“I poteri del Garante italiano e di tutte le altre DPA sono diventati molto più incisivi e forti. La necessità però di un coordinamento continuo e costante con le altre Autorità europee e le istituzioni di Bruxelles fa sì che sia urgentissimo potenziare l’organico dell’Autorità con più esperti Ict, più giuristi ed economisti al tempo stesso. Ora la partita non è più solo tecnica, ma è anche politica e l’authority non può essere lasciata sola da Parlamento, Governo e magistratura. Deve finire il tempo di un’autorità che gioca in attacco ed in porta al tempo stesso, nel più totale disinteresse delle istituzioni e dei giornali”: all’indomani della Relazione annuale traccia un quadro delle sfide di fronte all’Italia, e non solo, Rocco Panetta, managing Partner di Panetta & Associati e Country Leader per l’Italia e membro del CdA della IAPP International Association of Privacy Professionals.
La partita privacy è balzata prepotentemente in primo piano: per il Garante si prospetta un ruolo sempre più centrale?
Vi sono alcuni fatti senza dubbio rilevanti e congiunturali che giustificano il perché la normativa sulla c.d. privacy è tornata con prepotenza alla ribalta negli ultimi tempi. Cerchiamo di sintetizzarli con ordine. Anzitutto, il 2018 è l’anno della piena applicabilità del Regolamento Europeo Generale sulla libera circolazione e protezione dei dati personali, anche noto con l’acronimo Gdpr, e che dal 25 maggio di questo anno ha sostituito la Direttiva 95/46 sulla quale era basato il Codice Privacy italiano (d.lgs. n. 196/2003). L’entrata in vigore del Gdpr ha confermato molti degli adempimenti per imprese, cittadini e pubbliche amministrazioni già noti da vent’anni, ma ha introdotto obblighi nuovi (es. data breach notification; valutazione impatto privacy; nomina DPO; privacy by design/default; misure di sicurezza modulari; ecc) e nuovi diritti per gli interessati (es. diritto alla portabilità; alla limitazione del trattamento; a rifiutare trattamenti automatizzati senza consenso; ecc.). Ma sopratutto il Gdpr ha introdotto sanzioni inedite, che nella misura massima possono raggiungere i 20 milioni di euro o, per i trasgressori con fatturato, il 4% del fatturato annuo mondiale.
Che tipo di effetti si prevedono?
Il Gdpr è una normativa europea uniforme i cui effetti, e la cui applicabilità, travalicano addirittura i confini materiali dell’UE attraverso lo spazio creato dal web: infatti, gli effetti del Gdpr si faranno sentire sempre più anche in tutti quei casi in cui il trattamento di dati derivi dalle attività online svolte da soggetti non stabiliti fisicamente in un Paese dell’UE, ma che tuttavia si rivolgono ed interessano persone fisicamente stabilite in Europa, e ciò ogni qual volta i trattamenti siano una conseguenza di offerte online di beni e servizi, anche gratuiti, come nel caso dei social media, da parte di società stabilite fuori dell’UE.
E’ chiaro che con tali e tante novità il mondo ha recepito, chiaro e forte, che la musica è cambiata e che a questo punto chi volesse continuare ad avere rapporti di qualsiasi tipo con l’UE dovrà fare i conti con la legge sull’uso dei dati, c.d. privacy, adeguandosi a principi e norme di dettaglio poste dal Gdpr.
Io ho il privilegio di sedere nel CdA della più grande organizzazione che raccoglie i professionisti della privacy nel mondo, la IAPP – International Association of Privacy Professionals, con sede vicino Boston, in USA e posso garantire che l’attenzione oltreoceano alle dinamiche europee pre e post Gdpr è stata massima e quasi ossessiva a partire dagli ultimi anni, a differenza dell’Europa e dell’Italia dove solo negli ultimi mesi non si è parlato d’altro se non di privacy e Gdpr, ma spesso male e con il solito atteggiamento del “mordi e fuggi”.
