“Salutato il 2020, è tempo di guardare indietro per poter meglio fare alcune previsioni per il futuro. Nel mondo della protezione dei dati personali le sfide non sono mancate, basti pensare alle istanze introdotte dal Covid-19, alla sentenza “Schrems II” o all’insediamento del nuovo Garante per la Protezione dei dati personali. A queste il neonato 2021 ha già iniziato ad aggiungere nuove ed intense occasioni di dibattito, una su tutte la questione delle modifiche all’informativa privacy di WhatsApp, sui cui ha immediatamente preso posizione anche il nostro Garante Privacy“: l’avvvocato Rocco Panetta – tra i massimi esperti di diritto delle nuove tecnologie e avvocato della data economy – fa il punto con CorCom sull’anno appena archiviato ma soprattutto sulle prossime sfide che attendono il settore della protezione dei dati personali.
Avvocato Panetta, che anno è stato il 2020 per la privacy?
È stato un anno intenso, esattamente come quelli che l’hanno preceduto. E questo a differenza e a dispetto di quanti (per fortuna pochi) considerano la privacy come un fenomeno legato esclusivamente alla evoluzione di una normativa. La protezione dei dati personali è una materia sistemica ed in verità antica quanto lo sono le organizzazioni sociali in cui dalla notte dei tempi si sviluppa la vita e la personalità degli essere umani, è il problema trasversale specchio delle vicende della società, declinata ovviamente attraverso norme, giurisprudenza e dottrina. Ed è chiaramente sensibile e recettiva a variabili come una sentenza dirompente (nel 2020 ciò è avvenuto con la pronuncia della Corte di Giustizia dell’Unione Europea che ha invalidato il Privacy Shield) o un fenomeno globale quale l’emergenza Coronavirus. La verità è che l’anno che ci lasciamo alle spalle è stato per molti versi drammatico e per chi si occupa di conciliare diritti e business, come me, la protezione dei dati personali si è trovata al centro di un profondo e diffuso coinvolgimento. Scendendo poi un po’ più nel dettaglio, il 2020 ci ha lasciato in eredità momenti estremamente importanti: dal cambio ai vertici dell’Autorità Garante, ai primi grandi provvedimenti sanzionatori, dalla sentenza “Schrems II”, ai passi iniziali di Cina e Stati Uniti verso l’adozione di una normativa sistematica sulla protezione dei dati personali come quella europea: tanta roba davvero.
L’emergenza Covid-19 ha messo alla prova tutte le normative, diceva, compresa quella sulla privacy. Il Gdpr ha superato l’esame di maturità?
In questo periodo abbiamo avuto l’ennesima prova che la normativa sulla protezione dei dati è una normativa a grande rilevanza costituzionale. Per chi studia questa materia da tanti anni, nutrendosi delle lezioni e del retaggio di Stefano Rodotà, questa non è certo una sorpresa. Ma è importante che sottolineare che la data protection riguarda trasversalmente tutti i diritti fondamentali. Diritti che hanno subito una radicale e lineare compressione a causa degli eventi straordinari che hanno caratterizzato l’anno appena trascorso. Uno su tutti il lockdown, un confinamento che, al di là del disagio e degli effetti depressivi sull’economia e sulla psiche di tutti di noi, è stato atto di imperio – avvenuto comunque nel rispetto dei meccanismi istituzionali e degli equilibri costituzionali – che ha avuto un’incidenza violenta sul godimento di molti dei diritti e delle libertà costituzionalmente garantiti. Lo scorso anno, a tal riguardo, ho avuto modo di riflettere molto su questa incidenza ed ho usato spesso l’espressione: il Covid è un primo vero stress test della Costituzione del 1948. Pensiamo al diritto alla libera circolazione sul territorio, alla libertà di culto religioso, al diritto al lavoro e all’istruzione o allo stesso diritto alla salute. Una compressione forte e diffusa che ha visto il Gdpr al centro di questa tempesta perfetta. Tutti i provvedimenti con i quali sono state sancite restrizioni hanno trovato nella stretta sulla libera circolazione delle informazioni personali uno strumento primario. Abbiamo conosciuto le autocertificazioni per muoverci, siamo tornati ad una raccolta massiccia di dati su moduli cartacei, abbiamo assistito ad una maggiore disponibilità e interrelazione tra banche dati, come nel caso -poi infelice- di Immuni. Il GDPR è stato chiamato in causa per ciascuna di queste limitazioni alle libertà fondamentali e, a mio modo di vedere, ha perfettamente funzionato. E di questo possiamo trovare conferma nelle prese di posizione della autorità europee, ma anche nelle azioni intraprese dalle aziende per fronteggiare l’emergenza Covid-19, tutte passate al vaglio dei Data Protection Officer (DPO), sempre puntualmente coinvolti, esattamente come richiesto dal Regolamento europeo.
