Con il 2022 entriamo nel quarto anno di applicazione in Europa del GDPR (Regolamento generale sulla protezione dei dati personali): a che punto sono le aziende che operano in Europa? È calata un po’ la tipica tensione che travolge tutti quando entra in vigore una nuova normativa, oppure sta aumentando la consapevolezza e soprattutto la paura dei cybercriminali, da un lato, e delle sanzioni dall’altro?
Data Protection Day: per una privacy da festeggiare e difendere ancora
Protezione dati, un’Europa ancora disomogenea
Chi lavora a stretto contatto con aziende multinazionali, di grandi ma anche medie dimensioni, avrà toccato con mano il diverso approccio, sia culturale sia operativo, che ancora esiste nei vari paesi europei. Non basta certo un Regolamento ad unire l’Europa produttiva intorno ad una omogenea protezione dei dati.
Va riconosciuto che le istituzioni europee in materia, EDPB in primis (European Data Protection Board), stanno portando avanti la loro missione con grande impegno e fornendo molti strumenti normativi a supporto del GDPR. Anche molte Autorità Garanti nazionali sono decisamente più attive di un tempo, con interventi divulgativi frequenti, partecipazione continua agli eventi formativi, collaborazioni costanti con gli specialisti di settore, le aziende e gli organi di comunicazione.
L’importanza che riveste la protezione dei nostri dati non sembra però aver raggiunto lo stesso livello in ogni paese europeo, per fattori culturali ma anche per ragioni economiche. Di recente le varie agenzie statali per la protezione dei dati hanno visto aumentare i loro finanziamenti, ma esistono ancora parecchie disparità tra i vari paesi membri. È sufficiente visitare i siti web delle Autorità Garanti nazionali per rendersene conto, valutando ad esempio la diversa disponibilità di informazioni, provvedimenti, linee guida, infografiche.
È frequente che le organizzazioni Titolari del trattamento che hanno consociate e filiali in Unione Europea, magari entrate nel gruppo imprenditoriale in momenti temporali diversi, si trovino a dover gestire complesse attività di coordinamento tra i referenti privacy delle varie sedi e debbano affrontare l’adeguamento di tutti al GDPR, tenendo anche conto delle normative locali, in alcuni stati ancora molto radicate e a volte articolate.
Vediamo qualche punto di attenzione per le aziende che devono implementare un modello organizzativo privacy e hanno consociate in varie nazioni UE.
Normative nazionali: quando fare attenzione
Sappiamo che il GDPR ha introdotto un approccio univoco alla protezione dei dati in tutta l’UE, sostituendo i diversi regimi nazionali esistenti, costruiti sulla base della direttiva protezione dei dati del 1995.
Con il GDPR, tutti gli Stati membri hanno dovuto istituire autorità nazionali per la protezione dei dati, che hanno il compito di garantire, tra l’altro, l’attuazione del GDPR sul territorio di appartenenza. L’Italia aveva già istituito questa autorità con la legge 675 del 1996 e quindi ha, a differenza di altri paesi europei, una storia importante e una esperienza consistente in materia di Data Protection.
Gli Stati membri hanno dovuto attivarsi in modo specifico per stabilire norme specifiche sulle sanzioni, in particolare per le violazioni non soggette a sanzioni amministrative, e devono conciliare il diritto alla protezione dei dati personali con il diritto alla libertà di espressione e di informazione.
Il GDPR offre inoltre agli Stati membri la possibilità di definire norme locali per un numero limitato di argomenti; non si tratta di moltissime regole, ma la conseguenza sono alcune divergenze (sia nell’attuazione delle leggi che nella loro interpretazione) che aumentano considerevolmente il costo della compliance GDPR per le aziende in tutta l’UE. Approfondiamo le tematiche più importanti che sono regolate a livello nazionale e di cui i Titolari del trattamento, che operano nei diversi stati membri UE, devono tener conto.
- Art. 8 – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione. Gli stati membri hanno adottato regole diverse: in caso di servizi on line, è possibile prestare autonomamente il consenso a partire dai 13 anni in Belgio, Danimarca, Estonia, Finlandia, Lettonia, Malta, Portogallo e Svezia; 14 anni invece sono necessari in Austria, Bulgaria, Cipro, Italia, Spagna e Lituania; serve avere 15 anni in Repubblica Ceca, Grecia, Francia e infine 16 anni per Germania, Ungheria, Croazia, Irlanda, Lussemburgo, Paesi Bassi, Polonia, Romania e Slovacchia. Di conseguenza, un’impresa che fornisce servizi della società dell’informazione ai minori in tutta l’UE deve ad oggi distinguere l’età dei potenziali utenti, a seconda dello Stato membro in cui risiedono. Si tratta senz’altro di una complicazione per gli imprenditori e soprattutto una modalità contraria allo spirito chiave del GDPR, che dovrebbe fornire un uguale livello di protezione alle persone fisiche e le stesse opportunità commerciali in tutti gli Stati membri.
- Stato di salute (art. 9) e ricerca scientifica, storica e fini statistici (art. 89 comma 2). Gli stati membri, come previsto dall’articolo 9, possono prevedere specifiche misure di garanzia per il trattamento di dati genetici, biometrici e relativi alla salute. Questo vale anche per le deroghe relative ai diritti dell’interessato a fini di ricerca (scientifica, storica, statistica), sia per quanto riguarda la tipologia delle deroghe stesse che per le relative garanzie e criteri di sicurezza adottati. Gli approcci sono storicamente e culturalmente diversi per alcuni aspetti, specialmente legati alla ricerca scientifica e al diverso rapporto con l’etica scientifica di alcuni stati membri (ad esempio tra i paesi del nord-Europa e quelli più influenzati dal cattolicesimo). Si auspica che le future linee guida EDPB sull’uso dei dati personali nel settore della ricerca scientifica contribuiranno ad un approccio più omogeneo in questo settore. Ne abbiamo avuto un primo timido ma positivo esempio con le linee guida rilasciate da EDPB nell’ambito della lotta alla pandemia Covid-19.
