Tracciare un bilancio dello stato di attuazione della nuova normativa europea in materia di tutela dei trattamenti di dati personali (Regolamento UE 2016/679, generalmente noto come GDPR), in piena attuazione in tutta l’Unione dal 25 maggio 2018, è abbastanza complesso. Occorre in primo luogo tenere in considerazione il fatto che, accanto a un grande sforzo di convergenza su come interpretare in modo uniforme il Regolamento, si stanno delineando anche forme di divergenza tra i Paesi e le loro Autorità sia sulle modalità di attuazione della regolazione europea sia, soprattutto, sul contenuto e l’attuazione delle leggi nazionali, in alcuni punti “strategici” anche molto diverse tra loro. Ma i fenomeni e le criticità da monitorar sono molti e richiedono scelte importanti e indirizzi programmatici e politici sia nei singoli paesi che a livello Ue.
Anche per questo, nell’ultima parte di questa riflessione si sottolineerà in modo forte la necessità che il rinnovo del Collegio alla guida dell’Autorità Garante per la privacy, previsto per il 2019, sia preceduto da un serio dibattito pubblico, che aiuti anche i decisori politici a compiere scelte che uniscano il possesso di requisiti tecnici e scientifici elevati a una visione condivisa del ruolo che l’Italia e l’Autorità italiana vorranno giocare nei prossimi anni.
Rischio competizione tra Stati per attrarre investimenti
Va infatti tenuto presente che in alcune materie strategiche, elencate prevalentemente nell’art. 9 e nel Capo IX del GDPR ma contenute anche in ulteriori norme specifiche, la più importante delle quali è il paragrafo 6 dell’art. 58 in materia di poteri delle Autorità di vigilanza, il GDPR stesso consente che gli Stati membri possano dotarsi di leggi nazionali specifiche. Si tratta, come è noto, di leggi che, fermo restando il vincolo di compatibilità con la normativa regolamentare europea, possono anche differire (e differiscono non poco) tra loro.
Il rischio, quindi, che si sviluppi una competizione tra Stati dell’Ue anche in ordine all’applicazione della normativa di tutela dei trattamenti dei dati personali, delle sanzioni da comminare e del rapporto tra GDPR e regole nazionali di adeguamento, che già si coglie anche negli ultimi mesi del 2018, dovrà essere monitorato costantemente.
Si tratta di un fenomeno che potrebbe accentuarsi nel tempo, specie in un periodo di rallentamento dell’economia. Esso dunque dovrà essere tenuto ben presente e attentamente presidiato negli anni a venire, giacché il principio della libera circolazione dei dati e le scarne norme in materia di trasferimento transfrontaliero dei dati, uniti allo spazio lasciato alle leggi nazionali, impongono scelte di politica legislativa molto importanti sia a livello Ue che dei singoli Paesi.
Su questo piano un compito importante spetta all’EDPB, al quale compete far funzionare in modo efficace il meccanismo di coerenza, ma non vi è dubbio che un ruolo non meno importante spetta agli stakeholders dei vari Paesi e soprattutto ai decisori politici della UE e dei singoli Stati membri.
Il rischio che si utilizzi anche la tutela dei dati personali come strumento concorrenziale tra Paesi UE per attrarre investimenti esiste concretamente e impone a ogni Autorità singolarmente, e a tutte le Autorità insieme, scelte importanti che non possono esser lasciate solo ad esse, ma devono essere oggetto in ogni Paese e a livello europeo di indirizzi programmatici e politici significativi.
L’arrivo del Gdpr in Italia
Il 2018, tuttavia, è stato caratterizzato, soprattutto in Italia, da una ottica attenta a comprendere il significato della nuova regolazione europea e gli obblighi che essa comporta per i titolari e i responsabili del trattamento, da un lato, e a definire le modifiche da introdurre nella legislazione nazionale per adeguare il vecchio Codice privacy alla nuova normativa, dall’altro.
Non vi è dubbio che per alcuni mesi in Italia, ma anche in altri Paesi dell’Unione l’entrata in vigore del GDPR ha costituito un fatto di grande rilevanza e, anche in ragione delle sanzioni molto elevate che le Autorità di vigilanza possono comminare, ha preoccupato molto imprese e operatori.
A questo si è aggiunto, almeno per l’Italia, il fatto che il GDPR prevede la figura del DPO, istituzione nuova per il nostro Paese, ma già diffusa da molti anni in altri Stati dell’Unione.
