“Più tutele per i singoli, meno costi per le imprese”. Correva l’anno 2012, mese di gennaio per la precisione, e l’allora commissario europeo alla giustizia Viviane Reding presentava sotto questo slogan magniloquente una riforma di ampia portata del quadro comunitario in materia protezione dei dati personali, l’ultima revisione del quale risaliva nientemeno che a quasi venti anni prima: tempi ancora dominati dall’analogico. Centinaia di ore di negoziato e qualche migliaia di emendamenti dopo la proposta di normativa è ora ad un passo dal traguardo dell’adozione. A conclusione di un iter burrascoso che tra polemiche e contrasti a gettito continuo, e in mezzo la deflagrazione del data-gate, ha minacciato a più riprese di deragliare.
Nella giornata di oggi e poi in sequenza il 15 dicembre prossimo sono in programma due triloghi tra Parlamento Europeo, Commissione e Consiglio Ue nei quali dovrebbero essere appianate le ultime divergenze fra le tre istituzioni europee sulla scorta di un testo di compromesso apparecchiato dalla presidenza lussemburghese dell’Ue. Il che aprirebbe la strada ad un’intesa finale attesa nel peggiore degli scenari a gennaio 2016: le parti si erano del resto impegnate a chiudere la trattativa entro la fine dell’anno. Siamo alle ultime formalità, ha lasciato intendere la scorsa settimana Jan Albrecht, l’eurodeputato verde relatore della proposta per Strasburgo e fautore di una legislazione molto protettiva. Ma sebbene a portata di mano, ha aggiunto, “il risultato dipende ancora da una concreta volontà politica a conseguirlo”. Un’allusione al rischio non del tutto peregrino di arroccamenti dell’ultimo momento che potrebbero far saltare il tavolo. Anche se si tratta di uno scenario remoto.
Venendo al merito del pacchetto di riforma, la novità maggiore è che per la prima volta esso introdurrà l’applicazione in tutti paesi Ue degli stessi standard per la tutela dei dati personali, mettendo termine ad una geografia legislativa fortemente balcanizzata, eredità della precedente direttiva. Questo, nelle intenzioni del legislatore, dovrebbe snellire il fardello burocratico che grava sulle imprese digitali e non, soprattutto quelle europee, in ragione del fatto che al momento devono attenersi a regimi diversi in funzione del paese Ue in cui operano, così da generare consistenti risparmi.
Dall’altro lato la normativa farà scattare una serie di obblighi non irrilevanti per le aziende di una certa grandezza (le Pmi ne saranno esenti), tra i quali quello di impiegare stabilmente un “data protection officer”, di notificare alle autorità per la protezione dei dati personali qualsiasi infrazione “seria” (data breach) entro 24 ore dalla rilevazione o ancora di compiere valutazioni d’impatto preliminari in caso debbano essere compiute operazioni con elevato rischio di incidenti. Obblighi che si applicheranno anche ai soggetti con sede legale al di fuori dell’Ue nel caso in cui offrano servizi all’interno del mercato unico: una norma concepita con lo sguardo appuntato sulle web companies USA. Il pacchetto, inoltre, isserà al rango di legge il diritto all’oblio, cioè il diritto di ottenere la cancellazione dei propri dati già al cuore dell’ormai celebre sentenza della Corte di Giustizia europea del 2014, e quello alla portabilità dei dati personali da un servizio all’altro.
Secondo Paul Nemitz, direttore presso la Dg Giustizia della Commissione e tra gli architetti della legge, “il 95% delle aziende sono soddisfatte” del testo. E tuttavia le trattative sono state accompagnate da un persistente sottofondo di proteste da parte di almeno una parte dell’industria tech, che non ha cessato di esprimersi pubblicamente a mezzo di lettere aperte, convegni e comunicati rigurgitanti di allarmismo. Il loro messaggio, sintetizzato brutalmente: altro che risparmi, tutti questi vincoli strozzano l’innovazione e osteggiano lo sviluppo dell’economia digitale. “Purtroppo, alcune norme del regolamento sulla tutela dei dati personali impediranno seriamente la creazione di un Mercato Unico Digitale prospero e avranno un impatto negativo sull’occupazione, la crescita e la competitività dell’economia europea”, è il monito (l’ennesimo) lanciato la scorsa settimana da un gruppo di aziende tra cui Nokia, Eriksson e Allego, raggruppate sotto l’ombrello European Data Protection Coalition.
Negli incontri di oggi e del 15 i rappresentanti delle tre istituzioni Ue dovranno ancora trovare un’intesa su due punti cruciali della legislazione: il primo concerne il tetto massimo delle sanzioni in cui potranno incorrere le aziende che violano le norme del regolamento. Nel testo votato da Strasburgo a marzo 2014 la soglia è fissata al 5% del volume d’affari annuo mondiale, mentre Consiglio e Commissione Ue propendono per il 2%. Un altro minuetto negoziale si sta ancora giocando sull’applicazione del consenso esplicito al trattamento dei dati personali con il Consiglio attestato su una posizione meno intransigente rispetto a Parlamento e Commissione.
