all’attenzione di tutti devono essere posti i principi sanciti dal Regolamento volti non solo alla protezione dei dati, ma anche alla salvaguardia delle stesse attività di business degli operatori economici in ottica pro-concorrenziale, restando ferma la tutela dei diritti degli interessati. Occorrerà dunque pensare a portare a bordo economisti in grado di valutare e prevedere l’impatto economico della regolamentazione, e giuristi esperti di antitrust. Si parla molto della convergenza tra le varie Autorità ed in particolare tra Agcom, Garante Privacy e Antitrust. Si potrebbe pensare a meccanismi che favoriscano la circolarità dei dirigenti e dei funzionari tra le tre Autorità, piuttosto che immaginare fusioni e accorpamenti strutturali.
- La forza propulsiva del GDPR ha coinvolto non solo l’Europa, ma l’intero pianeta. E per quanto possa risultare retorica, ad uno sguardo superficiale, tale considerazione è da ritenersi pienamente confermata e sostenuta dalle principali notizie provenienti, in particolar modo, dai colossi della Rete. Da Google a Facebook, passando per Apple o Amazon, tutti gli OTT (Over The Top) hanno posto al centro della propria recente attività la protezione dei dati personali dei propri utenti. Vicende giudiziarie e sanzioni a parte, i primi 365 giorni del nuovo quadro normativo europeo in materia di protezione dei dati personali hanno provocato una vera scossa nel mercato, sebbene ciò che abbiamo percepito rappresenti solo un anticipo del fenomeno a cui saremo chiamati ad assistere negli anni a venire. Tuttavia, lo scorso 1 e 2 maggio a Washington si è tenuto il tradizionale Global Privacy Summit organizzato da IAPP, a cui hanno partecipato più di 4000 delegati da tutto il mondo, inclusi i rappresentanti di tutte le Autorità di protezione dei dati. Tutte, tranne l’Italia. Ecco, questa scarsa visibilità dell’Italia a livello internazionale è deleteria per chi lavora in questo campo, ma è soprattutto un gran peccato che non si riesca facilmente a considerare l’Autorità nella sua straordinaria autorevolezza, anche in ragione del gigantesco track records accumulato in 22 anni di servizio, dovendo invece ascoltare la visione del Garante irlandese – Autorità praticamente priva di esperienza sul campo – solo perché tale Paese è oggi scelto da grandi OTT come headquarter europeo. Auspico dunque una maggiore presenza del Garante all’estero e non solo nelle sedi istituzionali di Bruxelles, dove l’Autorità senz’altro non ha mai smesso di contare.
- Sarà poi necessario procedere al completamento dell’attività di adeguamento della disciplina nazionale al GDPR. Dalle regole deontologiche a certificazioni e codici di condotta, passando per le autorizzazioni generali ed i numerosissimi provvedimenti di settore, il lavoro di armonizzazione che impegnerà il Garante nei prossimi mesi non è poco né certamente agevole: al riguardo, la verifica delle concrete modalità di applicazione di tali disposizioni sul campo consentirà all’Autorità di comprendere man mano dove e come affinare ulteriormente la disciplina, bilanciando la regolamentazione alle buone pratiche, nell’ottica di accountability scevra da eccessive burocratizzazioni.
- Le attività ispettive da parte dell’Autorità consentiranno poi di valutare, nel concreto, il livello di compliance raggiunto dalle aziende, sollevando criticità e aspetti utili ad un miglioramento in generale dei processi di adeguamento agli obblighi vigenti. Ma non saranno le sanzioni a fare la differenza. Sarà invece decisiva la capacità dell’Autorità di dialogare con i DPO, anche contribuendo a far crescere competenza e consapevolezza dei professionisti chiamati a ricoprire tale delicata funzione. La qualità è da sempre funzione, tra le varie cose, del budget che, nel caso di specie, il titolare del trattamento pone a disposizione del DPO. Stiamo invece assistendo, in taluni casi, ad una svendita della funzione appaltata con le regole del massimo ribasso, regole che se sono risultate fallaci per gli appalti nelle opere pubbliche, figuriamoci quanto possano essere pericolose se applicate con riferimento all’esecuzione di compiti delicati di controllo e consulenza quali quelli delegati dalla legge ai DPO.