La minaccia/paura di sanzioni molto elevate, spesso alimentata anche oltre il giusto, ha creato nel Paese un clima di attenzione molto teso e, per certi aspetti, anche eccessivamente preoccupato.
Il decreto di adeguamento al Regolamento Ue
A questo si è aggiunta la fortissima attenzione che ha circondato, nei primi sei mesi dell’anno, l’attuazione della delega contenuta nella legge di delegazione europea 2016-2017, che ha portato all’adozione, il 10 agosto 208 del decreto legislativo n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679”.
Anche intorno a questo decreto legislativo si è sviluppata una discussione che spesso ha raggiunto toni forse eccessivi, anche a causa del concorrere, intorno alla redazione di questo decreto, di comprensibili passioni e interessi.
Da un lato, come tutti sappiamo, vi è stata da parte di molti (ma molto meno da parte del Garante) una volontà di difesa del precedente Codice, sostenuta talvolta anche con motivazioni più affettive che razionali. Da un altro lato vi sono state, come era giusto attendersi, inevitabili pressioni di categorie e organizzazioni professionali, spesso fondate. Si è trattata di una normale e ragionevole attività di lobbying che comunque, forse anche per la caoticità del periodo e del tempo forzatamente ristretto che ha caratterizzato tutta la vicenda dell’attuazione di questa delega, è stato molto meno incisiva di quanto forse sarebbe stato utile. Per contro, vi è stata una strenua difesa del mantenimento, e anzi dell’ampliamento di un apparato sanzionatorio penale, già previsto dal vecchio Codice privacy italiano ma del tutto assente nel GDPR, che tuttavia dà la facoltà agli Stati membri di prevedere anche sanzioni penali.
La discussione sull’opportunità di introdurre nel decreto italiano anche sanzioni penali e con quale estensione ha profondamente segnato il dibattito, soprattutto in sede parlamentare. Il tempo dirà quale sarà davvero in concreto l’utilità di questo apparato sanzionatorio e quale la sua efficacia. Soprattutto solo la prova dei fatti conseguenti della concreta attuazione del d.lgs. n. 196 del 2003, come novellato dal d.lgs. n.101 saprà dire se aver previsto un numero così articolato di fattispecie penalmente rilevanti in presenza di una giurisprudenza europea solidamente attestata sul ne bis in idem tra sanzioni amministrative e sanzioni penali, sarà stata o meno una cosa positiva.
In generale, tuttavia, si deve riconoscere che nell’affannata e, per il poco tempo a disposizione, molto compressa discussione che ha accompagnato questo decreto, si sono un poco persi di vista punti essenziali che avrebbero meritato un approfondimento maggiore, quali quelli relativi alla regolazione di trattamenti di categorie particolari di dati per fini di salute, ricerca scientifica, storica e statistica.
Soprattutto la fretta conseguente al ritardo col quale si è approvata la delega legislativa e il poco tempo a disposizione per una discussione di merito che, tanto in sede di Governo quanto di Parlamento, si è svolta a cavallo di due legislature, ha condotto, specialmente con riguardo al periodo transitorio disciplinato nel Capo VI del d.lgs. n. 101 del 2018, a norme di non facile interpretazione e applicazione, nonché ad alcune sviste tecniche, dovute alla mancanza di un adeguato lavoro di coordinamento, che hanno richiesto ben due correzioni successive.
Innovatori vs conservatori
Anche a una prima lettura, risulta in ogni caso evidente che il decreto legislativo n. 101 del 2018 risente, anche nella fattura delle sue norme e persino nella redazione dell’indice che riporta i capi e i titoli in cui si articola, di due linee di politica legislativa profondamente diverse. La prima linea, che caratterizza soprattutto il Capo I del decreto, è ispirata a forte impronta semplificatoria con contenuti profondamente innovatori rispetto al Codice precedente; la seconda mostra, invece, un orientamento più conservativo ed è improntata a una visione più “granulare” delle singole norme, anche col rischio di eccedere in specificazioni relative a singole, non rilevantissime, tipologie di trattamenti.
Fortunatamente, anche nella sua fase finale, il decreto legislativo n. 101 del 2018 ha comunque mantenute ferme alcune scelte essenziali, fatte già dalla commissione di esperti nominata dall’ufficio legislativo del Ministero della Giustizia presieduta dalla professoressa Finocchiaro.
