Nell’avviare questa rubrica di approfondimento sulla nuova disciplina sulla circolazione dei dati e la privacy, in vista della imminente entrata in vigore del Regolamento Generale sulla Protezione dei dati personali (UE)2016/679 (c.d. Gdpr), ed in attesa, soprattutto, che il Governo italiano eserciti la delega ricevuta in calcio d’angolo dal Parlamento – prima che il Presidente della Repubblica Mattarella ne decretasse lo scioglimento – al fine di armonizzare, con uno o più decreti legislativi, il Gdpr con il Codice Privacy (d.lgs. n. 196/2003) esistente, è opportuno porre sotto la lente d’ingrandimento i singoli aspetti che, dal prossimo 25 maggio, interesseranno il vastissimo mercato dei dati, in primis, a livello europeo, ma, come vedremo più avanti, praticamente tutto il mondo.
Partiamo da un aspetto considerato molto tecnico e da soli addetti ai lavori e spesso sottovalutato, a favore di ulteriori principi maggiormente evidenziati: l’ambito di applicazione del Gdpr ed i relativi profili, ad esso collegati, di giurisdizione e foro competente.
Nel dettaglio, il Gdpr, agli articoli 2 e 3, fissa i criteri di applicazione materiale e territoriale della normativa, ponendo un chiaro riferimento volto a chiarire chi e cosa rientri sotto il suo regime. I trattamenti di dati soggetti alla nuova disciplina, in continuità con il passato, riguardano sia processi automatizzati che semi-automatizzati ed anche quelli tradizionali, e dunque totalmente privi di automatismo. Ogni trattamento, quindi, dalla raccolta alla elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al Gdpr.
La sua applicazione, tuttavia, esula da alcuni casi espressamente previsti dal Regolamento, in quanto risultano esentati i trattamenti che rientrano in attività di esclusiva competenza degli Stati membri quali la sicurezza nazionale e la politica estera e di difesa comune dell’UE. Fuori dal raggio d’azione del Gdpr risiedono anche i trattamenti in ambito penale e per finalità di indagine da parte delle autorità competenti.
È la stessa natura della normativa ad indicare la direzione intrapresa dal legislatore comunitario in tal senso: non più una direttiva – lasciando agli Stati membri il compito di tradurre in leggi nazionali i nuovi principi – ma un regolamento, applicabile direttamente su tutto il territorio dell’UE. Non una mera scelta di stile ma un chiaro segnale da parte dell’Unione: il processo di parificazione degli standard di protezione dei dati è efficace se questo corre attraverso un tracciato comune per tutti gli Stati membri e i cittadini comunitari.
Il Gdpr, tuttavia, nasce in un momento di grossa difficoltà per l’Unione europea e lo spirito di comunità alla base della sua storia. Il vento anti-europeista soffia imponente e il timore che la diretta applicazione del Gdpr possa compromettere gli equilibri interni degli Stati membri è forte a tal punto dall’aver preferito l’adeguamento delle già vigenti normative nazionali ai nuovi principi regolamentari, piuttosto che rispettarne la loro diretta applicabilità.
La disseminazione normativa allontana, dunque, la positiva prospettiva di non dover più imbattersi in 28 normative differenti in materia di protezione dei dati personali, come fino ad ora è stato. In tal senso, occorre ricordare che la grande Germania è stata la prima, in Europa, ad armonizzare il Gdpr nell’ordinamento nazionale, attraverso l’adozione di una normativa locale fortemente caratterizzata dal contesto nazionale, con il rischio di contraddire lo spirito stesso del regolamento. Al netto di tutto ciò, vale la pena di evidenziare un’importante novità portata in dote dal nuovo Regolamento: ossia la sua applicazione nei confronti dei trattamenti effettuati anche al di fuori dell’Unione Europea.
Dal 25 maggio, infatti, il Gdpr riguarderà anche tutti i trattamenti effettuati da data controller (in italiano, titolari del trattamento) o data processor (in italiano, responsabili del trattamento) non stabiliti sul territorio dell’UE purché questi: riguardino l’offerta di beni o servizi offerti, anche gratuitamente, a persone fisiche (c.d. interessati) all’interno dell’UE; riguardino dati raccolti attraverso il monitoraggio dei comportamenti dei soggetti interessati, svolti sul territorio UE.
La portata di questa norma è semplicemente rivoluzionaria. Il Gdpr incarna la norma più avanzata allo stato attuale volta a superare i tradizionali confini posti dalla territorialità, dal foro competente, dalla giurisdizione applicabile basata su equilibri geopolitici e dal principio di stabilimento.
Per oltre duemila anni la cultura e la civiltà giuridica messa in piedi dal diritto romano in poi non ha mai messo in discussione cosi radicalmente il principio di stabilimento. I sistemi finanziari, fiscali, l’amministrazione della giustizia e della difesa, l’identificazione del diritto penale, civile e amministrativo rilevante ha sempre considerato territorialità e stabilimento per determinare il foro competente, la giurisdizione e la legge applicabile. La detonazione di tali criteri consolidati e tradizionali è stata causata dall’irruzione di Internet nelle dinamiche commerciali, sociali e politiche che caratterizza l’era in cui viviamo.
Il legislatore europeo ha colto l’impossibilità di far rispettare sul web le leggi come tradizionalmente scritte laddove ancorate al solo principio di stabilimento e di conseguenza con il Gdpr viene invertito il criterio di determinazione della legge applicabile con uno straordinario capovolgimento dei soggetti attori: a determinare la legge applicabile non sarà più il luogo in cui è stabilito il titolare del trattamento, ma il luogo in cui risiede, vive e opera l’interessato persona fisica, se stabilito nel territorio dell’Unione Europea. La forza di questa norma, unitamente alle sanzioni parametrate, nel massimo, fino al 4% del fatturato annuo mondiale del trasgressore, giustifica l’attenzione che nel mondo tutti gli attori economici e politici stanno mettendo nel seguire le dinamiche applicative del Gdpr.