Sì alle sinergie, no alla fusione. Questa, in sintesi, la posizione dell’avvocato Rocco Panetta – esperto di nuovo tecnologie, privacy e Tlc, nonché Country Leader per l’Italia della principale associazione internazionale di professionisti della privacy, la Iapp (International Association of Privacy Professionals) in merito alla proposta di “matrimonio” fra l’Agcom e il Garante Privacy avanzata dal Commissario dell’Autorità per le Garanzie nelle Comunicazioni Antonio Nicita, per dare vita ad un’Authority unica sul Digitale.
Avvocato Panetta, perché non concorda con la fusione?
Sono certamente a favore di una sinergia tra il Garante e l’Agcom, anche in virtù della rilevanza assunta dalle nuove forme di concentrazione digitale e del loro rapporto con la concorrenza. Ricordo ancora, quando ero in forze al Garante privacy, i giorni in cui queste due Autorità per la prima volta hanno adottato un provvedimento gemello e speculare sul Dbu (Data Base Unico) ed i relativi elenchi telefonici, frutto di tavoli di collaborazione e non solo di consultazione. Bisogna però tenere conto di un dato di fatto, ovvero che il Gdpr ha inserito il Garante all’interno di una complessa struttura paneuropea facente riferimento, in ultima analisi, all’Edbp; inoltre, il Decreto 101/2018 ha appena ristrutturato l’Autorità Garante, ampliandone i poteri e le funzioni, che invece rischierebbero di andare diluiti in una prospettiva di fusione. Una fusione tra le due Autorità rischierebbe oggi di spostare il focus dalla protezione dei dati proprio ora che la privacy è entrata nel dibattito quotidiano anche tra i non addetti ai lavori.
Entrando nel merito della privacy, nei giorni scorsi la Cnil francese ha annunciato una sanzione da 50 milioni a carico di Google per non aver rispettato la normativa sul Gdpr. Come stanno le cose?
Innanzitutto, mi preme sottolineare che questa sanzione, per quanto senza dubbio simbolicamente importante in relazione alla sua entità, non è né la prima irrogata ai sensi del Gdpr, né la prima ad aver superato lo soglia psicologica del milione di euro. Infatti, già il Garante portoghese (Comissão Nacional De Protecção De Dados) si era attivato alla fine del 2018 con una sanzione passata più in sordina, senza contare che nel solo 2017, il nostro Garante Privacy era arrivato a sanzionare un gruppo finanziario per ben 11 milioni di euro sulla base del “solo” Codice della Privacy. Peraltro, a ben guardare, la sanzione comminata a Google sbiadisce se paragonata ad esempio alla multa irrogata dall’Antitrust europeo ad una multinazionale finanziaria – 570 milioni di euro a Mastercard – o anche solo considerando i valori raggiungibili ai sensi del Gdpr sulla base massima del 4% del fatturato mondiale dell’azienda.
Quali sono dunque le novità concrete?
È più il merito del provvedimento a destare interesse, dunque. La Cnil, il Garante francese, svolge infatti delle interessanti affermazioni in tema di competenza e rispetto al complicato meccanismo di coerenza tra autorità garanti europee in materia di privacy, distinguendo tra la nozione di stabilimento principale, che va di pari passo con il potere decisionale circa le finalità e i mezzi del trattamento dei dati, dal mero forum shopping. Anche in tema di identificazione dell’Autorità di controllo capofila le affermazioni della Cnil appaiono degne di nota: essa non avviene in automatico come finora molte aziende (e molti consulenti) hanno ritenuto, ma è subordinata ad alcuni adempimenti da parte delle società stesse, nonché al dialogo tra le varie Autorità europee. In questo caso, ad esempio, mancava una comunicazione relativamente all’Autorità capofila. In generale, però, nel provvedimento si potrebbe individuare un chiaro sottotesto.
Si riferisce al fatto che Google non è l’unica azienda a cui il provvedimento è rivolto?
Esatto. Emerge chiaramente un tema su cui insisto da tempo: le aziende tecnologiche devono dedicare un’attenzione estrema “all’architettura generale” (per usare le parole della Cnil) che adottano per gestire la privacy e i dati personali di milioni di persone. Oggi, fornire un dato personale significa entrare all’interno di un ecosistema complesso, quasi labirintico: per questo le informative devono risultare facilmente accessibili e soprattutto facilmente comprensibili. Oggi, peraltro, il Gdpr permette agli operatori di scrivere informative semplificate by design e by default, senza dover aspettare il parere favorevole del Garante.
Una delle contestazioni riguarda, appunto, l’informativa e la raccolta del consenso. Oltre che di difficile comprensione, spesso gli utenti non leggono il contenuto di questi lunghi testi. Hanno ancora un valore? E soprattutto come si esce dall’empasse?
A mio parere, il valore è senz’altro cresciuto nel tempo: all’aumentare dei trattamenti, dei collegamenti tra di essi e del loro valore economico deve anche aumentare la trasparenza. E la necessità di maggiore trasparenza richiama la centralità informativa dell’utente. Spesso, non solo i servizi sono impostati nel senso di un opt-out per l’acquisizione del consenso (con un pre-flag by default), ma è presente anche una sorta di opt-out informativo, come se le informazioni da fornire fossero un onere successivo all’iscrizione o alla dazione dei dati, e non il presupposto per una scelta consapevole. Per fare un esempio, le informazioni fornite dovrebbero chiaramente indicare quali trattamenti si basano sul consenso e quali su presupposti differenti, come il legittimo interesse.