REGOLAMENTO UE

Privacy, Panetta: “Ma l’accordo politico da solo non basta”

L’avvocato: “Da un lato il regolamento innova ed è un cambiamento positivo. Ma sono molti i punti deboli. Certo che un’attività di lobbying internazionale come questa raramente si era vista: è la prova che oggi il mercato dei dati personali è il più forte”

Pubblicato il 17 Dic 2015

sicurezza-dati-hacker-151124115120

Intervistiamo l’avvocato Rocco Panetta, socio dello Studio legale NCTM e Segretario generale dell’ICF – Italian Compliance Forum, uno dei massimi esperti a livello internazionale sui temi di Internet, della privacy, della cybersecurity ed in generale della compliance.

E’ stato raggiunto l’accordo sul nuovo regolamento europeo sulla protezione dei dati. Di che si tratta esattamente?

Occorre specificare e sottolineare che ciò che si è raggiunto in queste ore è l’accordo politico tra i rappresentanti di Commissione, Consiglio e Parlamento europeo sulla proposta di Regolamento sulla protezione e libera circolazione dei dati personali, ossia sulle nuove norme sulla c.d. privacy. Oggi (17 dicembre 2015) peraltro il comitato LIBE del Parlamento ha anche formalmente approvato tale accordo politico e nei prossimi giorni altrettanto dovrebbe fare il Consiglio. A regime, ossia tra circa un paio di anni, laddove le istituzioni europee dovessero formalmente adottare e votare la proposta di Regolamento, frutto dell’accordo di queste ore, a quel punto potremo dire addio definitivamente alla Direttiva 95/46/CE, madre delle leggi nazionali vigenti nei 28 Paesi dell’Unione Europea in materia di privacy, le quali dovranno essere modificate per uniformarsi al Regolamento. Si va dunque verso una radicale riforma delle leggi vigenti sulla privacy. Per compiersi tutto ciò occorrerà tuttavia aspettare come minimo la metà del 2018.

Cosa cambia?

Sembra paradossale ma posso spingermi a dire che cambia tutto e niente, al tempo stesso, dipende molto dai punti di vista. Il Regolamento innova senz’altro e nel dettaglio le differenze rispetto al regime vigente sono molteplici, ma al tempo stesso i cardini principali della Direttiva 95/46/CE restano immutati. Sentiremo dunque ancora parlare di informativa, consenso, autorizzazioni, Autorità Garante, ed in più sentiremo parlare di privacy officer, di profilazione, di pseudonimizzazione, di Garante europeo, di sanzioni rapportate al fatturato globale di una società e così via. Il testo è frutto di un lungo lavoro e di un grande compromesso politico. Quattro anni di negoziazioni e voti da parte delle diverse istituzioni dell’Unione competenti ed una massiccia attività di lobbying internazionale come non si era mai visto a Bruxelles fino ad ora. E’ questa la prova che il mercato dei dati personali è il più importante e ricco tra quelli che caratterizzano le società contemporanee.

In particolare quali sono le novità per cittadini, PA e imprese italiane?

I cittadini avranno una maggiore copertura e protezione dei propri dati personali. Il principio che aiuta a stabilire la legge applicabile allarga i suoi confini all’infinito ed ora si applicherà la normativa europea indipendentemente dalla sede del soggetto che tratta i dati, in ragione invece del luogo in cui beni e servizi connessi al trattamento dei dati saranno offerti. PA ed imprese dovranno prestare molta più attenzione alle politiche del trattamento dei dati – cioè alla cosiddetta privacy – ad i relativi rischi e alle molteplici procedure di salvaguardia da cui trarranno beneficio sia le imprese, sia i soggetti pubblici, sia i cittadini.

Sembrerebbero molte le novità. A suo parere entriamo finalmente in una fase in cui le norme sono tech friendly oppure tecnologia e leggi continuano a viaggiare su binari paralleli?