Si è così provveduto a semplificare e sburocratizzare il più possibile almeno la prima parte del vecchio Codice; a sopprimere istituti di soft law incompatibili col GDPR, trasformandoli in nuovi strumenti più conformi all’impianto normativo del GDPR quali le regole deontologiche, comunque mantenute come requisiti di legittimità e liceità dei trattamenti; a rafforzare molto le competenze e i poteri del Garante, introducendo anche uno strumento di soft law nuovo e potenzialmente molto importante quale le misure di garanzie previste dall’art. 2-septies per i trattamenti relativi a categorie particolari di dati e fra questi specialmente quelli relativi alla salute e ai dati biometrici, genetici e quelli relativi alla ricerca medica, biomedica e epidemiologica di cui agli artt.110 e 110-bis; merita infine di essere ricordato anche quanto previsto dall’art.2-quindecies, che affida al Garante il potere/dovere di adottare provvedimenti di carattere generale prescrivendo misure e accorgimenti a tutela dell’interessato rispetto all’esecuzione di compiti di interesse pubblico che possono comportare rischi elevati.
Va inoltre sottolineato che tutti i nuovi strumenti di soft law attribuiti al Garante dal Codice novellato, compresa la approvazione di Codici di condotta a valenza territoriale nazionale già prevista dall’art. 40 del GDPR, sono, per norma di legge, sottoposti a consultazione pubblica prima di essere definitivamente adottati.
Una scelta voluta e consapevole, che ha come scopo garantire che all’aumento dei compiti e delle responsabilità del Garante possa corrispondere anche un coinvolgimento della società italiana e dei gruppi di interesse economici, scientifici, tecnologici di volta in volta interessati.
Periodo transitorio e false illusioni
Opportunamente, inoltre, il Capo VI del d.lgs. n. 101/2018, che disciplina il periodo transitorio, impone al Garante di verificare quali norme contenute in questi tipi di provvedimenti possono essere ancora considerate compatibili con il GDPR, procedendo di conseguenza a riadottarle nella nuova forma di regole deontologiche o di provvedimenti a carattere generale e di rivisitare le autorizzazioni generali al fine di verificare la compatibilità delle norme in esse contenute col GDPR, provvedendo anche al loro aggiornamento.
Anche questa attività del Garante, probabilmente destinata nel tempo ad essere superata, almeno in parte, sia dalla adozione di Codici di condotta ex art. 40 GDPR, sia dalla adozione delle misure di garanzia che, per la parte relativa alla salute e ai trattamenti di cura e ricerca scientifica relativamente ai dati genetici e biometrici, sostituiranno alcune autorizzazioni generali, è comunque sottoposta a consultazione preventiva, nel rispetto del principio di trasparenza e collaborazione con i soggetti interessati.
Certamente il risultato dell’innesto del d.lgs. n.101/2018 sul vecchio Codice ha molto modificato il d.lgs. n.196 del 2003, rendendolo in talune parti oggettivamente di complessa lettura e interpretazione.
Forse anche questo ha concorso a un fenomeno prevedibile ma non in una dimensione così rilevante: lo svilupparsi di uno stato di disorientamento e di attesa che sembra aver caratterizzato l’ultima parte del 2018 in ordine a come, e con quale approccio, applicare la nuova normativa.
Per contro, anche in ragione del fatto che alcuni commentatori hanno diffuso la aspettativa, del tutto infondata, che il d.lgs.n.101/2018 contenesse una sorta di moratoria nell’attività sanzionatoria del Garante (mentre invece l’art. 22 comma 13 prevede soltanto, né avrebbe potuto essere altrimenti, che la Autorità per i primi otto mesi dall’entrata in vigore del decreto tenga conto, anche ai fini sanzionatori, della fase di prima applicazione), gli ultimi mesi hanno visto una fase di sostanziale attesa rispetto all’attuazione della normativa nazionale, anche in vista dei provvedimenti relativi al periodo transitorio che il Garante, mostrando grande capacità e impegno, ha adottato nei termini previsti entro la fine del 2018.
Invece, specialmente dalla fine dell’estate in poi si è avuto un ritorno di attenzione sull’attuazione del GDPR, con particolare riguardo ai registri dei trattamenti, ai rapporti formali tra titolare e responsabile ex art. 28 del GDPR, alla valutazione di impatto e alle misure di sicurezza da adottare, anche nel quadro di una privacy by design e by default ben attuata.
