Mancano soltanto otto mesi all’entrata in vigore del nuovo regolamento europeo per il trattamento dei dati personali, il Gdpr, ma per l’Italia – che pure è tradizionalmente all’avanguardia in questo campo rispetto agli altri Paesi europei, e ha dato con la propria authority nazionale sulla privacy un contributo importante alla nascita delle nuove norme – ci sono ancora elementi di criticità che possono rendere più difficile l’avvio del nuovo corso. Ad analizzare la situazione è Rocco Panetta, avvocato esperto di Internet e tutela dei dati, storico collaboratore di Stefano Rodotà e dirigente per diversi anni presso il Garante privacy, che ripercorre con CorCom i “punti critici” – a oggi – in vista dell’implementazione del Gdpr. A iniziare dal fatto che il legislatore dovrà mettere mano a una norma, più volte annunciata durante i tavoli tecnici, che “armonizzi il Gdpr con l’ordinamento giuridico esistente – spiega Panetta – tenendo in considerazione i provvedimenti già in vigore emanati nel tempo dall’autorità garante”.
Panetta, quali sono i rischi se questo non dovesse avvenire in tempi rapidi?
Lo scopo del regolamento era di avere un’unica norma uniforme, valida in tutti i Paesi Ue e di dare al nuovo Garante europeo dei dati il potere di regolare i mercati con provvedimenti, indicazioni, linee guida uniformi. A regime, quindi, con il Gdpr in vigore, il ruolo dei garanti nazionali si rifocalizzerebbe maggiormente sull’enforcement delle norme, sull’investigazione, sulle sanzioni e forse un pò meno sul versante regolatorio. Ciò non toglie però che fino a ora abbiamo vissuto 20 anni di regolamentazione puntuale dei garanti nazionali, con provvedimenti, come nel caso italiano, che hanno fatto giurisprudenza e scuola, e sui quali i mercati, gli operatori dei players nei diversi settori privati e pubblici hanno tarato metodi e finalità dei trattamenti di dati. In Italia, ad esempio, chi tratta dati per fini di marketing o profilazione dal 2005 deve chiedere due consensi separati e può conservare le informazioni raccolte, in maniera segregata e fino ad un massimo di 12 e 24 mesi. Una norma senza dubbio restrittiva, che altrove non esiste. La domanda è: con il Gdpr, questa norma sopravvivrà o cadrà? Il nuovo regolamento dice che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il Gdpr, ma se su questo tema, così come su centinaia di altri temi di dettaglio, il Garante e il Governo (che ha già ricevuto la relativa delega dal Parlamento) non si pronunciano in maniera chiara e al più presto possibile, il rischio è che si crei un serio vuoto normativo, lasciando il campo o ad iniziative estemporanee oppure ad un singolare “liberi tutti”. D’altro canto la Germania ha già emanato una nuova legge sulla privacy che tiene conto proprio del Gdpr, raccordando il regolamento con la normativa vigente, e anche il Regno Unito, nonostante la Brexit, si è in tal senso già attrezzato. Per l’Italia, nonostante il momento politicamente delicato da qui a maggio, basterebbe anche una norma semplice, in esercizio alla legge delega già in essere, che demandi al Garante, coadiuvato magari da una commissione ad hoc, l’attualizzazione delle norme e dei propri provvedimenti alla luce del Gdpr. Ma è fondamentale che il Governo faccia presto ciò che hanno più volte annunciato, per evitare che ci si trovi a rincorrere un’emergenza.
Anche sulla nomina del data protection officer, una delle figure chiave del regolamento, emergono criticità?
