Cosa resta della tumultuosa corsa all’adeguamento in Italia, in Europa e nel mondo al Regolamento generale sulla libera circolazione e protezione dei dati personali (n. 679/2016, la nuova legge sulla privacy, il c.d. Gdpr)? Il 25 maggio – data di piena applicazione del Gdpr che come è ormai noto non solo agli addetti ai lavori è stato approvato a Bruxelles e Strasburgo ed è entrato in vigore già il 24 maggio 2016 e di contestuale disapplicazione (e non di abrogazione) del d.lgs. n. 196/2003 (il c.d. Codice Privacy) – è trascorso da poche settimane e all’ansia da deadline che ha letteralmente attanagliato aziende, pubbliche amministrazioni, professionisti per mesi interi, in un delirio schizofrenico (e per molti anche economicamente costoso) in cui tutto è stato rimesso in discussione, quando invece sarebbe stato molto semplice e possibile procedere per tempo all’esecuzione di programmi di compliance solidi e ragionevoli e con pochi investimenti, è subentrata, adesso, tra addetti ai lavori, operatori, esperti stagionati e new comers, l’imbarazzo di trovarsi di fronte a nuove attività, che producono compiti, scaturiscono da policies e procedure, generano obblighi e rischi di nuove e più pesanti sanzioni, su una scala non più nazionale, dove bastava guardare l’andamento dell’Autorità Garante Privacy italiana per prenderne le misure e comportarsi di conseguenza.
Il Gdpr è norma europea con ambizioni di applicazione su scala globale – anche grazie a quel comma 2 dell’art. 3 che prevede l’applicabilità delle sue norme non solo a chi, persone fisiche e giuridiche, sia stabilito nel territorio dell’Unione Europea, ma anche a quanti pur non avendo alcuno stabilimento/legal entity in UE, offrano beni e servizi online, anche gratuiti, a persone fisiche (c.d. interessati) stabiliti in Europa.
Questa inversione del principio di stabilimento, che determina una attrazione della legge applicabile, del foro competente e della giurisdizione al luogo in cui si trova l’interessato al trattamento e non più al luogo in cui il titolare dello stesso sia stabilito, ha generato l’obbligo di adeguamento al Gdpr anche a quelle multinazionali americane, cinesi, giapponesi, australiane che fanno business online con l’Europa senza aver creato una qualche forma stabile di impresa nel continente.
La dimensione europea e globale al tempo stesso della disciplina sulla c.d. privacy (che da tempo, chi mi segue lo sa e magari penserà che mi sto ripetendo per l’ennesima volta, si occupa sempre di meno di diritto alla riservatezza in senso stretto, declinando invece sempre più il tema dell’uso dei dati altrui e della relativa allocazione e circolazione svolta in occasione di ogni attività svolta da un titolare del trattamento/data controller, attraverso i suoi meccanismi fatti di obblighi, diritti, procedure, principi e sanzioni) ha introdotto anche una nuova figura paneuropea di regolatore: l’Edpb, European Data Protection Board, che dal 25 maggio è entrato in funzione ed ha preso il posto del vecchio Gruppo dei Garanti europei sulla privacy, (il c.d. Gruppo Art. 29, di cui per anni è stato indimenticato presidente il professor Stefano Rodotà, di cui si celebra il primo anniversario della sua scomparsa proprio in questi giorni).
Dell’Edpb fanno parte rappresentanti di tutti e 28 i Garanti dei Paesi dell’Unione, oltre al Presidente dell’Edps, European Data Protection Supervisor (il Consigliere Giovanni Buttarelli, altro padre nobile della normativa italiana ed europea sulla privacy, per anni Segretario generale del Garante italiano) grande sponsor del Gdpr. L’Edpb in concreto assomma in sé molti dei poteri regolatori che prima erano demandati alle singole Autorità nazionali, ponendosi quindi come istituzione a cui guardare non solo per capire le linee evolutive, interpretative ed applicative del Gdpr, ma anche per saggiare la vera capacità di presidiare i mercati dei dati e di far rispettare con autorevolezza e giustizia, in raccordo con il Garante italiano e la Guardia di Finanza, le norme.