Attuazione troppo formale e ritardo tecnologico
Purtroppo negli ultimi mesi del 2018 si sono moltiplicati i segnali di una fortissima tendenza a una attuazione prevalentemente burocratica e formalistica del GDPR.
Questo è valso certamente per i registri dei trattamenti e in misura minore ma sempre significativa, per la definizione dei rapporti contrattuali o vincolanti tra titolari e responsabili e anche alla produzione massiva di informative molto formalisticamente attente a rispettare gli art. 13 e 14 del GDPR ma in generale prive di quell’attenzione alla semplificazione e immediata comprensibilità delle informazioni date che invece l’art. 12 richiede.
Un’attenzione molto minore è stata dedicata invece ai diritti degli interessati e in particolare alla messa in atto di quelle innovazioni tecnologiche che, specialmente nei trattamenti di dati finalizzati all’offerta di servizi della società dell’informazione o di altre utilities, sono necessarie non solo per garantire le misure di sicurezza ma anche il rispetto dei diritti degli interessati alla portabilità dei dati e alla loro cancellazione.
In generale, anche rispetto alle valutazioni di impatto, all’adozione di misure di sicurezza adeguate alle tipologie dei trattamenti e ai rischi che comportano, alle misure tecniche e organizzative relative alla gestione delle data breaches, pare di dover registrare un significativo ritardo.
Il ritardo tecnologico che pare di cogliere, unito alla difficoltà di trovare quel linguaggio comune tra lawyers e tecnologi che invece il principio di accountability come dovere principale del titolare e del responsabile impone, si sta dimostrando un problema importante da risolvere rapidamente anche per dare sostanza reale e operativa ai nuovi diritti, quali quello relativo alla portabilità dei dati, alla cancellazione dei dati trattati con modalità digitali, al diritto di opposizione e, soprattutto, alla normativa che riguarda i trattamenti automatizzati dei dati.
Trattamento dati, un bilancio non proprio positivo
In questo quadro, e malgrado l’impegno senza risparmio profuso dal Garante, che merita il massimo apprezzamento, non si può dire che il 2018 si chiuda con un bilancio nettamente positivo, almeno per quanto concerne la diffusione e il consolidamento della protezione dei trattamenti relativi ai dati personali in Italia.
Spaventa e preoccupa la visione prevalentemente burocratica-formalistica che pare prevalere, forse in parte dovuta anche a attività ispettive delegate che spesso sembrano attente più a verificare il rispetto formale delle regole che la sostanza della tutela dei diritti e delle libertà messe a rischio dai trattamenti effettuati.
Si sconta inoltre il ritardo proprio della società italiana rispetto alla comprensione del ruolo fondamentale che le regole e l’attività regolatoria in generale hanno nella società ad alto uso tecnologico, accentuato dall’innata italica convinzione che le regole, e in particolare quelle di protezione dati, siano fatte più per sanzionare che per rendere più efficienti, sicuri e rispettosi dei diritti di tutti la convivenza e lo sviluppo delle società, specialmente di quelle ad alto uso di tecnologie digitali.
In altre parole, sembra che il nostro Paese faccia molta fatica ad accettare l’idea che la tutela dei dati personali e dei loro trattamenti è prima di tutto essenziale per garantire la libera circolazione dei dati nella società digitale, promuovendo insieme lo sviluppo economico e la fiducia dei cittadini.
Si continua a registrare una resistenza all’applicazione di regole viste come un costo e percepite come essenzialmente interdittive, mentre lo scopo del GDPR non consiste nel prevedere sanzioni elevate ma nel chiedere il rispetto di norme che costituiscono innanzitutto una metodologia, tutta orientata a stimolare la responsabilizzazione dei titolari e dei responsabili, ad assicurare la minimizzazione dei rischi e a garantire il controllo degli interessati sui trattamenti dei dati che li riguardano.
Il lavoro delle Autorità di controllo
Su questo piano un ulteriore sforzo va chiesto anche alle Autorità di controllo sia per quanto riguarda il gruppo europeo dei garanti (EDPB), sia nell’attività nazionale che ciascuna di esse è chiamata a svolgere.
Occorre riconoscere che il lavoro fatto in questi anni dal WP29 prima, e dell’EDPB ora, è stato estremamente utile e positivo.
