Anche il Garante Privacy ha pubblicato le proprie Linee Guida su ciò che l’introduzione del nuovo Regolamento Privacy europeo (detto anche General Data Protection Regulation o Gdpr) comporterà per il quadro normativo in materia di data protection nel nostro Paese. Il contenuto di questo primo feedback sul Gdpr non sembrerebbe discostarsi troppo da quanto già emerso dagli approfondimenti prodotti dal gruppo di lavoro dei Garanti Ue, riunito nel cd. Gruppo Articolo 29, diffusi nel corso degli ultimi mesi. Il che, di fatto, è un bene, considerato che uno dei rischi che il Gdpr corre in questa fase è proprio quello della corsa alle interpretazioni applicative difformi su base nazionale.
In tal senso, infatti, i regolatori europei hanno avuto e continueranno ad avere – anche dopo la deadline di maggio 2018 – parecchio da fare non solo con riferimento all’armonizzazione effettiva delle singole legislazioni privacy nazionali livellate su una comune interpretazione del Gdpr, ma anche rispetto alla sua successiva fase di attuazione continentale. Certamente, questo primo contributo del Garante Italiano, già protagonista a livello internazionale delle complesse riunioni volte a scrivere le linee guida del Regolamento, rappresenta un utile strumento per comprendere meglio in quale terreno verrà seminato il verbo della nuova privacy europea.
Ciononostante, le Linee Guida arrivano in un momento molto delicato per il mondo della privacy Ue che ruota attorno al Gdpr. Negli ultimi mesi, infatti, abbiamo assistito ai primi segni di debolezza della strategia di armonizzazione e coesione normativa proposta dalle istituzioni europee per favorire la nascita di un framework regolamentare comune, volto al rafforzamento del Digital Single Market. Dapprima, l’autorità Spagnola con la pubblicazione di tre consistenti set di linee guida interpretative sul Gdpr (rispettivamente in tema di obbligazioni di titolari e responsabili e informativa agli interessati), poi la pubblicazione della prima bozza di ePrivacy Regulation da parte della Commissione e, infine, l’adozione da parte del Parlamento tedesco di una legge di riforma del quadro normativo privacy federale volta a meglio recepire il Gdpr. Tutto ciò, a poco più di un anno di distanza dalla scadenza fissata per l’entrata in vigore del Regolamento e in contemporanea con il prosieguo dei lavori dietro le quinte che porteranno l’Article 29 Working Party a pubblicare, si spera a breve, nuovi e importanti provvedimenti interpretativi ufficiali e, soprattutto, condivisi a livello Ue.
È chiaro che la diretta applicabilità del Regolamento all’interno dei singoli ordinamenti nazionali degli Stati membri impone grande ordine e coerenza sistematica nell’adozione di nuove normative, anche secondarie.
Pertanto, ben vengano i provvedimenti e le guidelines pubblicate tempestivamente e volte a chiarire ad aziende, enti pubblici e professionisti del settore come il Gdpr andrà ad impattare la loro sfera di competenza ed il loro settore di riferimento. Ciononostante, è bene ricordarsi che, molto spesso, l’eccesso di zelo in ambito data protection può causare risultati imprevedibili, specie quando gli interlocutori seduti a discutere attorno al tavolo non sono più soltanto i 28 (rectius, 27) rappresentanti degli Stati membri Ue, ma anche i numerosi stakeholders di matrice Europea e, soprattutto, extra-Europea. Questi ultimi, infatti, dopo essere stati tra i primi a chiedere regole sul digitale condivise e uguali per tutti a livello continentale, vogliono ora capire – anche, giustamente, esercitando la propria influenza – in che direzione stia andando l’Europa sul fronte della libera circolazione dei dati personali e delle informazioni.
Per quanto riguarda le Linee Guida del Garante, dunque, il fronte è ben diverso. Quanto contenuto nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” ricalca infatti in maniera coerente i provvedimenti dell’Article 29 Working Party fino ad oggi disponibili e, in misura minore, sembra fornire una prima indicazione di massima dei settori nei quali la giurisprudenza del Garante potrà ancora costituire un punto di riferimento utile.
L’approccio “six steps” del Garante prende in considerazione quelle che sono le categorie generali del Gdpr, fornendo indicazioni specifiche e suggerendo azioni operative che possono essere intraprese sin d’ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi ulteriori del legislatore nazionale.
Tra queste, in particolare, rilevano quelle relative in materia di: informativa e consenso dell’interessato, bilanciamento tra i nuovi diritti introdotti dal Gdpr (portabilità dei dati, nuovo diritto all’oblio) e quelli attuali previsti dal Codice Privacy; ma anche in tema di ruoli privacy (tra tutti spicca l’obbligo di nomina del Dpo – Data Protection Officer) e oneri di compliance nel trattamento dati.
Nello specifico, specie con riguardo a questi ultimi aspetti, dalle Linee Guida emerge che non tutto ciò che è attualmente parte del quadro regolamentare nazionale in materia data protection andrà rivisto in ottica Gdpr. Ad esempio, l’inquadramento privacy del ruolo dei cosiddetti “incaricati del trattamento” rimarrà sostanzialmente invariato, sebbene dovrà essere riletto in chiave 2.0; l’adesione e l’adozione di codici deontologici da parte di titolari e responsabili sarà fortemente incoraggiata, sia a livello nazionale che Europeo; le decisioni di adeguatezza sul trasferimento dei dati adottate fino ad oggi dalla Commissione resteranno in vigore anche post-maggio 2018; il consenso validamente ottenuto ai sensi dei requisiti della normativa Italiana prima della data di entrata in vigore del Regolamento sarà considerato valido; e così tante altre cose.
L’ottica di conservazione e selezione ragionata di quei principi e norme del Codice Privacy che verranno sostituiti dal Regolamento dovrà essere quanto più chirurgica e puntuale possibile, al netto di evitare pericolosi “colpi di testa” interpretativi di cui l’esempio tedesco rappresenta il caso, ad oggi, più lampante e discutibile.
Tuttavia, se da un lato è vero che l’approccio cauto del Garante potrebbe rivelarsi vincente nel corso dei prossimi mesi di febbrili lavori sulle nuove guidelines Europee, è altrettanto certo che la vera partita nazionale si giocherà sulla (eventuale) deregulation data dallo sfoltimento dell’attuale giurisprudenza dell’Autorità.
Infatti, ancora non è chiaro cosa ne sarà di tutti quei provvedimenti, linee guida, autorizzazioni e codici deontologici che – ad oggi – verrebbero quasi certamente spazzati via dall’entrata in vigore delle nuove regole privacy Europee. Su questo punto la chiarezza è d’obbligo e, anzi, prima arriveranno feedback a riguardo e meglio sarà per tutti quei soggetti interessati dagli oneri di compliance privacy, dalle aziende agli enti pubblici, fino a professionisti e consumatori.
In tal senso, la palla è nel campo del Garante italiano e, in attesa di ulteriori sviluppi a livello europeo, pare anche un peso non da poco.
