“Oggi l’Italia è in una fase di transizione da ‘tempesta perfetta’. Tra poco meno di due mesi i cittadini eleggeranno un nuovo Parlamento, che sarà chiamato a esprimere un nuovo governo. In questo passaggio delicato si innesta anche una transizione normativa, dal momento che entro il 25 maggio 2018 il Paese dovrà adeguarsi alle nuove regole europee sul trattamento dei dati, il Gdpr. Prima di allora il Governo dovrà esercitare la delega per il recepimento delle norme, ed è auspicabile che, vista la delicatezza della situazione, si affidi alle indicazioni del Garante per la privacy, l’Autorità che finora – e da 20 anni a questa parte a partire dalla presidenza di Stefano Rodotà, poi con quella di Franco Pizzetti e adesso con Antonello Soro – ha dimostrato comando della disciplina, grande affidabilità e competenza e una visione all’avanguardia delle cose”. Lo dice in un’intervista a CorCom Rocco Panetta, avvocato esperto di privacy e internet, analizzando le priorità che in questo campo hanno di fronte l’esecutivo uscente e quello in arrivo, oltre alle forze politiche impegnate in questi giorni nella campagna elettorale. Panetta terrà proprio sui rischi e le opportunità delle nuove norme una rubrica quindicinale su CorCom, con approfondimenti verticali su singoli argomenti posti dalle normative su privacy e circolazione dei dati in tutti i settori, dalla cybersecurity al marketing, dalla sanità alle tlc. Una serie di “pillole interpretative”, per generare dibattito o dare chiarimenti.
Panetta, siamo ormai al centro di una campagna elettorale. Che posto hanno il digitale, la privacy e la tutela dei dati?
Credo che sia il momento di fare un appello forte alla classe politica e alle istituzioni perché mettano il digitale al centro dell’attenzione ma in una maniera diversa rispetto al passato. Che sia una questione importante lo testimonia perfino il discorso di fine anno della Regina d’Inghilterra. Nonostante la Brexit, e nonostante i 91 anni d’età che testimoniano come non sia una nativa digitale, Elisabetta II ha detto che il 2018 dovrà essere caratterizzato, tra le altre cose, dall’allineamento alle regole Ue del Gdpr. Dovrà essere una priorità anche per l’Italia, perché non possiamo limitarci a subire le norme. Provo a fare un esempio: proprio in questi giorni l’Iapp, International Association of Privacy Professionals, ha pubblicato una survey in cui è stato chiesto a un campione di aziende americane ed europee cosa stanno facendo in vista dell’entrata in vigore del Gdpr. Sorprendentemente ne è emerso che le aziende Usa sono più avanti di quelle Ue nella tabella di marcia. Questo ovviamente perché la sensibilità sui temi legati all’uso dei dati è molto più sviluppata oltreoceano rispetto a noi, sebbene prevalentemente sotto il profilo della valorizzazione economica del dato. Ma il bello è che negli USA anche le regole europee sono occasione di business, motivo per creare valore, usando le regole come leva, per creare continuo vantaggi competitivi. Noi, al riguardo combattiamo più spesso una battaglia di retrovia in cui ci si adegua alle norme piuttosto perché si ha paura delle sanzioni.
Quali sono gli ostacoli principali che un’azienda straniera si trova ad affrontare in questo campo in Italia e in Europa?
Questo regolamento ha posto con grandissima forza una serie di principi e regole che danno esattamente il perimetro rispetto a ciò che si deve fare e sono “technology friendly”, attraverso principi universali destinati a durare decenni, come la privacy by design relativa a prodotti, servizi e applicazioni e la relativa valutazione degli impatti. Il Gdpr è una norma avanzatissima nel panorama internazionale, che però i singoli Stati membri dell’Unione stanno adottando “diluendola” di volta in volta all’interno dei sistemi normativi nazionali, con il rischio di riproporre a livello nazionale proprio quelle asimmetrie che il regolamento voleva superare, continuando ad essere un problema per gli investitori stranieri che operano in Ue. Ma d’altronde avremmo dovuto immaginare tutto ciò, considerato che dopo la pubblicazione del Gdpr, nell’aprile 2016, molto è cambiato: si sono tenute le elezioni europee, ed è stato eletto un nuovo Parlamento e una nuova Commissione. Il vento antieuropeista ha iniziato a soffiare, e i singoli paesi invece che recepire “in pieno” il regolamento lo hanno iniziato a piegare qua e là alle esigenze nazionali. Per prima la Germania ha aperto la strada a tutti gli altri. Hanno fatto seguito anche l’Austria, l’Irlanda, e ben altri 13 Stati sono in dirittura di arrivo. In Italia il recepimento del Gdpr è in mano al governo uscente, ovvero potrebbe essere uno dei primi atti del nuovo esecutivo: avendo il Parlamento dato la delega poco prima dello scioglimento delle Camere con termine a sei mesi, l’esercizio della delega potrebbe cadere a cavallo tra i due Governi.
Sarà questa una delle priorità del governo uscente?
Credo che l’esercizio della delega sul Gdpr sia una questione di capitale importante. Sarebbe bene tra l’altro affidarsi al 100% al regolamento, coinvolgendo in questo processo l’Autorità Garante, perché mai come in questa partita è proprio l’Authority, che da 20 anni ci ha abituati a essere il miglior presidio per i cittadini, ma anche il miglior consigliere per le imprese e la Pubblica amministrazione, adottando provvedimenti avveniristici e innovativi, che può ancora fare la differenza. In questo modo il Garante potrebbe guidare questa opera di armonizzazione e far sopravvivere i provvedimenti nazionali davvero utili al mercato.
Passata la transizione, il Paese avrà un nuovo parlamento e un nuovo governo. La privacy e la data protection dovranno entrare nel programma dei primi 100 giorni?
Sarebbe auspicabile, intanto, che il nuovo governo metta all’interno del Ministero dello sviluppo economico o direttamente a Palazzo Chigi un presidio sul digitale, autorevole e riconoscibile, un po’ come è già avvenuto nel recente passato con Raffaele Tiscar sulla banda ultralarga e con Diego Piacentini per la modernizzazione della PA. Ci sarebbe così un interlocutore unico capace di avere una strategia sul digitale, e di essere un punto di riferimento per l’industria, i mercati e le professioni. Non si può delegare sempre e tutto al Garante. E poi bisognerà assicurare una presenza più forte e più incisiva a Bruxelles, creando un presidio continuo su questi temi. Il prossimo appuntamento da non mancare sarà la e-privacy regulation, una sorta di Gdpr 2.0: è una occasione che come Paese non dobbiamo mancare. Infine, credo che sia necessario che il nuovo Governo dia più forza all’Autorità Garante della privacy, in linea con quello che sta accadendo nel resto d’Europa. E’ un modo per misurare l’attenzione che si mettono su questi temi. E se l’Italia non rinfoltirà l’organico dell’Authority e non le assicurerà più risorse, non potremo stupirci se continueremo a rimanere agli ultimi posti nelle graduatorie sul digitale. Sarebbe bello poter leggere queste prospettive nei programmi dei partiti politici che si apprestano alle elezioni di marzo.