Ogni volta che si cala dall’alto una figura nell’organizzazione delle aziende o delle amministrazioni pubbliche si fa un’operazione a rischio ed in questo caso anche molto complessa. Il regolamento chiede al Dpo una serie di competenze trasversali, giuridiche, informatiche, di marketing, gestionali; inoltre, si richiede molta esperienza nel settore, anche da punto di vista emotivo e psicologico, che difficilmente può essere associata ad un new entrant nel mercato del lavoro. Il data protection officer deve riportare direttamente all’Ad o al Cda, e deve potersi confrontare con queste figure aziendali senza soggezione. Anche sul piano della personalità, il Dpo, assumendo il ruolo di garante della “ ccountability”, della credibilità dell’azienda anche nei confronti dell’autorità Garante, deve essere persona strutturata e di esperienza. Il problema principale oggi è reperire sul mercato queste figure: le aziende stanno provando a mettersi in regola, si lanciano beauty contest, selezioni, e succede che al solito si parte con le grandi ambizioni e poi si va al ribasso. Fino ad arrivare a persone che offrono i propri servigi per poche migliaia di euro – cosa che sta pericolosamente avvenendo anche sul fronte della consulenza in vista della compliance al Gdpr – sottovalutando la portata dell’incarico e senza avere le capacità per assumerlo. Il rischio è che si infesti il mercato di soggetti che non rispettano i parametri di qualità richiesti dalla legge e dal ruolo. Questo dovrebbe diventare una priorità per l’autorità, e le aziende dovrebbero avere ben presente che è inutile essere precipitosi, il tempo per scegliere bene c’è ancora, che si tratti di una figura interna all’azienda, come è più indicato per le grandi aziende, o di un esterno, come è più semplice e probabilmente conveniente per le Pmi.
Il Gdpr prevede sanzioni pesanti per chi non si adegua o trasgredisce. Ma ci sarà la capacità di applicarle?
Con il nuovo regolamento il sistema sanzionatorio fa un salto di qualità. Io sono del parere che al Gdpr sia bene adeguarsi non per paura delle multe, ma perché da un uso corretto dei dati si possono trarre profitti, perché la legge è intelligente e, conoscendola, permette di fare tante cose in sicurezza e serenità. Detto questo, le sanzioni ci devono essere, sennò sarà il “tana libera tutti”. Così il Gdpr prevede che le sanzioni possano arrivare fino a 20 milioni di euro, o addirittura, nei casi più gravi, fino al 4% del fatturato annuale mondiale del trasgressore, nonostante anche su questo siano ancora necessari alcuni chiarimenti, su quale fatturato considerare per misurare la sanzione. Si dovrà capire anche se le sanzioni penali, previste dalla legge italiana vigente, rimarranno in vigore con il Gdpr a regime. Ma il vero problema è creare le condizioni per far si che nel caso sia necessario irrogare sanzioni, il garante, a fronte di un lavoro in prospettiva sempre più impegnativo, dia in grado di fare per bene il suo lavoro. In tal senso, il Garante, come avviene anche all’estero, sta chiedendo da mesi nuove risorse, nuovi fondi e nuove tecnologie da poter utilizzare per fare fronte ai nuovi poteri e all’allargata capacità sanzionatoria. L’organico deve essere infoltito con professionalità alte e indipendenti. Al momento è ferma in un ramo del Parlamento una norma approvata dall’altro ramo che prevede un incremento dell’organico del Garante di solo una ventina unità. Qui la sfida impone un cambio di passo: neanche il raddoppio dell’organico a mio avviso sarebbe sufficiente!
Infine il “mito” del “onestopshop”: davvero adeguarsi al Gdpr potrà tradursi nel chiedere un’autorizzazione in Irlanda e poter lavorare liberamente su tutto il territorio europeo?
E’ comprensibile che l’Ue abbia in questo caso abbandonato il modello della direttiva e adottato un regolamento: è un modo per favorire la nascita del digital single market, mettendo una base comune a tutti i Paesi sul trattamento dei dati. Ma non dobbiamo dimenticare se da questo punto di vista si cerca unità, per tanti altri versi l’Unione rimane divisa, come ci ricordano le cronache quotidiane. Per questo potrebbe essere pericoloso, e in prospettiva ingenerare confusione, il fatto di presentare il Gdpr come uno “onestopshop”: se è vero che potrebbe essere una killer application, è allo stesso tempo vero che le aziende non potranno fare a meno di misurare il proprio livello di compliance alle tante altre norme locali che si intrecciano indissolubilmente con quelle sulla privacy, altrimenti a regnare sarà la confusione, con un incremento del contenzioso. Se ad esempio in Italia una società che volesse installare un sistema di videosorveglianza in un negozio lo facesse in uniformità con le norme del Gdpr, magari avendo chiesto una autorizzazione a Berlino, ma senza chiedere il nulla osta alla direzione territoriale del lavoro o confrontarsi con i sindacati, riceverebbe una multa, in barba la principio dello “sportello unico” introdotta con il concetto di onestopshop. Occorre in tal senso creare maggiore awarness e sfatare alcuni miti pericolosi per le aziende.