Qualche passo avanti in tale direzione con il Regolamento sarà fatto. Vengono introdotti in maniera forte principi che obbligano chiunque tratti dati a pensare in maniera tech friendly, da un lato, ma tenendo a mente dall’altro che i dati personali sono la base per il godimento di tutti i diritti fondamentali che l’Europa ci riconosce quali cittadini. I meccanismi di valutazione dell’impatto della tecnologia sull’uso dei dati – la cosiddetta valutazione di impatto privacy – così come i principi della privacy by design vanno senz’altro in questa direzione. Le imprese avranno maggiori strumenti per valorizzare i dati che trattano per le diverse finalità e potranno meglio tutelarsi in caso di data breach.

Dunque un giudizio positivo. Non vede punti di debolezza?

E’ sempre positivo quando i 28 Paesi dell’Unione, attraverso le tre istituzioni che in Europa ci rappresentano, trovano un accordo. Se poi questo accordo ha l’ambizione di disciplinare le informazioni che ci riguardano e che sono le basi del godimento delle libertà che ci vengono riconosciute dalle carte costituzionali nazionali e dalla Carta dei diritti fondamentali dell’UE, allora c’è da essere, come cittadini, soddisfatti. Tuttavia, i punti deboli dell’accordo e della bozza di Regolamento sono tanti. Uno su tutti: da sempre ho ritenuto inadeguato lo strumento del Regolamento alla materia delle libera circolazione delle informazioni. Non ci dimentichiamo che l’Ue ha ancora davanti a sé molta strada da compiere prima di approdare ad una integrazione sostanziale. Per fare ciò in primis occorre uniformare le leggi ed i processi che regolano la vita di tutti noi. I dati personali, le informazioni che ci riguardano sono alla base di tutto, lo abbiamo ricordato.

Ma in Europa le differenze sono tante.

Sì, le lingue parlate sono diverse, i sistemi giudiziari, gli ordinamenti giuridici e le istituzioni sono a volte in contraddizione e competizione tra loro e la diversità tra i Paesi dell’Ue è vistosa, anche con riferimento al fisco, alla scuola e alla sanità abbiamo regole e principi differenti. Sulla circolazione dei dati finalmente avremo una legge uniforme, ma non possiamo dimenticare che le norme sulla circolazione dei dati devono poi confrontarsi con tutti quei sistemi di regole appena citati. La privacy, come noto, non rappresenta un sistema di regole autoreferenziali, ma si confronta e si scontra continuamente con le regole che disciplinano la sanità, la scuola, le imprese, il marketing, il commercio, il fisco, i processi nelle aule di tribunale, le investigazioni dei corpi di polizia e via discorrendo. Quindi, sebbene avremo un macro livello di regole uniformi sulla circolazione dei dati, le asimmetrie di dettaglio, dovute alle regole diverse vigenti nei 28 Paesi, con riferimento a tutti gli ambiti in cui le norme sulla privacy trovano applicazione concreta, continueranno a fare la differenza. Questo va detto chiaramente soprattutto alle aziende, da sempre più attente alle implicazioni della compliance privacy, onde evitare fuorvianti illusioni, sull’altare della semplificazione e dell’uniformità di regole, seguite da cocenti delusioni a volte anche sul piano delle sanzioni applicate.

A proposito di sanzioni, cosa pensa dell’irrigidimento delle sanzioni?
Questo aspetto lo vedremo messo a fuoco meglio nei prossimi mesi, quando oltre al Regolamento finale entrato in vigore occorrerà anche vedere come gli Stati nazionali andranno a posizionarsi proprio sul fronte dell’enforcement. Certo il ricorso a sanzioni proporzionate al fatturato desta più di qualche perplessità, sia sul fronte dell’impatto, ma anche su quello della concreta capacità di irrogare tali sanzioni. La differenza la faranno le autorità di controllo nazionali e sono certo che il nostro Garante continuerà a mantenere quella lucidità e terzietà di giudizio che lo ha caratterizzato in questi primi venti anni di vita.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati