Quando ad aprile del 2016 le istituzioni comunitarie hanno definitivamente licenziato l’adozione del nuovo Regolamento UE n. 679/2016, anche noto come General Data Protection Regulation o GDPR, molti hanno salutato questa grande riforma come il vero punto di partenza per la nascita del mercato unico digitale del continente. Questa pietra miliare del panorama legislativo continentale sarà infatti destinata a disciplinare la materia della data protection Europea almeno per i prossimi vent’anni, sulla falsariga di quanto egregiamente già fatto dalla Direttiva 95/46/CE fino ad oggi.
L’illusione che il lavoro fosse compiuto, tuttavia, è durata molto poco. Qualche mese dopo, infatti, lo stesso legislatore UE ha dovuto prendere atto dell’insufficienza del solo strumento di un Regolamento volto a rafforzare, da un lato, la tutela dei dati personali, senza però impedire, dall’altro, la loro libera circolazione, al fine di presidiare anche i profili dell’uso dei dati online.
A questo proposito, dunque, il 10 gennaio scorso la Commissione Europea ha ufficialmente dato il via anche all’atteso processo di riforma della Direttiva 2002/58/CE (cosiddetta “Direttiva ePrivacy“), che dovrebbe andare a modificare e uniformare l’attuale quadro normativo continentale in materia di circolazione dei dati personali nelle comunicazioni elettroniche.
Un nuovo capitolo della data protection UE si appresta dunque ad essere scritto, in contemporanea con l’entrata in vigore GDPR, prevista per il 25 maggio 2018.
Molto bene o forse too much?
Il progetto di Regolamento ePrivacy attualmente in cantiere, del quale è stata presentata solo una prima bozza ora in consultazione ufficiale, rappresenta una tra le priorità più pressanti per i legislatori UE, non solo in vista della necessità di rendere coerente il quadro normativo continentale in materia di data protection, ma anche per costituire un argine alla interpretazione spinta di deregulation americana. Alla luce delle recenti prese di posizione in materia di online privacy dell’amministrazione Trump, infatti, sorge spontaneo chiedersi quali saranno i possibili impatti sul settore delle comunicazioni elettroniche in vista della nascita del Digital Single Market dell’Unione Europea, nonché del check-up autunnale dell’accordo Privacy Shield annunciato nei giorni scorsi sia dalla Commissaria UE alla Giustizia Vera Jourova, che dal Gruppo dei Garanti Europei (Article 29 Working Party o WP29).
Poiché il GDPR andrà ad abrogare e sostituire la Direttiva 95/46/CE senza tuttavia toccare il quadro ePrivacy, l’attuale proposta di Regolamento rappresenterebbe la coerente continuazione del processo di riforma avviato all’alba del 2012 con il Data Protection Reform Package delineato dalla Commissione UE.
Tale “pacchetto” di norme, attualmente comprensivo del nuovo Regolamento Generale e di due direttive sullo scambio di dati per finalità di cooperazione giudiziaria e di polizia, si è andato arricchendo nel tempo. L’approvazione definitiva della Network and Information Systems Directive in materia di cyber security delle infrastrutture strategiche, la review del Regolamento n. 45/2001 sulla tutela della privacy nelle istituzioni UE e la prospettata riforma del quadro regolamentare ePrivacy segnano infatti punti di svolta cruciali per l’evoluzione libera circolazione delle informazioni da e verso l’Unione.
L’introduzione di una specifica disciplina privacy per gli operatori di comunicazione elettronica introduce anche un tentativo di controllo sull’operato dei cosiddetti “Over-The-Top”, includendoli in una qualche misura nel club dei vessati dalla compliance privacy più stringente.
Secondo il legislatore europeo, tale prospettiva, unita al deterrente delle sanzioni previste ai sensi del futuro GDPR, che come noto potranno essere parametrate, nel massimo, fino al 4% del fatturato annuo globale del trasgressore, dovrebbe essere in grado di garantire non solo una maggiore protezione ai flussi di dati personali raccolti e trattati a livello europeo ed extra-europeo, ma anche la nascita di un virtuoso ecosistema di regole condivise che gettino le basi per ulteriori modelli di cooperazione internazionale.
Ma siamo certi che la direzione sia unilateralmente quella giusta?
