Il Gdpr è ormai realtà da tempo, ma qual è la situazione in Italia? Le aziende si sono adeguate o ci sono ancora ritardi? L’avvocato Giusella Finocchiaro, professoressa ordinaria di Diritto privato e di Diritto di internet nell’Università di Bologna, dal 2014 Presidente del Working Group dell’Uncitral (Commissione delle Nazioni Unite per il diritto del commercio internazionale) sul commercio elettronico e da quest’anno consulente legale della World Bank, fa il punto con CorCom sullo stato dell’arte e sulle sfide prossime venture anche e soprattutto tenendo conto del nuovo “pacchetto” di misure approvato dalla Commissione Ue in ambito di mercato unico digitale e della necessità del mondo della sanità di fare il salto nel digitale complice l’emergenza sanitaria. Entrato in vigore nel 2016 ma direttamente applicabile in tutti gli Stati membri dal 2018 il Regolamento Ue 2016/679 in Italia fa capo al d.lgs. 10 agosto 2018, n. 101 recante le norme di adeguamento dell’ordinamento nazionale al quadro europeo.
“Il decreto ha accolto, in parte, il progetto elaborato dall’apposita Commissione che ho presieduto, incaricata dal Governo di adeguare il quadro normativo italiano alla normativa europea. Del testo redatto dalla Commissione è stata accolta la scelta di abrogazione espressa di molte norme del Codice privacy, che ha costituito un’operazione di semplificazione di grande rilievo, anche culturale”, spiega a CorCom Finocchario la quale, nel 2017 è stata nominata Presidente del Gruppo di lavoro, presso l’ufficio legislativo del Ministero della Giustizia, incaricato di provvedere alla predisposizione dei decreti legislativi in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.
Finocchiaro come siamo messi in Italia?
Dal 2016 le imprese, anche a fronte delle severe sanzioni amministrative contenute dal Regolamento, si sono attivate per adeguarsi. In certi settori, tuttavia, si registrano ancora significativi ritardi oppure un’applicazione meramente formale della normativa vigente, senza averne colto le novità più interessanti e ancor meno lo spirito di riforma. Ancora pochi, per esempio, applicano il “legittimo interesse” come base giuridica del trattamento, pochi hanno compreso in pieno lo spirito dell’accountability e vedo poco applicato anche il bilanciamento che è al cuore dello stesso Gdpr, fra protezione dei dati personali e libera circolazione degli stessi.
La figura del Dpo è necessaria e fondamentale a livello di imprese e PA eppure non sempre ci si rivolge a figure qualificate dotate di certificazione a causa dei mancati obblighi. Non crede che invece sia necessario imporre vincoli stringenti nelle nomine affinché si eviti l’improvvisazione?
Il Gdpr non prevede specifiche attestazioni formali o l’iscrizione in appositi albi per svolgere il ruolo di Dpo. D’altronde, i requisiti sono già ben delineati nel Regolamento e la loro valutazione è rimessa in capo al titolare del trattamento che deve responsabilmente verificare che il soggetto possieda un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Certamente, una specifica formazione può essere assai rilevante. Se il titolare sceglie Dpo inadeguati, ne è responsabile sotto ogni profilo.
L’Europa ha appena approvato il nuovo pacchetto di misure sul Digital Services Act e il Digital Market: molte le critiche e le obiezioni, quali sono le principali novità sul fronte privacy e data protection?
Il Digital Services Act, così come il Digital Market Act, non modifica il Gdpr ma anzi appare complementare rispetto alle norme in materia di protezione dei dati personali che ne risultano rafforzate. Si prevedono, ad esempio, in capo ai fornitori delle piattaforme digitali obblighi di trasparenza e di informazione, meccanismi obbligatori di opt-out, che non solo contribuiscono all’enforcement del Gdpr ma addirittura, in taluni casi, innalzano il livello di garanzia ivi previsto a protezione dei dati personali.
Secondo lei quali saranno nel 2021 le questioni legate alla privacy che maggiormente prenderanno quota?
Cresce la necessità di riutilizzare dati personali per finalità diverse da quelle per cui sono stati originariamente raccolti. Ciò si riscontra soprattutto nel campo della ricerca scientifica e nelle applicazioni di intelligenza artificiale. Non possiamo bloccare la ricerca scientifica, che in un Paese come l’Italia costituisce una delle leve più importanti per ripartire. I nostri ricercatori, che sono fra i migliori del mondo, nonostante i limitati investimenti del Paese, devono essere posti nelle stesse condizioni dei ricercatori di altri Paesi europei. Tutti possiamo trarre beneficio da un’applicazione più sostanziale e meno formalistica delle norme vigenti in materia di privacy, coniugando protezione dei diritti fondamentali e ricerca.
La sanità si prepara per la sfida digitale complice la pandemia da Coronavirus: crede che ci siano sufficienti professionisti nel nostro paese a garanzia della tutela della privacy dei dati sensibili? O che si aprirà una criticità enorme dal punto di vista delle competenze?
Senz’altro negli ultimi due anni abbiamo assistito ad una crescita esponenziale di figure professionali che si dichiarano esperte della protezione dei dati personali. Non sempre, tuttavia, le competenze dichiarate corrispondono ad una reale esperienza giuridica consolidata. Non è il giurista della privacy che serve, ma il giurista a tutto tondo, che conosca bene “anche” la normativa sulla privacy. Non dimentichiamo che l’ordinamento giuridico è un sistema complesso, del quale una parte importante oggi è costituita dalle norme sulla protezione dei dati personali. Chi conosce soltanto queste ultime norme non è un giurista completo e spesso non ha gli strumenti per porre in essere il bilanciamento che sta al cuore del Gdpr. Occorrono soluzioni non formali e non semplicistiche, che consentano, come recita il titolo del Gdpr, di coniugare la protezione dei dati personali e la libera circolazione degli stessi.