Se si ripercorre la lista delle Linee guida, dei Pareri e delle Raccomandazioni prodotti dal WP29 nel periodo di preparazione alla piena entrata in vigore del GDPR, e poi fatti propri dallo EDPB nella prima seduta del 25 maggio 2018, si vede che essa ricomprende sedici importanti, e spesso molto ponderosi, documenti, di cui ben nove sono le Linee Guida adottate rispetto alla corretta interpretazione dei principali istituti e degli articoli più complessi contenuti nel GDPR. Ad esse si affiancano, poi, importanti Raccomandazioni, Documenti di lavoro e Position paper, prevalentemente dedicati ai nodi relativi ai trasferimenti di dati all’estero.
A sua volta lo EDPB, nel corso dei pochi mesi da quando è entrato in funzione, ha adottato quatto importanti Linee Guida, delle quali due dedicate all’attuazione delle norme relative alla certificazione, mentre sono annunciate importanti nuove Linee Guida sulla privacy by design e by default che dovrebbero essere adottate e messe in consultazione nei primissimi mesi del 2019.
Inoltre lo EDPB ha espresso la sua opinione, ai sensi dell’art. 35, comma 4, sugli elenchi delle tipologie di trattamento che richiedono la adozione della DPIA previsti da ventisei Stati membri, tra cui, ovviamente anche l’Italia.
Non si può dire dunque che le Autorità di vigilanza e controllo, riunite a livello europeo nel Comitato europeo di protezione dei dati (EDPB), e il Gruppo di lavoro che lo ha preceduto non abbiano svolto un lavoro enorme di guida e di approfondimento degli istituti più complessi del GDPR, dando così alle Autorità nazionali, e soprattutto agli stakeholders, orientamenti chiari e istruzioni precise.
L’operato del Garante italiano
Non meno apprezzabile è stato il lavoro svolto dalla Autorità Garante italiana. Da un lato, essa ha operato incisivamente per diffondere la logica e i contenuti della nuova normativa europea e per implementare l’attuazione del GDPR, anche adottando provvedimenti di carattere generale, spesso di soft law, o documenti a carattere dichiaratamente illustrativo, finalizzati ad aiutare gli operatori nella comprensione dei nuovi istituti, tra i quali uno di quelli che più ha preoccupato ma anche aiutato, sia pure forse in misura non sufficiente, è stato quello relativo ai registri dei trattamenti.
Da un altro lato, soprattutto dopo l’entrata in vigore del d.lgs. n.101/2018 avvenuta il 15 settembre, l’Autorità ha fatto uno sforzo molto rilevante per adottare provvedimenti che la parte transitoria del decreto, e in particolare l’art. 21, impone siano adottati entri termini certi.
Va sottolineato, in questo senso, il grande lavoro fatto in materia di verifica della compatibilità col GDPR dei vecchi Codici deontologici e di buona condotta, alcuni dei quali ora sono stati riadottati, in conformità col d.lgs. n. 101 e in coerenza col GDPR, come regole deontologiche, depurate dei contenuti non compatibili con la nuova normativa europea. Ben quattro sono i provvedimenti con i quali sono state ridottate entro i termini previsti le nuove regole deontologiche, ora sottoposti a consultazione pubblica.
Va apprezzato anche il grande sforzo fatto per riadottare nei termini le autorizzazioni generali, in attesa che il Garante adotti, soprattutto nei settori di maggiore rilevo che riguardano sostanzialmente tutte le principali autorizzazioni ora rinnovate, le misure minime di garanzia previste dalla nuova normativa.
L’adozione delle misure di garanzia
Il maggiore e più importante impegno che attende ora il Garante riguarda proprio la adozione delle misure di garanzia previste dall’art. 2-septies e quelle attinenti ai trattamenti di dati relativi alla salute, biometrici e genetici di cui all’art. 110. E’ urgente anche che il Garante definisca, con separati provvedimenti a carattere generale, le misure di garanzia da adottare, se necessario, ai sensi dell’art. 2- quindecies, nonché quelli autorizzativi previsti all’art. 110-bis, finalizzati a indicare le misure di garanzie relative a trattamenti particolari di dati per finalità di ricerca scientifica da parte di soggetti diversi da quelli di cui all’art. 110.