Passando ad oggi, quali saranno secondo lei i trend per la privacy nel 2021?
La prima grande sfida sarà comprendere come i regolatori e le autorità reagiranno allo strapotere delle piattaforme sociali e a ciò che sta accadendo nel mondo di internet. In tal senso, la recentissima azione del nostro Garante nell’ambito delle novità annunciate da WhatsApp, le reazioni di abbandono di massa – anche un po’ isteriche – e l’annunciata retromarcia della piattaforma, rappresenta un primo segnale in questa direzione. La seconda sfida è la Brexit. E sarà importante capire se e come questo paradigma porterà ad un riassestamento dei flussi internazionali di dati. Terzo mega trend sarà sicuramente il tanto atteso Regolamento ePrivacy, con le mosse della Presidenza portoghese che hanno dato nuova linfa all’iter normativo. Quarto grande tema saranno i cookies, le relative informative e gli altri mezzi di tracciamento sul web. Su questo fronte attendiamo con grande interesse gli esiti della consultazione pubblica italiana. Infine – ed ecco l’ultimo trend – stiamo aspettando il tanto annunciato big enforcement che dovrebbe prima o poi manifestarsi tra European Data Protection Board (Edpb) e qualche autorità nazionale più attiva nelle ispezioni e nelle sanzioni.
Il 2020 è stato un anno importante anche per il nostro Garante, con l’insediamento del nuovo Collegio presieduto da Pasquale Stanzione. Qual è il suo giudizio sulla squadra?
Personalmente ho molta fiducia in questo nuovo Garante. Abbiamo tanto patito per averlo, restando ovviamente grati al Collegio precedente, guidato da Antonello Soro ed Augusta Iannini e dalle altre componenti, che con grande generosità è andato ben oltre il proprio mandato. Nel nuovo Collegio vedo continuità su alcuni temi e sulla volontà di essere molto attento alle dinamiche nazionali e internazionali (ne è una prova il tempismo con il quale si espresso sulla questione WhatsApp). Le prime interviste rilasciate dal Prof. Stanzione mostrano saggezza ed equilibrio, tanto nei riferimenti alla tradizione dell’Autorità, quanto nel tentativo di cogliere le nuove sfide. Grandi novità anche sul fronte della comunicazione: è la prima volta che i componenti del Garante usano i media aprendosi alla comunità non sottraendosi al confronto e alla comparazione ed anticipazione dei temi. Ci sono molte aspettative, anche perché i prossimi anni non saranno di transizione tra due regimi, come avvenuto per il precedente Garante. Ora tutti attendono una Autorità che aiuti il mercato, le pubbliche amministrazioni ed i cittadini a fare un buon uso dei dati che trattano. Ma è sull’attenzione al mercato dei dati, alla cosiddetta data economy, che si gioca la vera partita.
Quali dovrebbero essere le linee di azione e di intervento del Garante per il 2021?
