What's New

Il Regolamento Privacy Europeo: rivoluzione agrodolce in vista

Articolo dell'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy, pubblicato su Il Corriere della Privacy, n. 2 Febbraio 2012 www.corrieredellaprivacy.it

Arriverà una nuova privacy europea? Pare proprio di sì, e sarà una normativa decisamente rivoluzionaria, uniforme, ambiziosa (c'è chi dice troppo). Il 25 gennaio 2012 è stato ufficialmente avviato l'iter legislativo ordinario, essendo stato presentato dalla Commissione il testo della Proposta di Regolamento: si prevede ora un periodo di circa un anno per la conclusione dell'iter (approvazione da parte del Parlamento Europeo e del Consiglio) e l'entrata in vigore della nuova legislazione.

Il Regolamento sarà direttamente applicabile in tutti gli Stati Membri UE, senza bisogno di recepimento come accade, invece, con le Direttive. Ci ritroveremo sotto un ombrello normativo europeo comune, cioè rispetteremo tutti le medesime regole senza possibilità di “sfumarle” differentemente da Paese a Paese. Se il testo non subirà blocchi o stravolgimenti, l'applicazione del Regolamento dovrà attuarsi entro due anni dalla sua entrata in vigore e quindi è ragionevole immaginarlo efficace entro 36 mesi.

Cosa cambierà? Moltissimo. Il Regolamento sostituirà la Direttiva 95/46/EC, la cosiddetta “Direttiva Madre” sulla data protection europea, ma impatterà fortemente anche sui codici privacy nazionali: infatti, non potranno sopravvivere al Regolamento tutte quelle norme contenute nelle leggi degli Stati Membri che si riveleranno incompatibili con quanto stabilito a livello comunitario. L'incompatibilità non dovrà consistere necessariamente in un contrasto, e questo darà molto lavoro agli interpreti e agli uffici legislativi, prima, e ai tribunali, poi. Questa Regulation non sostituirà, però, la Direttiva e-Privacy (2002/58/EC).

Con il Regolamento arriveranno nuove tutele e nuovi diritti per gli interessati, e immancabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Sarà introdotto esplicitamente il diritto all'oblio: ogni persona potrà, per motivi legittimi, richiedere la cancellazione dei propri dati in possesso di terzi. Questo accadrà, per esempio, on line, quando un utente farà eliminare i propri dati in possesso di un social network o di altro servizio web (la regola di fatto, oggi, è che questi operatori continuano a conservare i dati dei loro utenti anche dopo la disiscrizione dai servizi).

Troveremo poi il diritto alla portabilità dei dati personali, il che significa che potremo esigere, per esempio, da un fornitore di servizi cloud di rubrica on line, la rapida e facile esportabilità dei dati personali così memorizzati, in un formato compatibile con i sistemi di altri cloud service providers.

Più in generale, gli interessati avranno diritto alla massima trasparenza e ad essere compiutamente informati su ogni trattamento dei loro dati personali, anche quando operato in complesse e articolate filiere di sub-appalto (si pensi, appunto, al caso del cloud computing). Finalmente, inoltre, si provvederà espressamente a proteggere i dati dei minori: almeno in questo, la UE sembra avere imparato qualcosa dalla privacy USA.

Per Titolari e Responsabili del trattamento le novità saranno parecchie, e pesanti. Il principio della accountability comporterà l'onere di dimostrare l'adozione di tutte le misure e cautele privacy in capo a chi tratta i dati, senza formalismi e badando alla sostanza. Dovranno essere costituite e conservate apposite documentazioni attestanti il “modello organizzativo e di sicurezza privacy” (il che fa sorridere, se pensiamo alla recentissima abolizione del DPS in Italia), saranno necessarie “valutazioni d'impatto sulla protezione dei dati personali”, in caso di trattamenti rischiosi, e verifiche preliminari da parte del Garante in diverse circostanze. Si supererà, peraltro, l'istituto della notificazione all'autorità, con evidente semplificazione per le attività d'impresa pluri-nazionali.

Altra grande novità verrà dall'obbligo, per le imprese sopra i 250 dipendenti e per tutti gli enti pubblici, di dotarsi di un “data protection officer”, interno o anche esterno, indipendente, competente e in relazione diretta con il vertice dell'organizzazione: inutile dire che questa previsione innescherà un mercato significativo, per dimensioni e responsabilità, per consulenti privacy e avvocati.

Il Gruppo di Lavoro Articolo 29 dei Garanti Europei sarà sostituito dal Consiglio Europeo per la Protezione dei Dati personali, e, in caso di reclami o ricorsi coinvolgenti più Stati Membri, il procedimento verrà guidato da una sola “lead authority” (anche questa sarà una semplificazione per le imprese che operano in più Stati UE).

Le sanzioni saranno altissime, e potranno arrivare fino al 2% del volume d'affari annuale mondiale di un'impresa (così facendo, la data protection si avvicina a multe tipo-antitrust e diviene un tema sensibile anche per i board dei grandi colossi multinazionali).

L'obbligo di notifica di una violazione di dati personali (per esempio, un furto di dati) alle autorità e ai diretti interessati – oggi previsto per i fornitori di servizi di comunicazione – sarà esteso a tutti i Titolari. Una buona notizia, visto che ognuno di noi deve poter reagire a un'emergenza di questo genere nel minore tempo possibile (e non, come accaduto nel 2011 dopo la sottrazione di milioni di numeri di carte di credito ad un grande operatore dei videogiochi, con ritardi di giorni o settimane).

Viene introdotta la figura del “joint Controller” (Titolare congiunto), in modo tale che due autonomi Titolari potranno e dovranno, per un medesimo trattamento di dati personali, concordare in un contratto il perimetro delle rispettive responsabilità privacy, avendo questo accordo rilevanza anche dal punto di vista del controllo da parte dell'autorità amministrativa o giudiziaria. Viceversa, vengono estese le responsabilità per danni e illeciti trattamenti del Data Processor, anche quando queste non siano state specificate nella nomina da parte del Titolare.

Dettagliare qui la miriade di novità portate dalla proposta di Regulation sarebbe impossibile, dato il poco spazio. Dopo un'attenta lettura di ogni “considerando” e di ogni articolo, tuttavia, resta un sapore agrodolce: accanto a innovazioni giuridiche auspicate e intelligenti, compaiono ombre applicative. Gli oneri di compliance a carico delle imprese rischiano di rivelarsi estremamente gravosi; l'introduzione di principi astrattamente nobili, come la data protection “by design” e “by default”, accompagnati da ampie deleghe alla Commissione Europea per stabilire standard e minuzie tecniche (per cui, già in fase di progettazione, la tecnologia dovrà essere immaginata rispettando regole a tutela dei dati che consentirà di trattare), preoccupano per i possibili impatti sull'innovazione, sulla libera scelta degli utenti e sull'apertura dei mercati intra/extra-UE; le restrizioni al trattamento di dati mediante cookie e le rigide regole in materia di dati personali dei minori potrebbero rivelarsi difficilissime da osservare su internet, per ragioni di usabilità.

Senza contare che queste norme privacy europee si applicheranno anche a chiunque, fuori dalla UE, rivolgerà servizi o prodotti a residenti europei, a prescindere dal fatto di usare o meno strumenti collocati sul nostro territorio (già oggi, peraltro, il semplice uso di cookie configura l'applicabilità del diritto privacy UE ad operatori extra-UE): una tale estensione della legge applicabile rischia di rivelarsi tanto ambiziosa quanto difficile da realizzare nei fatti.