“Il regolamento europeo sulla data protection non incide direttamente sul Safe Harbor, ma la conclusione del negoziato sulla protezione dei dati ha un suo significato politico. Gli accordi internazionali e gli strumenti giuridici fin qui in vigore non decadranno automaticamente, ma è prevista una loro revisione periodica, quindi c’è un incentivo ad armonizzarli. Va apprezzato il fatto che l’Europa voglia avere le proprie regole, e decidere su tutti gli altri dossier separati, come il Safe Harbor, in sintonia con il regolamento”.
Lo dice Giovanni Buttarelli, European Data Protection Supervisor, commentando con CorCom l’approvazione del nuovo regolamento europeo sulla Data protection.
Buttarelli, come si concluderà la trattativa con gli Usa?
Non sono sicuro che con gli Stati Uniti si arriverà a un accordo “politico” entro fine gennaio, come tutti aspettano, ma certamente una soluzione arriverà presto. In questo momento c’è un lieve irrigidimento del dibattito dovuto forse all’orgoglio con cui le due parti difendono i propri valori, ma credo che sia improrogabile individuare una soluzione nuova, soprattutto nei confronti delle centinaia di imprese, per la magior parte piccole e medie, che trasportano dati negli Usa. E non potrà essere una soluzione cosmetica, un “Safe Harbor 2.0” che si limiti a un maquillage.
Come si è arrivati alle nuove norme sulla data protection?
Dopo molti anni di sperimentazione di una normativa frammentata a livello nazionale facciamo un salto in avanti, consolidando quei princìpi, che rimangono validi, e rendendoli più efficaci in concreto. Aggiungiamo anche alcuni temi, come il privacy by design e il privacy by default, ma l’architettura disegnata 20 anni fa regge all’esame del tempo, nonostante sia stato fatto ora un “tagliando” significativo.
Quali sono le novità a suo avviso più positive?
Sono nel campo di applicazione, perché l’Europa non farà più distinzione in base al territorio, e applicherà uniformemente le regole a chiunque nel mondo offrirà beni e servizi in Europa, benché stabilito fuori dal nostro territorio. Fin dal primo momento dell’effettiva applicazione del regolamento, stimata per il luglio 2018, gli “Over the Top” e gli altri operatori del mondo on-line dovranno rispettare tutti i nostri princìpi, qualora vogliano offrire beni e servizi o profilare gli individui in Europa. Il secondo elemento positivo è il rafforzamento del ruolo delle autorità di garanzia e delle corti, che è reso più effettivo, e con più indipendenza. Ci saranno nuovi strumenti di enforcement, nuove sanzioni più graduate e più armonizzate, e soprattutto più varietà rispetto alle modalità di intervento delle autorità. Queste ultime potranno infatti specificare attraverso linee guida, raccomandazioni, codici di condotta, certificazione dei sistemi informativi e meccanismi di audit, tutta una serie di princìpi che non si possono fissare ora con norme primarie di dettaglio: inseguire le tecnologie le renderebbe presto e di continuo obsolete.
Il terzo aspetto, che forse è la novità più incisiva, è quello dell’accountability. Ai “titolari del trattamento” nel settore pubblico e privato sarà richiesto non semplicemente di rispettare le norme, e quindi di fare una check-list degli adempimenti minimi, ma di tradurre in pratica questi princìpi con diversi “compiti a casa” in chiave di creatività e proattività. Dovranno dimostrare di aver distribuito responsabilità al proprio interno, di avere una risposta per i vari problemi, di aver valutato i rischi e le possibili conseguenze, e di quindi avere una strategia articolata e trasparente nei confronti dei soggetti cui si riferiscono le informazioni. Non sarà più una materia delegabile a un funzionario di turno, a un esperto di tecnologia o a un ufficio legale; sarà proprio l’approccio corporate che avrà importanza, anche perché si dovranno individuare anche linee di bilancio importanti.
Si poteva fare di più?
Certamente sì. Si poteva armonizzare anche l’altra galassia di norme che richiederà un intervento nel biennio in corso, che prelude all’entrata in vigore del regolamento. A partire dalla direttiva e-privacy, che si riferisce al mondo delle comunicazioni elettroniche.
