Siamo alle porte di una importante rivoluzione che coinvolgerà tutto e tutti: la riforma delle normativa europea ed italiana sulla libera circolazione e protezione dei dati personali.
A fine dicembre è stato raggiunto, infatti, l’accordo politico tra Commissione, Consiglio e Parlamento europeo.
Ci sono voluti cinque anni di lunghe negoziazioni, migliaia di proposte di emendamento, diversi pareri del Gruppo dei Garanti Europei e dell’EDPS, il Supervisore europeo sulla privacy, ufficio retto dall’italiano Giovanni Buttarelli.
Apparentemente l’accordo su un testo consolidato da votare in Consiglio e Parlamento oggi c’è e se verrà rispettato, a partire dalla fine del 2018, inizi del 2019, il Codice privacy italiano, figlio della direttiva comunitaria 95/46/CE, andrà con essa in pensione, sostituito dal nuovo Regolamento, da tutti simpaticamente chiamato GDPR – General Data Protection Regulation.
Si va dunque verso una radicale riforma delle leggi vigenti sulla privacy con un impatto enorme sull’operatività di aziende e pubbliche amministrazioni.
Vorrei provare a declinare alcuni buoni propositi che dovremmo tenere a mente per evitare di dire cose inesatte, disinformare il mercato, generare dolorose illusioni e alimentare miti e leggende.
1. Il nuovo Regolamento introdurrà un sistema di regole uniformi tra i 28 Paesi dell’UE. In teoria non ci saranno più le vaste aree di implementazione asimmetrica che caratterizzano oggi il sistema, per via della Direttiva 95/46/CE. Ciò di certo offrirà maggiori spunti di interpretazione uniforme dei principi e delle regole specifiche poste dalla nuova normativa sulla privacy. E ciò è buono ed è efficiente. E’ in primis un valore per le aziende presenti a livello multinazionale, mentre è un elemento più neutro o di minor impatto per le aziende locali e per le p.a.
2. Tuttavia, sappiamo che non sarà cosi semplice la fase di switch off dalla vecchia disciplina alla nuova. Proprio perché la privacy interessa ogni processo del nostro vivere quotidiano, essa non è solo frutto di una singola disciplina di settore, tanto che difficilmente, una volta sostituita con una più nuova ed efficiente, si potranno considerare risolti i maggiori problemi di compliance, noti a tutti. Occorrerà considerare centinaia di norme collegate, primarie e secondarie, oltre a tutti i provvedimenti prescrittivi emessi dal Garante della privacy in questi anni, sui quali le aziende hanno costruito processi virtuosi ed efficienti. Non si può credere di cancellare tutto con un solo tratto di penna. Il costo per il sistema Paese sarebbe insostenibile.
3. Alimentare infine l’illusione che con il regolamento e con la regola del one-stop-shop si possa fare a meno di interessarsi delle ragioni della compliance alle norme nazionali collegate è pericoloso e fuorviante e potrebbe generare contenziosi infiniti e salate multe. La GDPR uniforma principi e regole già abbastanza uniformi: consenso, informativa, accesso, oblio, privacy officer, trasferimento all’estero. Ma non uniforma le normative collegate, come quelle che disciplinano, ad esempio, l’uso dei sistemi elettronici sui posti di lavoro. Resterà la profonda differenza sostanziale tra quei Paesi, come l’Italia, che tutelano la corrispondenza, e quindi anche le email, al più altro grado e Paesi, come il Regno Unito, che invece non lo fanno.
4. I prossimi mesi saranno decisivi per capire meglio dove si andrà a parare, per il momento il consiglio è quello di informarsi e cercare di non fermarsi ai proclami. Un dato è certo: è finito il tempo in cui la privacy veniva considerata figlio di un Dio minore, in azienda, negli studi legali, nelle p.a, in Parlamento e a Palazzo Chigi. Privacy è uso dei dati; è adempimento dei doveri e godimento dei diritti; è Internet; è commercio elettronico; è comunicazione; è compliance; è business; è marketing; è sicurezza; è la rappresentazione 4.0 della vita di tutti noi. A ricordarcelo sarà un Regolamento EU forte e stringente con sanzioni parametrate al fatturato annuo mondiale del trasgressore. Le aziende, rectius: i CDA, sono avvisati.