Rispetto alle misure di garanzia, il Garante italiano si è espresso con il Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, dopo aver sottoposto la bozza a regolare consultazione pubblica prevista dal d.lgs. 101. Di fatto sono state riprese alcune delle Autorizzazioni Generali che già annualmente il Garante pubblicava, modificandole nel tempo in base alle Linee Guida e raccomandazioni del EDPB, in base all’evoluzione scientifica e tecnologica nel settore oggetto delle misure di sicurezza ed infine garantendo comunque l’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea. Gli argomenti oggetto del Provvedimento sono:
- trattamento di categorie particolari di dati nei rapporti di lavoro
- trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose
- trattamento di categorie particolari di dati da parte degli investigatori privati
- trattamento dei dati genetici
- trattamento dei dati personali effettuato per scopi di ricerca scientifica
I Titolari del trattamento, nell’implementare e mantenere il modello organizzativo privacy, dovranno quindi tenere conto anche di questo provvedimento quando effettuano trattamenti di dati compresi tra quelli sopra citati. E dovranno analogamente verificare i provvedimenti adottati negli altri paesi UE dove eventualmente operano, ad esempio in qualità di datori di lavoro.
Agenzie europee, chi sono e come si muovono
La maggior parte delle Autorità Garanti o Commissioni degli altri Stati membri sono relativamente giovani e costituite a seguito della redazione e approvazione in Europa del GDPR. Alcuni siti, come già evidenziato, sono soprattutto a carattere istituzionale, mentre altri, seppure più snelli di quello italiano, offrono notizie aggiornate e punti di riferimento per le imprese e organizzazioni.
La francese CNIL
Una delle agenzie più longeve e produttive è la CNIL francese (Commission Nationale de l’Informatique et des Libertés), nata nel lontano 1978 grazie alla legge “Informatique et Libertés”. Proprio come il Codice Privacy italiano, questa legge è tuttora in vigore ma è stata modificata ed integrata per adattarsi al GDPR. I Titolari del trattamento che operano in Francia, devono assolutamente conoscerne i contenuti e verificare la compatibilità del proprio modello organizzativo privacy, ad esempio in relazione ai dati dei dipendenti, alle procedure sulla violazione dei dati, alla gestione dei dispositivi aziendali. CNIL mette a disposizione molto materiale informativo, oltre a linee guida (recependo quelle di EDPB) e raccomandazioni su tematiche particolari. Ha emanato di recente una interessante guida destinata a chi sviluppa e progetta software, per aiutare a rispettare i principi cardine di Privacy by design e by default. È stata inoltre la prima agenzia a pubblicare un tool per la realizzazione di valutazioni di impatto (DPIA), diventato punto di riferimento per la maggior parte delle organizzazioni e degli specialisti di settore.
La BfDI e le altre autorità tedescje
La situazione tedesca è senz’altro più articolata, vista la struttura della Repubblica federale. Esiste infatti l’autorità di controllo federale, la BfDI, con compiti più istituzionali, e le singole autorità di controllo degli Stati federali, più operative e attive sui propri territori di competenza. Trovate qui un elenco completo e i link ai siti delle varie agenzie statali. Le imprese multinazionali con consociate in Germania sanno quindi bene che la complessità normativa potrebbe essere maggiore, dato che bisognerà considerare anche le leggi federali quali il BDSG (Federal Data Protection Act) e le leggi statali, laddove presenti. Chiaramente i principi ispiratori e le disposizioni generali sono allineati al GDPR, ma l’esperienza ci insegna che nell’applicazione poi pratica delle norme potremmo incontrare qualche differente interpretazione, ad esempio nella scelta di una base legale per un trattamento, nella redazione di un disciplinare interno o di una informativa ai lavoratori. Si tratta a volte di aspetti culturali, che hanno senz’altro un loro peso anche nel mettere in pratica le sterili e fredde normative.
L’agenzia spagnola AEPD
L’agenzia spagnola AEPD mette a disposizione un utile sito web, organizzato in modo simile a quelli italiano e francese, dove facilmente reperire testi normativi, raccomandazioni, guide pratiche per i trattamenti di dati in diversi ambiti. Una pubblicazione molto utile per gli imprenditori è questa recente guida (maggio 2021) sulla protezione dati nei rapporti di lavoro, che tiene conto anche delle leggi spagnole sulle tematiche sanitarie. Tra gli altri documenti interessanti elaborati da AEPD, segnaliamo anche una check list (“Listado de cumplimiento normativo”) a supporto di Titolari del trattamento e DPO per verificare il rispetto degli adempimenti GDPR nella propria organizzazione o presso i fornitori che vengono nominati Responsabili esterni.
Concludiamo infatti, sempre con l’obiettivo di fornire tool utili alle aziende, segnalando queste risorse messe a disposizione dalla “DPC – Data Protection Commission” irlandese, in particolare su specifiche tematiche tecnologiche (Technological Issues). È possibile trovare ad esempio una guida sugli obblighi in caso di tracciamento dei veicoli aziendali (Employer Vehicol Tracking) oppure un vademecum per le aziende che scelgono di utilizzare servizi cloud (di particolare rilevanza in Irlanda, che ospita la sede legale in Europa dei principali Cloud Provider globali).