Si tratta di una direttiva europea varata nel 1997, aggiornata nel 2002 e modificata nel 2009, alla quale anch´essa va fatto un tagliando per effetto del nuovo regolamento. Poi, c’è il nuovo regime da applicare per simmetria alle istituzioni europee e a tutte le agenzie EU localizzate in Europa, nonché a tutti i database nel settore dei visti, dell’immigrazione, dell’asilo, della cooperazione amministrativa e delle dogane, che hanno bisogno parimenti di una verifica. Per chiudere con alcuni aspetti relativi a strumenti specifici, nel settore ad esempio dei voli aerei e delle transazioni finanziarie. C’è una mole di compiti a casa da fare per l’Unione: il regolamento è il faro, ma la marcia è ancora impegnativa.
Alcuni lamentano che si tratti di una “direttiva mascherata”, che sia cioè ancora troppo vasto il margine di manovra lasciato ai singoli stati. E’ vero?
No, non è una direttiva mascherata. Il regolamento comporterà la caducazione automatica di molte norme a livello statale. Certo, ci sono alcune aree in cui effettivamente l’Europa ha, con un approccio realistico, realizzato che è ancora prematura un’armonizzazione più stretta: nel settore della stampa della salute, dei rapporti di lavoro, della ricerca scientifica e storica. Qui, effettivamente, sarà ancora possibile un lieve margine di manovra, benché sempre nei limiti del regolamento. Per il resto, eventuali specificazioni da parte degli Stati membri saranno possibili ma i limiti sono molto più stretti.
Infine, ci sono altre norme nazionali “data protection related”, ovvero riferibili solo indirettamente alla protezione dei dati, dall’e-government alla proprietà intellettuale, ad esempio, che potrebbero essere riviste anch’esse in chiave di compatibilità. La parte normativa principale è rappresentata da i circa 100 articoli del regolamento che non ammettono margini di tolleranza, mentre un corpo parimenti importante di norme nazionali dovrà essere adeguato.
Le sanzioni serviranno a far entrare il tema “data protection” nell’ordine del giorno dei grandi board, anche oltreoceano: è così?
Porteranno a caratterizzare il sistema europeo e a renderlo più simile, ad esempio, a quelli di altri Paesi come gli Usa, dove il loro carattere dissuasivo è particolarmente forte. Non sono state introdotte vere norme specifiche in chiave di responsabilità d’impresa o di class action, ma ci sarà più spazio affinché i consumatori possano svolgere un ruolo in materia. C’è il principio della proporzionalità, ma le sanzioni saranno più severe rispetto a quelle in vigore oggi. Il regolamento però, e questo è un difetto, non specifica il rapporto tra le sanzioni amministrative e pecuniarie e quelle penali: questo è un altro dei compiti a casa per i legislatori nazionali.
Si è parlato dell’innalzamento dei limiti d’età per l’accesso ai social. Cosa ne pensa?
Nel mondo e non solo in Europa la considerazione di quando un minore è “adulto” al fine del compimento di alcune azioni cambia a seconda dei Paesi. Le leggi nazionali spesso ammettono a certi effetti che ci sia uno spazio di autodeterminazione anche al di sotto dei 18 anni. Ma questioni gravi in tema di cyberbullismo, pedopornografia e molestie hanno portato all’esigenza di avere una linea di attenzione forte verso chi, per entusiasmo, potrebbe sottovalutare gli effetti del proprio essere online. Quello dei social network è uno degli esempi, non l’unico: il regolamento così prevede un minimo di ruolo anche di chi è chiamato per legge a esercitare la potestà. Questo aspetto dovrà ora essere definito meglio, c’è spazio di manovra per gli stati membri, e l’Italia dovrà fare le sue scelte.
Le nuove norme sono un’opportunità dal punto di vista occupazionale?
Il regolamento può essere uno straordinario fattore per lo sviluppo di nuove figure professionali, purché non ne banalizzeremo il contenuto. I soli princìpi di privacy by design e by default hanno già essi stessi implicazioni importanti dal punto di vista dell’ingegneria dei sistemi informativi, per la creazione di applicazioni per adempiere meglio agli obblighi normativi, di software e di misure di sicurezza, nonché per gli audit e le consulenze. E potrà essere uno straordinario fattore di business anche per il cloud computing.
