È trascorso poco più di un mese dalla pubblicazione in Gazzetta Ufficiale della Ue del regolamento sulla libera circolazione e protezione dei dati personali (GDPR, General Data Protection Regulation), e già è iniziata la corsa alla lettura e interpretazione della nuova disciplina: ora con il rigore dei migliori giuristi, ora con l’approssimazione tipica dei peggiori improvvisatori del mercato.
Come noto, il GDPR è destinato a soppiantare le vigenti leggi europee sulla privacy, entro il 25 giugno 2018. I due anni servono per permettere agli Stati membri il miglior coordinamento con le leggi ed i regolamenti vigenti nel loro rispettivo ordinamento e che potrebbero avere un impatto o una correlazione con il GDPR, nonchè per permettere alle Autorità nazionali della privacy di attualizzare i loro provvedimenti e cogliere l’occasione per rendere la loro importante giurisprudenza coerente con le nuove norme.
E’ dunque iniziato un processo che non sarà né rapido né indolore. E’ impensabile credere di poter prendere venti di consolidata significativa disciplina primaria e secondaria in materia di privacy e cancellarla con un tratto di penna, sostituendo tutto con le nuove norme, peraltro in molta parte plasticamente simili, ma non identiche, a quelle vigenti.
In tal senso, questi due anni saranno utili per chiarire la direzione che il nostro Paese prenderà su tutta una serie di passaggi cruciali, dalla perimetrazione del legittimo interesse del titolare del trattamento in materia di marketing diretto, alla questione delle sanzioni penali, dalla definizione ed obbligatorietà del ruolo del privacy officer, al destino dei provvedimenti generali e prescrittivi del Garante.
Altra capitale questione è quella relativa all’applicabilità dei meccanismi previsti dal GDPR al cosiddetto IoT – Internet delle Cose. Come noto, l’Internet delle Cose è una definizione volta a descrivere un fenomeno caratterizzato da quell’evoluzione della rete che permette agli oggetti interconnessi tra loro di trasferirsi dati, di valutarne la portata, e di adattare il proprio comportamento in virtù degli outcomes derivanti proprio dal trattamento di tali informazioni. Va da sé che in diversi casi, l’IoT è già ampiamente in uso: spesso se ne parla per tratteggiare scenari futuribili, dimenticando che esso è già tra noi. Peraltro funziona, nella maggior parte dei casi, anche al netto del trattamento di informazioni personali.
In tal senso, il rispetto del principio di necessità previsto dal d.lgs. n. 196/2003 e l’invito ad usare dati anonimi, quando l’uso del dato personale non risulti strettamente necessario, fa sì che molte delle macchine che vivono già la dimensione (o la suggestione?) dell’IoT, prescindano già ora dai meccanismi previsti dalla legge sulla privacy. L’evoluzione dei bisogni dell’uomo e delle opportunità offerte dall’IoT indica la necessità per le macchine di usare sempre più dati personali, e di conseguenza emerge forte l’urgenza di normare l’uso di tali dati, al fine di evitare limitazioni dei diritti e delle libertà degli individui. A nulla vale l’obiezione che il trattamento svolto dagli oggetti non rientri nel campo di applicazione del GDPR in quanto lo stesso vede come soggetti attivi le persone fisiche e quelle giuridiche.
Le macchine svolgono funzioni per conto di individui, aziende o enti pubblici e il relativo regime di responsabilità va allocato alla persona giuridica o fisica cui l’oggetto fa riferimento. Vale invece sottolineare come la parte relativa agli istituti della Privacy by Design e by Default, unitamente alla Valutazione di Impatto Privacy, alle norme sul Data Breach Notification e alle modifiche alla nozione di legge applicabile, ben possono prestarsi proprio a disciplinare le dinamiche in atto nel mondo dell’IoT. Occorre ricordare come sia in atto la riforma della c.d. E-Privacy Directive, che disciplina i trattamenti di dati con riferimento al mondo delle comunicazioni elettroniche. Potrebbe essere quella la sede per introdurre meccanismi più granulari rispetto a quelli previsti dal GDPR e che possano prestarsi a regolare l’IoT senza nuovi freni al settore, strategico tanto per l’economia nazionale e globale quanto per la crescita del genere umano.
