Con il voto di ieri il Parlamento Europeo ha cementato il già forte sostegno dato in precedenza alla riforma sulla Protezione dei dati personali dei cittadini europei voluta e proposta dalla Commissione europea a gennaio 2012. Un altro elemento a sostegno della direzione intrapresa è il largo margine con cui il provvedimento è passato, il chè conferma quanto la necessità di questa riforma sia sentita, soprattutto per il fatto di garantire uniformità.
Il Regolamento, infatti, una volta approvato sarà legge in tutti i 28 Stati membri senza che ciò necessiti alcun recepimento da parte loro. Il pacchetto di riforma si compone di due atti legislativi, un Regolamento, appunto, e una Direttiva, che insieme mirano a rafforzare la tutela dei dati personali sia all’interno dell’UE sia se gestiti da soggetti extra UE.
Ma vediamo quello che sarà lo scenario futuro dell’iter legislativo del provvedimento. La decisione presa ieri dal Parlamento si assesta in un periodo particolare, ossia a poco più di 2 mesi, dalle elezioni europee che potrebbero cambiare la composizione del Parlamento.
Per diventare legge la proposta di Regolamento dovrà essere votata dal Consiglio UE in codecisione. Il 4 marzo scorso il Consiglio ha discusso la riforma concentrandosi sul suo ambito territoriale e sugli aspetti relativi ai trasferimenti internazionali dei dati. In particolare, si è confermato il concetto secondo cui le società non europee quando offrono beni e servizi ai consumatori europei, dovranno applicare la normativa UE sulla protezione dei dati. La prossima riunione del Consiglio sarà a giugno 2014, ma alla luce delle elezioni è probabile che si dovrà attendere il secondo semestre del 2014 per giungere ad una definitiva approvazione.
A cosa porterà questa riforma per le imprese e i cittadini europei?
Secondo alcune stime il valore potenziale dei dati dei cittadini europei raggiungerà il trilione di euro nel 2020 e pertanto rafforzare gli standard di protezione comporterà numerose opportunità di business. Come accennato poc’anzi, la nuova normativa avrà in primo luogo l’obiettivo di superare l’attuale mosaico legislativo in Europa, spesso incoerente e scarsamente applicabile al trasferimento dei dati intra o extra EU. Un altro importante obiettivo sarà quello del “One Stop Shop”, ossia la possibilità per cittadini o imprese di avere un unico interlocutore (Autorità di vigilanza). Ciò sarà ancora più conveniente per le aziende extra UE che si potranno interfacciare con un unico soggetto, anziché 28.
Inoltre, obiettivo non da poco, è l’inasprimento delle regole e delle sanzioni. I regolatori europei saranno dotati di forti poteri: le autorità di protezione dei dati potranno applicare multe alle aziende che non rispettano le norme UE fino al 2 % del loro fatturato annuo globale; e, infine, le Società europee con procedure forti per la protezione dei dati personali avranno un vantaggio competitivo su scala globale.
Un aspetto molto importante è quanto previsto a favore delle Pmi.
La riforma della protezione dei dati è, infatti, orientata a stimolare la crescita economica riducendo i costi e la burocrazia per le imprese europee, soprattutto per quelle piccole e medie imprese. Oltre ai vantaggi legati al fatto di avere un’unica legislazione, la Commissione ha proposto di esentare le Pmi da diverse disposizioni del Regolamento sulla protezione dei dati e ciò è una grande innovazione, considerato che la direttiva del 1995 sulla protezione dei dati, attuata in Italia con il d.lgs 196/2003, si applica a tutte le imprese europee, indipendentemente dalle loro dimensioni.
Secondo le nuove regole, le Pmi potranno beneficiare di almeno quattro riduzioni della burocrazia in materia di dati personali. Innanzitutto non saranno obbligate a nominare un Responsabile della protezione dei dati (Dpo), nella misura in cui il trattamento dei dati non è la loro attività di core business. Le notifiche alle autorità di vigilanza sono state definitivamente rottamate. Qualora le richieste di accesso ai dati fossero ripetitive ed eccessive le Pmi potranno imporre una tassa di accesso. Infine, le Pmi non avranno alcun obbligo di effettuare una valutazione di impatto se non c’è un rischio specifico.
Un simile approccio sembra tendere ad adeguare la normativa ai rischi reali: più aumenta il rischio legato ai dati personali, più le norme e le sanzioni saranno stringenti.
Se da una parte, però, i benefici sono tanti e concreti, non si deve dimenticare che le imprese italiane, soprattutto le Pmi, sono attualmente in grande svantaggio rispetto alle maggior parte delle “colleghe” europee. Se, infatti, le nuove regole solleveranno alcune aziende dalle principali incombenze, sarebbe opportuno che sin da ora si organizzassero a migliorare la compliance aziendale in materia di Privacy al fine di poter realmente competere sulle opportunità di business che si apriranno.