Sono tutti provvedimenti urgenti, soprattutto quelli relativi alle misure di garanzia in ambito sanitario e di ricerca scientifica su dati biometrici e genetici, anche per evitare che l’eventuale inerzia prolunghi il mantenimento in vigore di una normativa precedente, vecchia, spesso inadeguata alla realtà di oggi e inutilmente restrittiva e interdittiva.
Organismi accreditatori e codici di condotta
Vi sono però anche altri soggetti chiamati ad accelerare lo svolgimento dei loro compiti nel 2019: primi fra questi Accredia, individuata dal d.lgs.101/2018 come organismo accreditatore ai sensi dell’art. 43 del GDPR.
E’ opportuno che si proceda quanto prima, e nel modo più trasparente possibile, a definire i criteri in base ai quali Accredia deve operare, e quelli relativi alla individuazione degli accreditatori, alle loro modalità di azione e ai controlli ai quali saranno sottoposti.
In questo quadro anche l’Autorità Garante è chiamata a un compito estremamente importante, con riguardo ai Codici di condotta di cui all’art. 40.
Sono due settori, quello delle certificazioni e quello dei Codici di condotta, che invocano però anche un’incisiva e leale attività da parte degli stakeholders e delle categorie economiche e produttive.
Tanto le certificazioni, quanto, e in misura anche maggiore, i Codici di condotta sono strumenti essenziali nel quadro del GDPR.
Se è vero che è fondamentale l’attività di soft law che il GDPR affida alle Autorità di vigilanza, anche attraverso l’elaborazione e adozione di Linee Guida da parte dello EDPB, è non meno vero che tutto il GDPR punta moltissimo sull’attività e l’iniziativa degli operatori e del sistema economico.
I titolari e i responsabili sono tenuti a dare prova di accountability sia nella progettazione dei trattamenti e della valutazione dei rischi relativi sia nella loro esecuzione. Tuttavia essi non sono “ingabbiati” necessariamente in una normativa che, per quanto molto flessibile, segna confini definiti e immodificabili nei quali la loro attività deve essere costretta.
Il GDPR individua nei Codici di condotta strumenti potenzialmente utilissimi, finalizzati esplicitamente a elaborare anche normative specifiche, adeguate alle singole categorie e a specifici settori che, sempre in conformità con i principi generali del GDPR, consentano una flessibilità della normativa generale consona alle esigenze degli sviluppi tecnologici e produttivi. Tuttavia, perché questo avvenga e questi strumenti siano attuati, occorre la collaborazione delle categorie economiche e sociali interessate. Sono solo le associazioni e gli organismi espressione delle categorie dei titolari o responsabili dei trattamenti in settori specifici che possono assumere l’iniziativa di proporre Codici adeguati alle loro esigenze, sia con validità nazionale che europea. Spetta alle Autorità valutare le richieste e negoziare le regole, seguendo procedure diverse a seconda che si tratti di Codici di condotta nazionali o europei ma non vi è dubbio che questo sarà uno dei terreni più importanti sul quale già nel 2019 dovranno impegnarsi i diversi protagonisti.
Il GDPR è uno strumento “vivo”, che deve esser capace di adattarsi alle diverse esigenze e al tumultuoso sviluppo della tecnologia digitale.
I sempre più complessi trattamenti di dati operati da titolari di Banche Dati, da Data scientist e da produttori di macchine e applicazioni, orientati tutti allo sviluppo della Intelligenza Artificiale in ogni campo, impongono di accelerare il più possibile i tempi.
In questo quadro i Codici di condotta sono la via maestra, esplicitamente suggerita anche dall’art. 40 del GDPR, per adeguare le regole generali all’innovazione tecnologica e anche alle esigenze delle piccole e medie imprese, contando non già sulla “grazia sovrana” delle Autorità, ma su un franco e adeguato confronto tra operatori, Autorità e utenti.
Confronto che, con la consapevolezza e il senso di responsabilità di tutti, deve essere finalizzato a consentire alle nostre società di individuare, settore per settore, il giusto bilanciamento tra: l’esigenza di contenere i costi ed evitare attuazioni puramente burocratiche delle norme; la tutela sostanziale delle libertà e dei diritti dei cittadini UE e il rafforzamento della loro fiducia nelle nuove tecnologie; la promozione dello sviluppo di una robusta industria europea in ogni campo dell’innovazione digitale e la tutela delle piccole e medie imprese.
Le certificazioni
Lo stesso discorso, anche con maggiore attenzione agli aspetti tecnologici e operativi, riguarda le certificazioni.