Il caso Cambridge Analytica ha sparigliato i giochi…
In verità era noto agli addetti ai lavori da almeno un triennio, ma è esploso, per opinione pubblica, solo la scorsa primavera portando un noto imprenditore americano ad essere ascoltato dal Parlamento Europeo e da quello statunitense, con aperture di fascicoli di approfondimento presso molte autorità e procure europee e statunitensi. Il caso rappresenta la conferma di un trend noto e chiaro, i cui effetti, finora, potevano essere contrastati con scarso successo e con modesti mezzi, attuabili qua e là a macchia di leopardo – non dimentichiamo che le precedenti leggi sulla privacy non fornivano a tutte le Autorità di protezione dati dell’UE analoghi poteri: intere giurisdizioni per anni non hanno potuto mai contrastare il trattamento illecito dei dati per l’assenza di adeguati strumenti. Il Belgio, l’Irlanda, in cui sono stabilite molte multinazionali, per citare solo i casi più eclatanti, non avevano alcun poter sanzionatorio; la stessa Gran Bretagna ha dotato l’ICO – il Garante inglese – di poteri sanzionatori solo da qualche anno. Paesi come Italia, Francia o Spagna hanno invece da sempre avuto poteri sanzionatori, ma limitati, e quindi l’azione coordinata a livello europeo è stata per anni mortificata. Certo fa sorridere la notizia fatta circolare oggi dall’ICO circa la imminente irrogazione di una sanzione ad uno dei più popolari social network a livello mondiale: sanzione che sarà tuttavia parametrata a quanto previsto dalle previgenti norme, che in UK non permettono di superare nel massimo 500.000 Sterline, una inezia se comparata alle sanzioni introdotte dal Gdpr.Ora il quadro cambia decisamente. Ad ogni modo si segnala che recentemente il Garante italiano ha irrogato sanzioni che in un solo caso hanno raggiunto gli 11 milioni di euro, a dimostrazione che in casi eclatanti, la forza dell’Autorità si è comunque fatta sentire. Tuttavia considerata la scala di taluni fenomeni e la complessità nei flussi di dati, solo un coordinamento effettivo tra le 28 Data Protection Authority, in seno all’EDPB (European Data Protection Board), di fresca istituzione, può contribuire a regolare meglio i mercati, in via preventiva e repressiva, se necessario.
I poteri del Garante italiano e di tutte le altre DPA sono diventati molto più incisivi e forti. La necessità però di un coordinamento continuo e costante con le altre Autorità europee e le istituzioni di Bruxelles, EDPB e EDPS in primis, fa sì che sia urgentissimo potenziare l’organico dell’Autorità con più esperti ICT, più giuristi ed economisti al tempo stesso, per poter meglio contribuire a scrivere le regole comuni europee, ad analizzare gli impatti economici della regolazione e a misurare per bene l’adeguatezza delle misure adottare da titolari e responsabili del trattamento.
La relazione del Garante ha posto l’accento su alcuni snodi cruciali: quali vede come più urgenti e quali sono le strade per affrontarli?
Senza dubbio c’è grande attesa rispetto alle azioni di enforcement che l’Autorità sarà in grado di porre in essere. Il Presidente Soro non si è sottratto al riguardo ed ha messo in guardia chi crede che possano non esserci controlli o che il Gdpr, in quanto complesso e gravido di ritardi più o meno fisiologici, possa essere annacquato da un approccio buonista in sede di ispezioni. Se gli abbondanti due anni concessi dalla normativa comunitaria per l’adeguamento e l’armonizzazione al Gdpr non sono bastati a taluni, bene per essi i rischi sono adesso alti. Purtroppo a fronte di tanti soggetti seri e virtuosi che hanno investito nell’adeguamento per tempo e con risorse umane e finanziarie appropriate, c’è una grande fetta di imprese e p.a. inadeguate, a limite dell’illiceità, o solo totalmente inconsapevoli e spesso preda di chi offre per poche migliaia di euro pacchetti completi fatti da assessment, remediation e funzione DPO inclusa nel prezzo. Quindi, per rispondere alla sua domanda, senza dubbio l’enforcement sarà la prima sfida.
Poi c’è quella di capire fin dove potrà spingersi il nuovo concetto di giurisdizione introdotto dal Gdpr, di cui parlavo prima, e quali conseguenze potranno generarsi sia sul piano delle ispezioni sia su quello della tutela dei diritti degli interessanti e del foro competente, in ragione dell’allargamento di tale nozione che tuttavia non è accompagnato da una parallela omogeneizzazione degli ordinamenti giuridici dei vari Paesi. Il rischio è quello di un serio vulnus al principio di sovranità e la violazione surrettizia di norme importanti come quelle sui lavoratori, sul credito, sulla sanità, oppure semplicemente il ritorno ad approcci asimmetrici che è proprio ciò che il Gdpr vorrebbe correggere.
