Non si parla più solo di protezione dei dati personali ma anche di libera circolazione dei dati. E’ questa una delle novità più importanti contenute nel nuovo regolamento Ue sulla privacy che Bruxelles si accinge ad adottare. Ne parliamo con l’avvocato Rocco Panetta, partner di Nctm Studio Legale, esperto di telecomunicazioni, privacy e Internet.
Avvocato, lei attualmente si trova a Washington per partecipare ad un Summit mondiale su privacy e cybersecurity. Come vengono viste oltre oceano le dinamiche attuali del mondo del digitale che interessano Europa e Italia?
Sono a Washington da alcuni giorni invitato a tenere una serie di conferenze al Summit mondiale dell’International Association of Privacy Professionals, il più grande forum al mondo che raccoglie le voci di tutta l’industria del digitale, con particolare riferimento ad Internet e alle relative problematiche legale alla circolazione dei dati. Il programma della tre giorni di convegni è stato incentrato molto sui rapporti tra Europa, America e resto del mondo. Da un canto, si è ampiamente discusso con i più grandi players della rete, delle nuove sfide tecnologiche che impattano sui dati personali ed i relativi diritti: dall’Internet delle Cose, alla robotica, dalla crittografia alle esigenze investigative e al terrorismo. Dall’altro canto, il tema dominante è stato senz’altro l’impatto che il nuovo Regolamento comunitario – il GDPR – sulla libera circolazione e protezione dei dati personali avrà sui processi interni delle aziende globalizzate e sul mercato dell’industria digitale. Io stesso ho partecipato ad un panel di discussione che ha sviscerato nei dettagli la bozza di GDPR, con tutte le novità che essa reca, e con neanche tanta sorpresa ho registrato una conoscenza diffusa e avanzata tra gli esperti americani della bozza di regolamento ed una voglia enorme di capire le dinamiche interpretative delle nostre Autorità garanti europee della privacy. C’è dunque molta attenzione, tra gli addetti ai lavori d’oltreoceano, a ciò che avviene in Europa. C’è molto rispetto e attenzione nei confronti del Garante italiano per la privacy e rispetto alle iniziative del Governo Renzi, non ultimo l’impegno sul fronte della banda ultralarga e su quello dell’attrazione degli investimenti esteri – in tanti hanno commentato con me l’iniziativa IBM – Governo italiano. C’è forse anche più attenzione di quella che prestiamo noi stessi alle dinamiche regolatorie e di mercato che ci riguardano. Non è un caso che tra le decine di speakers da tutto il mondo noi europei fossimo in minoranza, nonostante molti dei temi discussi riguardassero proprio le decisioni prese in EU – e noi italiani solo tre, di cui due stabilmente operativi a Bruxelles: mi riferisco a Giovanni Buttarelli, presidente dell’EDPS, ossia del Garante europeo della protezione dei dati e Bruno Gencarelli, responsabile del segretariato privacy della Commissione.
Faceva riferimento ad alcune novità che riguardano il GDPR, ossia l’adottando Regolamento sulla privacy. A cosa si riferisce esattamente?
La novità di queste ore è che il Consiglio ha tracciato la strada dell’approvazione, inserendo il GDPR su una corsia preferenziale che prevede l’adozione con procedura scritta, il che in teoria dovrebbe sottrarre il testo ad ulteriori discussioni che, visti gli avvenimenti degli ultimi mesi, potrebbero indurre taluno a proporre modifiche ulteriori ad un testo la cui negoziazione va avanti da alcuni anni e che solo lo scorso dicembre ha trovato un punto di equilibrio politico tra Consiglio e Parlamento europeo. Se la tabella di marcia proposta dal Consiglio e dal Parlamento dovesse essere rispettata, il GDPR potrebbe essere approvato entro i mesi di aprile/maggio. Al riguardo occorre prestare attenzione a due circostanze: da un lato, una volta che il GDPR venisse pubblicato sulla Gazzetta ufficiale dell’UE, prima che esso diventi efficace, occorrerà aspettare due anni, in ragione del tempo che i trattati europei riconoscono agli Stati membri per allineare le loro legislazioni nazionali all’introduzione nel sistema giuridico locale del nuovo regolamento comunitario; dall’altro, però, occorre ricordare che il GDPR non è una direttiva, bensì si tratta di un regolamento, il che implica la diretta applicabilità della norma, senza che agli Stati membri venga riconosciuta la possibilità di ulteriormente modificarne il testo, come appunto avviene in caso di recepimento delle direttive.
Questo vorrà dire che il GDPR sarà una legge uniforme in tutti e 28 Stati dell’Ue, senza differenze di sorta?