Anche su questo piano nei mesi scorsi si è spesso partiti col piede sbagliato, un poco come è avvenuto per la figura del DPO.
Vi è stata una corsa a produrre certificazioni prive di ogni valore e a considerare la certificazione di cui all’art. 42 essenzialmente come una metodologia o come un “tool”.
Nella logica UE e del GDPR, invece, le certificazioni sono innanzitutto funzionali a promuovere la fiducia dei cittadini e dei consumatori rispetto a apparati e strumenti tecnologici che possono ingenerare giustissime preoccupazioni sia sul loro funzionamento, sia sugli usi dei dati da parte delle macchine stesse o da soggetti terzi ai quali tali dati sono trasferiti.
Sigilli, marchi e icone
E’ massimamente opportuno che le Autorità di vigilanza e controllo, insieme agli Stati membri, operino attivamente sulla Commissione UE affinché questa sviluppi in tempi rapidi una incisiva attività in materia di individuazione e criteri di utilizzo dei sigilli, marchi e icone. Sono tutti strumenti, in particolare le icone (che possono anche consistere in segnali acustici o in alert in modalità digitale), importantissimi per sviluppare un corretto e costante “rapporto di informazione e di controllo” tra la macchina e il suo utente rispetto ai dati che la macchina (o la app, ovviamente) sta tra trattando; alle finalità per le quali li tratta; gli eventuali pericoli che disfunzioni o falle nel suo funzionamento possano produrre per i diritti e le libertà di chi ne fa uso.
L’incognita delle prossime elezioni
Certo, l’imminente appuntamento delle elezioni europee può comportare, anche in questo campo, un obiettivo rallentamento di un’attività che invece lo sviluppo delle tecnologie digitali dimostra sempre più urgente e necessaria.
Speriamo che la nuova Commissione sia sensibile a questi aspetti.
Da questo punto di vista, ed è questa una proposta che sarebbe molto importante diventasse oggetto di un grande dibattito pubblico anche nell’ambito nazionale, è essenziale che tutti i soggetti collettivi, a cominciare dai partiti che si presenteranno alle elezioni europee, dimostrino almeno un’adeguata consapevolezza che la sfida del futuro si gioca in misura sempre maggiore nello sviluppo dell’economia digitale.
Se l’UE vuole davvero essere il punto di riferimento di una società digitale rispettosa dei principi democratici e delle libertà e dei diritti dei cittadini, occorre uno sforzo enorme di “attuazione proattiva” del nuovo Regolamento europeo, anche dal punto di vista degli aspetti strumentali e tecnologici che per un verso presuppone e per l’altro promuove.
Non bastano il GDPR e la regolazione giuridica. Occorre anche, e urgentemente, incentivare lo sviluppo di ogni accorgimento tecnologico che possa rendere effettivamente e concretamente tutelabili i diritti degli interessati, a cominciare da quello relativo al controllo dei trattamenti relativi ai dati che li riguardano. Un diritto, questo, che è il cuore stesso del GDPR dal punto di vista dell’interessato; così come la accountability lo è dal punto di vista del titolare.
Senza un dialogo uomo/macchina facile, immediatamente comprensibile da tutti, accompagnato da efficaci strumenti tecnologici di autotutela, il diritto al controllo, premessa di ogni altro diritto, rischia di essere impossibile da attuare. Cosa questa che, ogni volta che si verifica, vanifica la fiducia dei cittadini nella tecnologia digitale che è il vero punto di forza di tutto il sistema europeo di protezione dei dati personali.
In un contesto che sarà sempre più dominato dai trattamenti automatizzati di dati senza intervento umano, sarà sempre più indispensabile un serio, efficace e utile dialogo tra macchina e utente, tra fornitore di tecnologie e utilizzatori degli apparati messi a disposizione degli utenti.
Le icone (intese in senso ampio e in ogni forma e modalità possibile), i sigilli e i marchi sono essenziali per questo fine, e non a caso il GDPR li riserva alla Commissione.
Infatti essi, come le icone che da tempo abbiamo su tutti gli apparati domestici tradizionali, tanto più sono utili in un mercato tendenzialmente globale, e comunque nel mercato unico europeo, quanto più sono standardizzate e comprensibili da tutti, indipendentemente dalle aree geografiche e dalle culture in cui questi apparati operano.