Il tutto è peraltro condito da una sostanziale incertezza derivante dall’ancora incompleto quadro normativo nazionale, dato che si è in attesa dell’approvazione, da parte del Governo italiano, del decreto delegato di armonizzazione del sistema giuridico italiano al Gdpr, e che dovrebbe determinare il finale destino del Codice Privacy in combinato disposto con le nuove norme introdotte dal regolamento europeo. Ciò cambia poco rispetto alla vigenza e alla piena applicabilità del Gdpr e ai relativi diritti e doveri, ma potrebbe non essere di secondaria importanza per capire, ad esempio se le sanzioni penali resteranno o no. E se sì, come; se le norme in materia di trattamento dei dati particolari (sensibili, giudiziari, biometrici, genetici) saranno assistite da qualche ulteriore presidio, tipo le note autorizzazioni generali del Garante oppure no; e via così.
Come più volte detto, la rivoluzione introdotta dal Gdpr consiste innanzitutto nella nuova prospettiva di accountability: il titolare del trattamento non è più tenuto al rispetto di alcune misure minime, ma deve essere in grado di comprovare l’adozione di misure e processi idonei a garantire il rispetto della privacy degli interessati. Non è più solo questione di compliance alla normativa, ma anche capacità di dimostrare di aver ragionato e consapevolmente adottato una scelta. Accountability è qualcosa di più dell’affidabilità: è consapevolezza della responsabilità, autorevolezza e affidabilità al tempo stesso.
La più importante componente di questo costante esercizio di attenzione per i diritti della persona è la ‘Valutazione di Impatto per la Protezione dei Dati’ (Data Protection Impact Assessment – Dpia).
La Dpia è una procedura finalizzata a descrivere il trattamento, mettendone a fuoco finalità e mezzi, e a valutarne, in ottica prudenziale, la necessità e la proporzionalità, così da facilitare la gestione e la minimizzazione dei rischi che ne possono derivare per i diritti e le libertà degli interessati. Essa è prevista dall’art. 35 del Gdpr, laddove stabilisce che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Nello svolgere la Dpia ogni azienda dovrà tenere a mente la natura globale della valutazione; essa dovrà giocoforza riguardare il settore legale (ad esempio per valutazioni riguardo alla liceità del trattamento) quanto quello organizzativo (adeguatezza dei controlli aziendali) e tecnico (l’adozione di controlli fisici ed informatici).
Un’altra importante – ma spesso trascurata – caratteristica della Dpia riguarda la necessità del suo continuativo aggiornamento: come già precisato dal WP, lo “svolgimento della Dpia è un processo continuativo e non un’attività una tantum”. Per tale motivo le aziende – magari sotto la sorveglianza del Dpo, ove nominato – devono attuare processi di riesame e controllo periodico, al fine di adeguarne i contenuti e le conclusioni alle variazioni dei rischi derivanti dal trattamento.
Lo svolgimento della Dpia spetta al titolare del trattamento e non al Dpo, come erroneamente si crede. Il Dpo può essere chiamato a fornire la sua consulenza in merito, ma in prima ed ultima istanza è il titolare, con le sue strutture tradizionali (legal, compliance, marketing, IT, sales, organizazion) ed i suoi consulenti (legali e IT) che svolge la Dpia, chiedendo al Dpo di dire la sua.
Il risultato dovrà perciò essere un vero e proprio documento contenente tutti gli elementi e le valutazioni sopra esposte, di importanza cruciale sia in caso di ispezioni che per dimostrare di aver adottato tutte le necessarie misure per ridurre al minimo i rischi.
Solo qualora, all’esito del processo di valutazione, il titolare non ritenga che le misure identificate siano ragionevolmente sufficienti a ridurre i rischi ad un livello accettabile, perché magari il Dpo ha manifestato perplessità, egli dovrà consultare il Garante per la Privacy ai sensi dell’art. 36, prima di poter procedere all’implementazione del relativo trattamento, attraverso il meccanismo della ‘Consultazione preventiva’. L’Autorità, ricevuto formale interpello da parte del titolare e ritenendo che il trattamento previsto non sia conforme alle prescrizioni del Regolamento, con particolare riferimento all’inidoneità delle misure identificate dal titolare per minimizzare i rischi, dovrà fornire a quest’ultimo un parere scritto, alla luce delle cui conclusioni il titolare dovrà rielaborare la Dpia portata in consultazione.
Insomma, la storia e la fenomenologia della Dpia è qualcosa che deve essere ancora scritta. Per il momento ci limitiamo a registrarne la rilevanza e la complessità, invitando tutti a mettere in piedi processi adeguati che non lascino impreparata l’azienda alla prima occasione utile.