Le nuove norme sulla protezione dei dati dell’Ue, approvate oggi dal Parlamento europeo, mirano a ridare ai cittadini il controllo delle proprie informazioni personali e a generare un livello elevato e uniforme di protezione dei dati in tutta l’Unione nell’era digitale. La riforma andrà a sostituire l’attuale direttiva che risale al 1995, che rimarrà ancora in vigore per i prossimi 2 anni.
“Il nuovo regolamento parte da un presupposto diverso, ossia quello della libera circolazione dei dati – spiega Rocco Panetta, socio di NCTM Studio Legale, esperto di tlc, Internet e privacy intervistato da CorCom -. Tutto circola liberamente, ma dove ci sono prescrizioni queste sono molto più stringenti ed efficaci, soprattutto dal punto di vista delle sanzioni”. Secondo Panetta le nuove regole decise da Bruxelles porteranno la privacy, “intesa come compliance all’uso dei dati e alla cybersecurity a diventare la priorità numero uno per tutte le aziende e le Pa e in tutti i settori”.
È davvero un regolamento che mette davvero l’utente al primo posto?
Non c’è una risposta netta e univoca. Sicuramente è una buona legge che cerca di trovare un bilanciamento tra i diritti delle persone e i legittimi interessi di chi tratta il dato, sia esso un’azienda o una pubblica amministrazione. Le norme attuali, basate sulla Direttiva 95/46/CE e che in Italia sono state recepite dal vigente d.lgs. n 196/2003 (Codice Privacy), e che rimarranno ancora in vigore per i prossimi 2 anni, hanno contribuito a far passare un messaggio negli ultimi 20 anni, di chiusura e contrapposizione tra istanze individuali (diritti delle persone) e istanze di aziende e pubbliche amministrazioni.
Inoltre, avendo la direttiva del 1995 l’ambizione di introdurre meccanismi di protezione diffusa e massiva, si è spesso finito col creare nuova burocrazia. Quante volte dietro ad una inefficienza, ad un rifiuto soggettivo di fare qualcosa si è detto “questo non si può fare per via della legge sulla privacy”. Una privacy spesso utilizzata come alibi o accusata di tutto e di più. Il nuovo regolamento parte invece da un presupposto diverso, ossia quello della libera circolazione dei dati. Tutto circola liberamente, ma dove ci sono prescrizioni queste sono molto più stringenti ed efficaci, soprattutto dal punto di vista delle sanzioni.
La creazione di standard europei favorirà il maggiore scambio di informazioni fra gli Stati stessi, ad esempio per esigenze di giustizia o prevenzione anti-terrorismo?
È un tema non toccato direttamente dal regolamento, ma potrebbe essere un effetto collaterale. Tutta la normativa del terzo pilastro delle istituzioni europee, ossia cooperazione in materia di giustizia e polizia, è fuori dal nuovo regolamento. I princìpi e le regole appena approvate riguardano per lo più finalità commerciali, toccano libertà pubbliche e diritti delle imprese con impatto sulla vita di tutti noi, mentre la normativa per finalità di cooperazione giudiziaria o anti-terrorismo resterà materia di una direttiva ad hoc. Questo regolamento riguarda ancor prima la vita di tutti i giorni, di chi deve comprare beni e servizi con una carta di credito o prenotare online una visita in ospedale, o interagire con pubblica amministrazione.
L’Unione Europea ha quindi preso finalmente coscienza dell’impatto del digitale sulla vita dei cittadini?
Si, quello senz’altro. Ma bisogna tener comunque presenti le diverse spinte politiche e istituzionali che animano l’Europa dei nostri giorni. Da una parte c’è chi dice che l’Europa è finita e i segnali negativi in tal senso ci sono: in Inghilterra si andrà a votare a breve sull’uscita dall’Ue e in Austria si alzano i muri contro l’emergenza migranti. Ma dall’altra c’è tendenza rafforzativa dell’Unione Europea e l’ambiziosissimo progetto del Digital Single Market ne è una forte testimonianza. Questo regolamento, votato con una vasta maggioranza su una tematica che è sorella gemella della libera circolazione delle persone, è indubbiamente un messaggio forte da Bruxelles verso la necessità di accelerare sull’integrazione e non di tornare indietro.
Dal punto di vista delle imprese, la previsione di sanzioni amministrative importanti rischiano di far aumentare esponenzialmente il numero di contenziosi?
Per l’Italia sono fiducioso che questo avverrà in maniera ragionevole, anche perché noi abbiamo dalla nostra il Garante della Privacy che è un’istituzione seria e autorevole. Il problema principale sarà per le multinazionali, a cui si racconta da mesi una storia che si andrà a scontrare con la realtà. La presenza di una sola legge per i 28 paesi membri qual è il regolamento, potrebbe indurre le grandi corporations ad abbassare la guardia, ma sarebbe un errore. Siamo un’Unione incompiuta di Stati e continuiamo ad avere peculiarità e asimmetrie vastissime in molti ambiti applicativi, dal fisco alla sanità passando per le regole sul lavoro.
Per questo motivo le imprese dovranno continuare a focalizzarsi sulla normativa locale ma, se è pur vero che a loro viene concessa un’ampia delega rispetto al trattamento dei dati, in virtù dei principi di accountability, di privacy by design, di valutazione di impatto privacy, al tempo stesso le sanzioni pesanti introdotte dal regolamento, che potranno essere parametrate fino al 4% del fatturato globale di gruppo, non ammettono errore.
L’esistenza di statuti speciali in Inghilterra e Irlanda potrebbe concedere a questi due paesi margini di manovra per attuare le nuove regole in modo furbo, attraendo le multinazionali con disposizioni più morbide?
Il rischio c’è, ma con le nuove regole sarà difficile scappare. Le grandi aziende potranno anche scegliere di stabilirsi in uno Stato con delle maglie un po’ più larghe, ma alla fine esse saranno comunque soggette anche alle leggi dei Paesi in cui andranno ad offrire beni e servizi. Insomma, si concede loro ampie possibilità circa l’utilizzo del dato, ma al contempo vengono stabilite regole ben più stringenti e incisive di quelle attuali. Inutile negare che questa novità costituisca un warning importante per tutte le imprese, soprattutto per le web company. La privacy, nei prossimi anni, intesa come compliance all’uso dei dati e alla cybersecurity è destinata a diventare priorità numero uno per tutte le aziende e le Pa e in tutti i settori.