Il 2019 deve essere l’anno del “salto di qualità” in questo settore e di una piena presa di coscienza dell’enorme rilievo potenziale che hanno i poteri conferiti alla Commissione dai commi 8 e 9 dell’art. 43 nonché del ruolo che possono avere gli atti delegati che essa può adottare in base all’art. 92.
Mentre le Autorità garanti completeranno il loro lavoro di adeguamento delle norme e di elaborazione di soft law, nessuno può star fermo ad aspettare.
Al contrario, è dovere di tutti agire in modo proattivo e stimolare le Autorità di controllo ad essere a loro volta portatrici di una visione pragmatica e lungimirante delle enormi potenzialità che una lettura e una applicazione lungimiranti del GDPR offre.
Il nuovo Regolamento europeo, che pure ha molti limiti, è certamente oggi la legislazione più avanzata e la metodologia più fascinosa a disposizione delle nostre società per massimizzare i benefici e minimizzare i rischi che lo sviluppo crescente e incessante delle nuove tecnologie ci offre.
Speriamo che il 2019 sia davvero un anno di svolta.
Prima di concludere due ulteriori considerazioni.
Garante Privacy: obiettivi e attività
La prima riguarda la strategia complessiva che l’Autorità italiana si deve dare rispetto alla sua attività e agli obiettivi che intende raggiungere.
Da questo punto di vista, non vi è dubbio che a maggio scadranno anche gli otto mesi previsti dall’art. 22, comma 13, durante i quali la Autorità è tenuta a tener conto del periodo transitorio in corso anche nella individuazione e nella misura delle sanzioni da comminare.
E’ assolutamente da augurare e chiedere con forza che, decorso questo periodo, l’Autorità avvii un ampio programma di verifica in concreto dell’attuazione della normativa, comminando, ove necessario e doveroso, anche sanzioni esemplari per rilevanza economica e obblighi di attuazione.
In questo quadro è assolutamente necessaria una massiccia verifica a tappeto delle effettive competenze dei circa quarantamila DPO che in questi mesi sono stati nominati.
Sappiamo tutti quanto questa figura sia importante nella sua triplice funzione di “guardaspalle” del titolare e del responsabile, di punto di riferimento per gli interessati e di punto di contatto per il Garante.
E’ fondamentale dunque che l’Autorità, attraverso indagini anche a campione ma comunque ampie e multisettoriali, abbia un quadro chiaro delle competenze effettive e dei carichi di lavoro di chi ha accettato di fare il DPO, spesso anche per molti e molti titolari e responsabili diversi.
Proprio per l’importanza che è stata data in Italia a questa figura, persino oltre quanto essa meriti, essere distratti su questo punto significherebbe trasmettere un pessimo messaggio: quello che l’Autorità si sente debole e poco attenta all’effettivo esercizio dei suoi compiti.
Una cosa che non può e non deve accadere anche perché sempre, in tanti anni di attività e attraverso quattro diversi Collegi e tre Presidenti, l’Autorità italiana è stata ai massimi livelli di stima e apprezzamento in Europa e nel mondo.
Il rinnovo del Collegio
La seconda considerazione riguarda il fatto che il 2019 sarà anche l’anno in cui un nuovo collegio sarà nominato alla guida dell’Autorità.
E’ importate che fin da ora, e anche col concorso prezioso del Collegio ancora in carica, il Paese si interroghi su cosa chiede alla sua Autorità di protezione dei dati personali e quali sono gli “interessi Paese” che anche questa Autorità, nell’ambito dei suoi poteri e nel rigoroso rispetto delle regole, deve darsi.
Ogni Collegio ha operato in questi anni secondo una visione strategica e ampia del proprio ruolo, individuando annualmente, nella Relazione al Parlamento, la strategia e il programma che lo guidava.
L’importanza enormemente cresciuta della tutela dei dati personali nella società digitale impone ora che sia il Paese a interrogarsi su quali siano i settori da presidiare con maggior attenzione e con maggior cura, anche tenendo conto della strategia di sviluppo economico e sociale che l’Italia intende perseguire.
Sarà bene che su questo si apra fin d’ora un ampio dibattito, che possa guidare e orientare anche il Parlamento nelle scelte che dovrà fare rispetto al prossimo Collegio.
Per questo le considerazioni qui esposte sono solo l’avvio di una analisi sul futuro della privacy che dovrà essere molto più ampia, approfondita e corale nei mesi a venire.