Il mio auspicio è che questo Collegio, nel tutelare la sfera individuale, ponga anche molta attenzione alle esigenze delle imprese. Con il Gdpr le aziende hanno finalmente deciso di investire sulla protezione dei dati personali. Faccio questo mestiere da molti anni, sia come avvocato consulente che come Dpo esterno, e ho notato che il passo è decisamente cambiato: la privacy è oggi tra le prime cinque priorità di ogni impresa, e non solo sui temi della compliance. Si tratta di un patrimonio importante e l’Autorità deve continuare nel dialogo con gli operatori, aprendo tavoli e coinvolgendo direttamente le aziende. L’esperienza dei Codici di condotta qui può fare da guida. Ma deve soprattutto ricordare che ogni propria azione ha un peso anche economico. È dunque fondamentale l’analisi dell’impatto economico della regolamentazione, perché un intervento a tutela dei diritti fondamentali che non tenga conto che quegli stessi diritti sono declinati nel mondo della data economy rischia di creare distorsioni nei mercati e costi che oggi nessuno può permettersi, con un Paese che non cresce da vent’anni e che ora dovrà riprendersi da questa lunga notte del Covid. Oggi necessitiamo di un Garante attento a tali aspetti. E i segnali sono ottimi. Vedo anche che i componenti del nuovo Collegio sono aperti al mondo della comunicazione e sono presenti sui social: questo è molto positivo perché aiuta gli operatori ad avere ulteriori bussole per la navigazione. Sono fiducioso che questo Garante saprà far bene. L’unica raccomandazione che mi sento di dare da persona che conosce l’Autorità da 25 anni è quella di presidiare l’Europa. Ciò significa non solo essere istituzionalmente un Garante europeo, ma diventare un protagonista in Europa, sulla scia di quanto realizzato da Rodotà e Buttarelli. Il nuovo Garante ha le carte in regola per essere di nuovo ascoltato e autorevolmente riconosciuto e rispettato in Europa e nel mondo. In qualità di Country Leader per l’Italia della International Association of Privacy Professionals (Iapp) posso dire che non mancherà da parte nostra ogni possibile iniziativa volta a facilitare e supportare qualsiasi la presenza, le relazioni internazionali, il messaggio ed a rappresentare nella giusta dimensione il contributo dell’Autorità nel mondo. Il 28 gennaio sarà il Privacy Day mondiale, introdotto dal Consiglio d’Europa e ripreso con forza in tutto il mondo proprio dalla Iapp che dedica l’intero mese di gennaio a tale importante evento. Ebbene, noi in Italia faremo un importante evento online, in seno ai popolari KnowledgeNet della Iapp, in cui ospiteremo la Vice Presidente del Garante, la Prof. Ginevra Cerrina Feroni, in una discussione a tutto campo proprio sulle linee d’azione dell’Autorità in questo primo anno di mandato».
È di qualche giorno l’intervento del Garante sulle controverse modifiche all’informativa privacy di WhatsApp. E il dibattito tra gli utenti in Rete non sembra cessare. Qual è la sua posizione a riguardo?
Questo è un tema importantissimo e sono lieto che se ne parli. Le informative devono riportare con estrema chiarezza e completezza tutte le informazioni prescritte dalla legge, ma per avere valore e funzionare è necessario che siano anche comprensibili. Sono contento che il nostro Garante sia stato tra i primi a segnalare che probabilmente in questa operazione c’è qualche elemento di poca trasparenza. Senza poi scendere nel merito della questione, mi ha fatto anche piacere vedere tanto interesse e dibattito in Rete. Gli utenti stanno pian piano comprendendo che non devono cedere alle sirene del tutto facile e del tutto gratuito. Negli ultimi giorni ho ricevuto diversi messaggi, anche da persone non esperte in materia, per conoscere il mio pensiero sulla vicenda di WhatsApp (società che peraltro in passato, nel 2013, abbiamo assistito come Panetta & Associati proprio davanti al Garante in merito all’uso dei dati che faceva quella che allora era una semplice start up) e in tanti mi hanno parlato dei propri dati, dei propri diritti e delle proprie libertà. Il fatto che in molti si stiano ponendo delle domande, cercando anche un “piano b”, è qualcosa di incredibile. Questo significa che l’opera di chi ha creduto nella rilevanza sociale della protezione dei dati e nei suoi risvolti di carattere anche economico sta finalmente conquistando la realtà. Stiamo parlando di un fatto che coinvolge centinaia di milioni di cittadini in Europa ed è quindi positivo che ci sia tutto questo fermento e che la nostra Autorità, con perfetto tempismo, abbia sollevato la questione per potarla al centro della discussione dell’Edpb.