La proposta di Regolamento ePrivacy, benché ad oggi in fase solamente embrionale, sembrerebbe pertanto prossima ad introdurre importanti cambiamenti per il settore del digitale in senso ampio. Dal marketing ai big data analytics, dalla profilazione al re-targeting online, la vera chiave di volta di questo progetto ruota evidentemente intorno ai metadati e alla loro enorme capacità di produrre ricchezza ed essere trasformati in valore aggiunto per OTT e operatori di comunicazione elettronica in generale. Già oggi, infatti, con il trattamento di tali flussi di informazioni è possibile interpretare e addirittura prevedere lo sviluppo di nuovi trend e modelli di comportamento, l’interazione online tra diversi individui, le modalità di selezione di luoghi, preferenze, eventi e molto altro ancora.
Ma perché scrivere una norma ad hoc sulla c.d. e-privacy andando a toccare categorie che sono già state disciplinate dal GDPR, come la profilazione? Perché avere un approccio formalistico alle cose e sono sostanziale, generando regole su regole, che richiederanno grandi sforzi interpretativi e molta cautela in punto di implementazione delle norme e relativo enforcement? Perché generare quadri regolatori ipertrofici, invece di pensare a rafforzare ruolo, poteri e funzioni dei Garanti privacy nazionali, semplificando il loro lavoro per renderlo più efficace ed efficiente?
I recenti accadimenti su scala globale stanno ampiamente dimostrando come la data protection abbia sempre più una rilevanza strategica globale. Non a caso, infatti, gli effetti della decisione del Congresso americano di stralciare la necessità del consenso degli utenti per la rivendita di dati personali agli ISP sta contribuendo a creare nuove crepe nel rapporto UE-US sullo scambio di dati. Questo, alla luce dei rischi che corre ora il Privacy Shield, si lega non solo agli ulteriori squilibri che le negoziazioni sulla Brexit si apprestano a creare in Europa, ma anche a possibili pronunciamenti della Corte di Giustizia UE in tema data protection e data transfer che potranno confondere e complicare ulteriormente il quadro.
Non a caso, anche lo European Data Protection Supervisor (EDPS), forse fin troppo profeticamente, si è pronunciato affermando che il consenso come presupposto di legittimità del trasferimento non sarà più sufficiente a rappresentare il “golden standard” dei data transfer, a partire dall’entrata in vigore del GDPR. Infatti, l’introduzione del principio di accountability e le sanzioni del Regolamento imporranno un livello di attenzione alla compliance non più derogabile da parte di tutti, ed in particolare dei grandi gruppi industriali Europei ed americani. Questi ultimi, infatti, dovranno necessariamente e sempre di più adottare strumenti per il trasferimento dati all’estero alternativi al consenso, quali binding corporate rules e standard contractual clauses. Viceversa, il rischio è che la scure delle autorità garanti nazionali rischi di calare sulle teste di data controller e processor molto più duramente di oggi.
In conclusione, occorre ricordare che siamo solo all’inizio del processo legislativo di riforma che andrà concludendosi nel corso dei prossimi anni. In tal senso, dunque, la proposta attualmente al vaglio delle istituzioni competenti dovrà inevitabilmente subire non solo un primo e approfondita screening giuridico, ma anche una fortissima spinta lobbystica dentro e fuori il campo di battaglia di Bruxelles. Solo il tempo sarà in grado di dirci se l’UE, e con essa il progetto Europeo stesso, continuerà ad essere il data protection champion globale in grado di costruire realmente le basi per un mercato unico digitale forte e strutturato.
In questo senso GDPR e Regolamento ePrivacy possono diventare leve competitive importanti in grado di consolidare gli standard a tutela di privacy e libera circolazione dei dati ancora di più a livello internazionale. L’esperienza di questi anni ci suggerisce che un modello vincente di privacy, che bilanci le esigenze del mercato con quelle degli individui, è possibile.
L’azione in questi anni condotta dal Garante è andata in questa direzione.
L’iperproduzione però di regole comunitarie, unitamente con un generale senso di disorientamento che pervade tutti in questa fase, in attesa che il GDPR diventi operativo e che si sappia cosa resterà dei tanti provvedimenti del Garante italiano di questi anni, non aiuta ad essere fiduciosi.