Dopo tre anni di gestazione e un accordo tra Paesi europei che è arrivato a dicembre 2015, il nuovo regolamento comunitario sulla protezione dei dati personali è pronto ad essere approvato dal Parlamento Ue probabilmente entro marzo. Un quadro di norme comuni per conciliare il diritto alla privacy dei cittadini con le esigenze industriali, soprattutto alla luce dell’utilizzo sempre più massiccio dei Big data da parte delle aziende.
Un regolamento, tuttavia, non privo di aspetti controversi, come rileva Giulio Coraggio, giurista cofondatore dell’Associazione IotItaly, organismo che riunisce grandi gruppi e start up e che ha da poco ha partecipato alla consultazione del Garante privacy sull’Internet of Things.
Che cosa non la convince del testo?
Si lasciano ancora della discrezionalità ai singoli Stati membri nell’integrare alcune disposizioni del regolamento, con il rischio che continueremo ad avere quella inconsistenza di norme a cui in teoria si vorrebbe rimediare. Inoltre il Regolamento non consente alle multinazionali d’interfacciarsi unicamente con il Garante della privacy del Paese in cui hanno la propria sede principale, poiché mantiene inalterate le competenze dei singoli Garanti di ciascuno Stato su questioni che interessano i mercati locali.
Secondo lei la riforma europea della protezione dei dati è efficace per contrastare eventuali abusi da parte delle aziende?
I Big Data a mio giudizio non devono essere solo visti come un rischio, ma piuttosto come una risorsa, in quanto consentono di offrire dei servizi migliori agli utenti perché permettono di prevedere le loro preferenze e comportamenti. Detto questo, il nuovo regolamento privacy comunitario certamente rappresenta un disincentivo molto efficace contro chi intende abusare dei dati personali. Mentre fino ad oggi gli operatori ponevano in secondo piano l’esigenza di conformarsi con la normativa privacy, le possibili sanzioni fino al 4% del fatturato globale del soggetto che commette la violazione previste dal nuovo regolamento comunitario saranno un deterrente per certe condotte.
Non le sembra che il regolamento punti a tutelare più le imprese che garantire la privacy dei cittadini, soprattutto quando attribuisce alle aziende stesse e non a un soggetto terzo l’onere d’informare autorità di controllo in caso di gravi violazioni dei dati?
Il regolamento cerca di raggiungere un giusto equilibrio tra gli interessi delle imprese e quelli dei cittadini e certamente fissa obblighi di gran lunga più onerosi di quelli previsti in altre giurisdizioni. La normativa sulla privacy non può diventare un onere eccessivo per chi opera in Europa, perché rischierebbe di discriminare le imprese europee e di disincentivare gli investimenti nella Comunità europea. Circa le procedure da seguire in caso di violazioni dei dati, i soggetti danneggiati possono sempre riportare la condotta alle autorità competenti e il regolamento pone un onere d’informazione ulteriore a carico di chi ha il controllo dei dati, perché è probabile che abbia maggiori informazioni al riguardo.
In Italia il mercato dei Big Data è in crescita. Secondo lei il fatto che le norme del nuovo regolamento europeo dovrebbero essere applicabili non prima del 2018 e che, quindi, attualmente manca un quadro legislativo chiaro e definito potrebbe portare a un aumento dei contenziosi legali tra aziende che utilizzano i Big Data e i consumatori?
Ci sarà certamente un periodo di transizione, ma è da notare che i Garante privacy ha già adottato alcuni principi che sono stati trasfusi nel regolamento privacy. Ad esempio l’esigenza di adottare un approccio di “privacy by design”, cioè volto a garantire che un prodotto dalla sua progettazione alla sua realizzazione e commercializzazione sia reso conforme alla normativa privacy, è stato richiamato più volte dal Garante in provvedimenti che sono già in vigore.
Allo stesso tempo, i cambiamenti imposti dal regolamento presuppongono un’attività che per alcune multinazionali richiederà ben più di due anni, poiché, tra le altre cose, comporterà una ristrutturazione societaria. Ne consegue che molte società inizieranno il processo funzionale all’adozione delle norme del regolamento europeo molto prima della sua entrata in vigore.
A ottobre la Corte di Giustizia europea ha invalidato l’accordo Europa-Usa “Safe Harbor” che consentiva alle imprese americane di conservare i dati degli utenti europei sia in Ue sia in America. Quali saranno le ricadute di questa sentenza sul mercato europeo?
Con questa sentenza, che pone dei paletti molto forti in tema di trasferimento dei dati personali, si rischia che diversi operatori statunitensi abbandonino il mercato Ue, perché per loro conformarsi alle nuove regole rappresenterà comunque un costo non indifferente. In alcuni casi penso che le multinazionali Usa potranno adottare soluzioni di compromesso, come la collocazione dei data center in Europa per gestire così le informazioni personali degli utenti europei.