Sfide impegnative per l’authority…
Non saranno affrontate dal Garante in solitaria. La nuova istituzione dell’EDPB è stata creata per questo. Occorrerà capire che peso l’Italia riuscirà ad avere in seno a tale Board. Le professionalità espresse da sempre dal Garante in tal senso fanno ben sperare. Ma qui la partita non è più solo tecnica, ma è anche politica e il Garante non può essere lasciato solo da Parlamento, Governo e magistratura. Deve finire il tempo del Garante che gioca in attacco ed in porta al tempo stesso, nel più totale disinteresse delle istituzioni e dei giornali.
Segnalo a tal ultimo riguardo solo un aspetto: alle 16.00 di ieri pomeriggio, ultima ora in cui ho monitorato i principali giornali italiani online, almeno nella versione mobile, non offrivano alcun articolo di cronaca e men che meno di approfondimento sulla relazione annuale del Garante al Parlamento: un insulto all’opinione pubblica, e una mortificazione per la categoria dei giornalisti, con poche eccezioni tra cui proprio CorCom. Eppure già solo la notizia dell’incremento delle denunce di data breach fino al 500% nell’ultimo mese, riportata dal Presidente Soro avrebbe permesso a tutti di scrivere fiumi e fiumi di articoli a tal riguardo.
Tornando al caso Facebook, ha messo in luce i nuovi rapporti di forza nel mercato dei dati e delle piattaforme: siamo a un punto di non ritorno?
Non credo che siamo ad un punto di non ritorno. Siamo piuttosto ad un punto di svolta. Sento ancora in giro la retorica contro i grandi del web esprimersi in un atteggiamento oscillante tra il rassegnato – “ormai hanno vinto, i dati sono perduti, la privacy è finita ed il mercato online e del digitale è tutto nelle mani di USA e Cina” – ed il programmatico aggressivo – “per anni gli OTT hanno avuto mano libera a scorrazzare sui nostri mercati, ora è arrivato il nostro momento e non sarà una nuova legge sulla privacy a fermarci”. Entrambi gli atteggiamenti sono a mio modesto parere totalmente errati e pericolosi per i mercati ed il futuro delle nostre economie e democrazie. I prossimi mesi ed anni ci diranno se ci ho visto giusto oppure mi sbagli.
Che strumenti hanno concretamente le authority europee? Che contributo può dare l’Italia?
L’Italia è storicamente uno dei Paesi locomotiva nel settore della circolazione dei dati personali. Non dimentichiamo mai il contributo dato da Stefano Rodotà, da un anno purtroppo scomparso, sia in Italia come giurista e studioso di questi temi sin dalla fine degli anni sessanta del secolo scorso e come Presidente del Garante privacy, sia all’estero, come padre costituente della Carta dei Diritti dell’UE di Nizza e come Presidente del Gruppo dei Garanti privacy europei. Oltre al contributo che continua a dare il Presidente dell’EDPS European Data Protection Supervisor, Giovanni Buttarelli, già Segretario generale del Garante per tanti anni. La storia e la giurisprudenza dell’Ufficio del Garante hanno fatto scuola, ma sono tuttavia poco note agli operatori e ai mercati che al solito guardano di più a ciò che fa e dice l’ICO inglese o la CNIL francese. L’Italia in questo sconta il suo nanismo economico nel club delle grandi potenze mondiali, la forte discontinuità politica e la sua tragica incapacità di comunicare il portato di un lavoro di anni ricco di contenuti e attento quasi sempre al bilanciamento tra esigenze delle imprese, delle p.a. e degli interessati.
A suo parere la strategia intrapresa va nella giusta direzione?
Sono convinto che siano necessari dei correttivi. L’Autorità ha fatto tanto, ma ora con il Gdpr deve essere messa nelle condizioni di poter fare di più e di essere più incisiva. Il prossimo anno vedrà non solo l’auspicato potenziamento dell’organico, ma anche il cambio dei quattro componenti del Collegio. Un passaggio cruciale che non sempre si rivela, in queste Autorità, del tutto indolore. Il Parlamento e il Governo devono investire molto nella comprensione delle nuove tecnologie e dei relativi impatti per poter regolare i mercati e spingerli nella direzione della crescita accelerata ed esponenziale. Al momento non possiamo che aspettare e vedere cosa succede. Il Gdpr fornisce formidabili strumenti per governare il cambiamento, disciplinare e rendere sicura l’intelligenza artificiale, evitando che digradi verso la stupidità artificiale o addirittura sdogani il crimine sintetico.