In linea teorica e tendenziale si, è esattamente ciò che differenzia un regolamento da una direttiva. Tuttavia, non bisogna farsi illusioni. L’UE ha ancora molta strada da compiere prima che gli ordinamenti giuridici nazionali vengano uniformati, generando in tal modo un vero abbattimento delle barriere giuridiche e legali tra gli Stati membri. Mentre in UE si discute del regolamento sulla libera circolazione e protezione dei dati personali, allo stesso tempo è al vaglio una direttiva in materia fiscale. Il messaggio che passa è che da un lato si vuol fare l’Europa unita attraverso la legge sulla privacy, ma dall’altro non la si vuole veramente unire sul fronte fiscale, che è invece a mio modesto parere un fronte molto più profondo di odiose differenze, di sperequazione e di iniquità. C’è poi un altro aspetto da considerare: è vero che il regolamento sulla protezione dei dati lascerà pochi margini agli Stati membri di introdurre norme nazionali ad hoc, ma laddove questo spazio sarà lasciato, le differenze potrebbero continuare ad essere significative. Inoltre, occorre considerare che la materia della protezione dei dati o della privacy, come più comunemente essa è conosciuta, non è una normativa isolata ed autoreferenziale. Essa ha un altissimo impatto su tutti gli ambiti operativi della nostra società, dalla scuola, al fisco, dalla giustizia al mondo dei rapporti di lavoro, dal commercio elettronico ad internet e alle telecomunicazioni, dalle banche agli ospedali e alla pubblica amministrazione. Questo significa che non basterà un semplice regolamento a spazzare via i molteplici ambiti settoriali in cui negli anni solo la sapiente e attenta mano del Garante italiano, guidato prima dal Professor Rodotà, poi dal Professor Pizzetti e ora dal Presidente Soro, è stata in grado di intervenire. Resterà dunque aperto un tema reale di coordinamento interno tra norme primarie e secondarie che dovrà essere attentamente vagliato da Governo, Parlamento e Autorità garante. E le sorprese potrebbero non mancare.
Può delinearci brevemente quali le principali novità del GDPR rispetto alla vigente direttiva europea e al Codice privacy italiano?
A parte la novità già ricordata, che si tratterà di un regolamento che sostituirà la direttiva e la legge italiana, la prima grande novità è nel titolo della legge. Non si parla più solo di protezione dei dati personali ma anche di libera circolazione dei dati. Mi piace ricordare, e mi sia perdonata quel pizzico di vanità che emerge dalle mie parole, che nel 2007 curai per la casa editrice Giuffrè un trattato intitolato proprio Libera Circolazione e Protezione dei dati personali. E’ bello vedere che dopo circa dieci anni quella intuizione dottrinale, nata dalla felice stagione in cui lavoravo per l’Autorità garante italiana, intesa proprio a sottolineare come la normativa sulla privacy più che occuparsi di riservatezza e protezione dei dati, tende a regolare in primis la libera circolazione dei dati, di pari passo con la libera circolazione dei diritti, delle merci e delle persone all’interno dell’Unione, sia diventata oggi realtà, influenzando la disciplina relativa, ossia il GDPR, sin dal programmatico nome. Ciò detto, e più nel dettaglio, il GDPR lascia immutate le categorie di soggetti attori della catena delle responsabilità privacy, dal titolare al responsabile del trattamento – in un primo momento era stata circolata un bozza chiaramente tradotta in italiano da giuristi di Bruxelles poco avvezzi alla legge italiana e alle relative denominazioni che faceva molta confusione tra responsabili e incaricati; introduce il ruolo obbligatorio per le pubbliche amministrazioni ed in talune circostanze per i soggetti privati del data protection officer, detto anche responsabile della protezione dei dati, da non confondere con il responsabile del trattamento dei dati; introduce l’obbligatorietà della tenuta in capo a tutti i titolari del trattamento del registro dei trattamenti, una sorta di DPS, già tanto esecrato in Italia; introduce l’obbligo di effettuare una valutazione di impatto privacy prima di introdurre una nuova tecnologia o un nuovo processo ad un trattamento; innalza il livello della cosiddetta accoutability, grande arma per le imprese, per creare valore attorno ai processi relativi all’uso dei dati ed introduce l’obbligo della privacy by design e by default, che può tradursi come l’obbligo per tutti di progettare nuovi beni e servizi tenendo sempre a mente le prerogative della minimizzazione del trattamento dei dati, oltre ad ogni altra norma posta dalla legge sulla privacy; permette alle multinazionali di avvalersi di una procedura di sportello unico (one stop shop) in sede comunitaria, che tuttavia per come è stata scritta rischia di introdurre maggiori complessità a fenomeni regolatori transnazionali di difficile componimento; da ultimo introduce un meccanismo sanzionatorio senza precedenti, con sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale globale di gruppo per le multinazionali. A fronte dunque di una razionalizzazione e maggiore semplificazione di alcuni processi, anche con sostanziale sburocratizzazione di alcuni requisiti, viene tuttavia innalzato il livello di guardia a livello europeo, uniformando sanzioni e procedure, finora molto diverse. La materia della protezione dei dati diventa a questo punto centrale in tutte le politiche di compliance aziendale, ma anche elemento cruciale delle politiche produttive e di business, e sono certo che avremo ancora molte occasioni per tornare sull’argomento in maniera più approfondita.