Quanti dubbi minacciano la nuova privacy europea

Le aziende europee hanno un anno esatto per adeguarsi a un nuovo pacchetto di norme privacy, ma la confusione è ancora grande. E non aiuta il fatto che ai Paesi membri è stato concesso di scrivere proprie, diverse normative nazionali

Pubblicato il 25 Mag 2017

privacy_125855486

Tra un anno esatto (il 25 maggio 2018) le aziende dovranno adeguarsi al Regolamento n. 679/2016 (Regolamento Generale sulla Protezione dei Dati), che quindi sarà pienamente applicabile insieme a tutte le altre leggi europee che si occupano di tematiche di security e data protection, in particolare la Direttiva NIS, il Regolamento e-privacy (non ancora definitivo) e la Direttiva 680/2016, e arriveranno anche le leggi di riforma nazionale dei singoli Stati membri dell’UE.

Ma all’orizzonte sembra esserci qualcuno che cita il Gattopardo: «Se vogliamo che tutto rimanga come è, bisogna che tutto cambi».

Vediamo perché.

Nella relazione accompagnatoria al testo proposto per il RGDP la Commissione scrisse chiaramente: “Aspre critiche ha suscitato l’attuale frammentazione della protezione dei dati personali nell’Unione, in particolare degli operatori economici che hanno chiesto una maggiore certezza giuridica e l’armonizzazione delle norme sulla protezione dei dati personali, sostenendo che la complessità delle norme sui trasferimenti internazionali dei dati personali sia un notevole ostacolo alle proprie attività che spesso presuppongono il trasferimento di dati personali dall’UE verso altre parti del mondo.”

La versione definitiva del Regolamento pubblicata poi in GUCE il 4 maggio del 2016 sembra tuttavia aver perso tale importante considerazione della Commissione e, anzi, a seguito della discussione tra Parlamento e Consiglio dell’UE sono comparse diverse disposizioni di ratio sostanzialmente opposta che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel RGPD (ciò si rinviene in particolare nel considerando n. 10 e negli artt. 9 e 23 del RGPD).

Questi spazi di intervento normativo lasciati agli Stati membri dal RGPD pone e porrà problemi non solo di coerenza con la visione iniziale dell’UE (di eliminare la disomogeneità normativa in materia) ma anche il rischio di contrasti tra il RGPD e le leggi nazionali scritte con non sufficiente attenzione.

Germania e Austria hanno già provveduto ad emanare una proposta di testo di riforma delle proprie leggi nazionali sulla privacy (qui il disegno di legge tedesco) per adeguarle al RGPD. Seguirà a breve la Francia e non è escluso che lo faranno anche molti altri Paesi, o tutti, compresa l’Italia.

E’ comprensibile la volontà dell’UE di consentire agli Stati membri di salvare e mantenere il proprio corpus normativo sulla privacy invece che armonizzarlo radicalmente ma, così facendo, anche il RGPD non arriverà di fatto dove voleva arrivare la Direttiva Madre. La vera e concreta armonizzazione delle norme, per quanto complessa e delicata che sia, non può avvenire se i Paesi membri sono lasciati liberi di continuare a legiferare.

Si continuerà anche in futuro ad analizzare ventotto normative UE differenti sulla data protection (ventisette da quando UK uscirà ufficialmente dall’UE).

Quanto detto sino ad ora si può riassumere e semplificare in alcuni dubbi e considerazioni pratiche che affliggono le imprese che operano in diversi mercati tra Europa e USA: Quali sono le leggi che occorre applicare ai trattamenti? Solo quella italiana? Solo il RGPD? Tutte le leggi europee? Il RGPD e la legge USA?

Un inciso fondamentale è anche questo: gli USA, così come anche la Germania, sono uno stato federale. Non esiste una legge unica sulla privacy e nemmeno una vera e propria autorità di controllo unica per tutto il territorio. La Federal Trade Commission agisce come se fosse un’autorità di tutela della privacy ma di fatto impone alle imprese il solo rispetto del FTC Act che, in pratica, contiene norme analoghe al nostro Codice del Consumo. Anche gli USA hanno quindi un problema di moltiplicazione e frammentazione di leggi sulla privacy.

I dubbi si possono dissolvere solo iniziando ad approfondendo ulteriormente: Chi è il titolare o responsabile? Dove è stabilito? Dove raccoglie i dati (se in UE o USA)? I dati raccolti vengono trasferiti da UE verso USA o anche all’inverso?

Sul trasferimento dei dati raccolti in UE, da titolare stabilito in UE e trasferiti verso USA, il discorso si esaurisce agevolmente con il Privacy Shield o le standard model clauses o le Binding Corporate Rules, strumenti consolidati già dalla normativa in via di abrogazione e ripresi dalla quella in divenire.

Per il caso inverso, cioè quando è un’azienda stabilita in USA ad affacciarsi al mercato UE (che raccoglie dati in UE), si apre il tema della applicazione territoriale delle leggi europee. La Direttiva Madre non è chiara in merito ma, negli ultimi anni, se ne sono occupati i giudici, in particolare la Corte di giustizia UE (in primis CGUE, Google Spain SL e Google Inc., C-131/12).

L’annosa questione è risolta ora da un articolo specifico articolo (art. 3) del RGPD. Vi sono quindi essenzialmente due ipotesi. Il RGPD è applicabile a:

  • titolare o responsabile stabiliti in UE, non rileva il dove e verso chi il trattamento è effettuato (se in UE o Extra UE),
  • titolare o responsabile non stabiliti in UE, non rileva il dove ma rileva verso chi il trattamento è effettuato, cioè se sono soggetti che si trovano in UE (anche non cittadini UE) cui vengono offerti beni o servizi o si monitora il loro comportamento.

Nella seconda ipotesi rientrano quindi tutti i titolari e responsabili che, pur avendo stabilimento in USA, offrono beni e servizi in UE. Ciò è confermato anche da una recente indagine condotta da PWC in USA dalla quale è emerso che molte imprese statunitensi (il 92%) considerano di adeguarsi al RGPD e una buona percentuale (il 38%) ha tra le priorità per il 2017.

Se ormai chiara è l’applicabilità del RGPD alle aziende statunitensi che sono presenti sul mercato UE meno chiaro è se queste dovranno preoccuparsi di adeguarsi anche alle novellate leggi nazionali che si affiancheranno e completeranno il quadro normativo in uno specifico ordinamento giuridico europeo.

LEGGI DELLO STESSO AUTORE LA STORIA USA-EU DELLA PRIVACY

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati