Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

l'adeguamento

GDPR, l’Italia si muove in ordine sparso: ecco i rischi dell’incertezza

Il GDPR rappresenta una rivoluzione culturale soprattutto rispetto all’indifferenza e superficialità mostrate finora da alcune imprese verso i temi della privacy. Servono quindi regole certe, ma l’Italia procede verso l’adeguamento con interventi incoerenti, rischiando di vanificare l’effetto semplificazione. Vediamo perché

03 Lug 2018

Gioia Vasintoni

Direzione Legale di Autostrade per l’Italia


Con l’entrata in vigore del GDPR si conferma il trend di proceduralizzazione del diritto di “fare impresa”, già affermatosi in altri settori (salute e sicurezza, responsabilità amministrativa degli enti, anticorruzione, ecc.), attraverso l’imposizione non solo di un’organizzazione strutturale ma anche di procedure per la sua gestione e controllo.

Dirompente sarà l’impatto che la nuova normativa avrà per i nuovi investimenti, soprattutto da parte degli investitori stranieri che stanno dimostrando un interesse crescente per le infrastrutture italiane, come risulta dal trend delle maxi operazioni di M&A dell’ultimo periodo: con le nuove sanzioni imposte, chi intende espandere il proprio business vorrà essere certo di stare acquistando una società che sia pienamente conforme alla legislazione vigente. Servono dunque regole certe per consentire alle imprese italiane di adeguarsi e la diffusione di una diversa cultura del fare impresa.

E l’Italia sul punto? L’Italia dopo un marasma di tentativi di coordinamento mai andati a buon fine, si appresta con molta calma ad approvare il decreto di adeguamento Gdpr. Un’occasione perduta? “Ai posteri l’ardua sentenza”.

L’Italia ed il decreto di adeguamento al GDPR

Il 25 maggio  è entrato definitivamente a regime il nuovo regolamento europeo per la protezione dei dati personali (“GDPR”) che, come noto, in quanto direttamente applicabile in tutti gli ordinamenti degli Stati membri, non necessita di una normativa di recepimento ad hoc.

Merita rilievo ricordare come l’esigenza a livello eurounitario di implementare e rafforzare la tutela dei dati personali attraverso un quadro normativo più strutturato e che prevedesse maggiori obblighi e responsabilità per i titolari del trattamento, sia stata determinata da due fattori:

  • da un lato, la necessità di porre rimedio alla frammentazione normativa dovuta alle varie legislazioni di recepimento adottate dai diversi Stati membri, con riferimento alle previsioni della Direttiva 95/46 (ad oggi abrogata dal GDPR);
  • dall’altro, l’aumento dei flussi transfrontalieri di dati per la crescente innovazione digitale e tecnologica che sempre di più caratterizza il business delle imprese.

Valore aggiunto dei dati e approccio risk based

Non a caso, leggendo attentamente l’art. 1 del GDPR, ben si comprende come il legislatore abbia voluto ponderare due contrapposte esigenze: tutelare e proteggere i dati delle persone fisiche ma, al tempo stesso, favorirne la libera circolazione, in quanto considerati sempre più dei veri e propri asset da valorizzare oltre che da tutelare.

Infatti, com’è stato correttamente osservato da Rocco Panetta in  “La nuova era della protezione dei dati inizia oggi sempre più imprese, anche non operanti esclusivamente nel settore digital, basano i lori profitti sul valore aggiunto dei dati e sulla loro analisi.

Ebbene, nell’ottica di una “deburocratizzazione” finalizzata a favorire una più agile circolazione dei dati, è mutato l’approccio che il Titolare dovrà adottare con riferimento alla loro tutela: infatti, come noto, l’approccio in un certo senso innovativo ex GDPR è un approccio cosiddetto risk based, per effetto del quale il Titolare non dovrà più interfacciarsi preventivamente con il Garante (salvo casi particolari), ma dovrà assumersi la responsabilità di aver adottato, per ciascun trattamento, le misure di sicurezze tecniche e organizzative adeguate allo specifico rischio di violazione per i diritti e le libertà degli interessati.

In sostanza, quella voluta dal legislatore eurounitario è stata, in realtà, una vera e propria rivoluzione culturale, soprattutto rispetto all’atteggiamento d’indifferenza e, talora, assoluta superficialità fino ad oggi tenuto da alcune imprese con riguardo non solo alla privacy ma, più in generale, rispetto a tutte le tematiche riguardanti la compliance (i.e. anticorruzione, 231/01, ecc.).

Merita però a tal riguardo porre in evidenza quanto osservato da autorevoli esperti (per tutti, Luca Bolognini, su Repubblica.it, “Privacy, il confronto si surriscalda arriva la svolta del Regolamento UE“) secondo cui il GDPR, seppur costituisca un notevole passo in avanti rispetto alle prescrizioni del D.lgs. 196/93 (“Codice Privacy“), sarebbe privo di quel quid pluris costituito da una vera e concreta lungimiranza rispetto a quelle che saranno le modalità del trattamento dei dati nel futuro, in realtà già non più tanto lontano.

La direttiva ePrivacy

Ci si sta riferendo, in particolare, all’AI, all’IoT, ai big data, il cui perimetro non conosce limiti: si pensi, solo per citare alcuni esempi, alle nuove applicazioni per l’industria e la logistica, agli strumenti salvavita sulle auto di nuova omologazione, alle smart home fino ai nuovi sistemi biometrici di autenticazione che sostituiranno i documenti di viaggio.

Si può dire che uno sforzo in tale direzione si sta cercando di farlo: infatti, il 10 gennaio 2017 la Commissione europea ha pubblicato la Proposta di regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche che, una volta approvata, abrogherà e sostituirà l’attuale direttiva 2002/58/CE.

Il suddetto Regolamento, che, ancorché con i migliori auspici, potrebbe non entrare in vigore prima del 2019, si applicherà anche ai cosiddetti “Over The Top” (OTT), cioè operatori diversi da quelli che forniscono servizi di comunicazione elettronica “tradizionali”. Si tratta dei fornitori di nuovi servizi digitali, dagli ormai ben noti motori di ricerca a tanti operatori di settori innovativi 4.0.

Conseguentemente, a fronte dell’indiscusso impegno a livello sovranazionale, non può non lasciare perplessi l’atteggiamento che, a livello istituzionale, è stato adottato in Italia.

GDPR, il  rischio frammentazione in Europa

Sebbene il GDPR sia stato adottato nel 2016 e agli Stati membri siano stati dati ben due anni per allineare le rispettive normative nazionali alle nuove prescrizioni, il legislatore italiano si è a lungo disinteressato e quando poi è intervenuto lo ha fatto in modo disorganico.

Più nel dettaglio, nonostante non sia necessaria una normativa interna di recepimento, il GDPR in più casi demanda alla legislazione nazionale il compito di precisare ulteriormente le condizioni per i trattamenti dei dati (a titolo esemplificativo ma non esaustivo, viene in rilievo l’art. 8 per il consenso sui minori, oppure l’art. 9 sul trattamento di categorie particolari di dati, fino ad arrivare all’art. 88, che prevede che gli Stati membri possono prescrivere norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito del rapporto di lavoro). In più, il GDPR ha previsto all’art. 23 la possibilità per gli Stati membri di limitare la portata di taluni obblighi in specifici settori quali ad esempio la sicurezza nazionale, la difesa, la sicurezza pubblica: a dimostrazione peraltro, come correttamente già osservato da alcuni autorevoli commentatori (per tutti, A. del Ninno, “Gli stati possono intervenire. Rischio flop”, Repubblica.it), di come il quadro generale UE sulla data protection, sarà soggetto a delle inevitabili frammentazioni che depotenzieranno in parte l’intenzione originaria di introdurre una legislazione unitaria.

A fronte di tale quadro, solo a dicembre è intervenuta la legge n 163/17 (“Legge di delegazione europea”) che ha conferito la delega al Governo per adottare uno o più decreti legislativi per coordinare il quadro legislativo nazionale con il GDPR (delega non ancora esercitata, tuttavia).

Interventi normativi scoordinati e incoerenti

In più, poche settimane prima del conferimento della delega di poteri al Governo, il Parlamento ha approvato la legge n. 167/2017 (“Legge Europea”) che, inter alia, è andata a incidere sull’articolo 29 del Codice Privacy, recependo modalità di nomina e ruolo della figura del responsabile del trattamento come tratteggiate dal GDPR, ma solo in parte e isolatamente rispetto al resto del regolamento comunitario.

Per non parlare poi, dell’avvenuto inserimento all’interno del Codice Privacy, sempre da parte della Legge Europea, dell’art. 110 bis relativo al “riutilizzo dei dati a fini di ricerca scientifica e statistica“, che prevedeva che il Garante potesse autorizzare l‘uso secondario di dati personali, inclusi i dati sanitari (ma con l’esclusione dei dati genetici), a fini di ricerca scientifica o statistica, a condizione che i dati fossero sottoposti a processi di minimizzazione e anonimizzazione in grado di proteggere gli interessi delle persone coinvolte. Tale disposizione (il cui contenuto dovrebbe essere riformulato con la ridefinizione dei contenuti del Codice Privacy, attesa entro fine agosto), da un lato non teneva conto della “presunzione di compatibilità” del riutilizzo dei dati sanitari per scopi di ricerca, prevista dal GDPR, e, dall’altro lato, chiedeva l’autorizzazione del Garante, in palese contrasto con la logica dell’accountability dei Titolari. Si è trattato, dunque, di un intervento normativo, assolutamente scoordinato e incoerente rispetto alla delega di cui all’art. 13 della Legge di delegazione europea.

Ma non finisce qui.

Con la legge 205/17 (“Legge di Bilancio 2018“), il legislatore italiano è riuscito nel difficile intento di peggiorare ulteriormente la situazione, avendo previsto, all’interno di un corpus normativo composto da una moltitudine di commi sulle più svariate materie, alcune disposizioni che, nell’intento originario, avrebbero dovuto facilitare il coordinamento della disciplina nazionale con il GDPR.

Peccato però che, leggendo attentamente i commi da 1021 a 1023, al di là delle imprecisioni linguistiche e terminologiche, ne era evidente l’assoluto contrasto rispetto allo spirito del GDPR tenendo conto che tali commi prevedevano:

  • l’obbligo di adottare formati interoperabili da parte dei titolari del trattamento, al fine di consentire la portabilità dei dati da un titolare a un altro, su richiesta dell’interessato (obbligo inesistente ai sensi del GDPR), e
  • un meccanismo speciale di notifica preventiva al Garante (in caso di trattamento di dati personali effettuato attraverso nuove tecnologie e strumenti automatizzati, basati sull’interesse legittimo del titolare) (notifica che contrastava con i principi base del GDPR).

In tutto questo marasma di tentativi di coordinamento, è da ricordarsi quanto aveva invano auspicato la Commissione Europea, nella sua comunicazione al Parlamento e al Consiglio del 24 gennaio 2018 quando ha ribadito che il GDPR deve essere “un singolo insieme di regole per cittadini e imprese soggetto a “un’applicazione uniforme e coerente in tutti gli Stati membri“. Infatti, secondo la Commissione, “il GDPR è l’occasione per semplificare il quadro normativo [relativo alla protezione dati] e, quindi, avere meno regole nazionali e una maggiore chiarezza per le operazioni”. Inoltre, “è importante dare agli operatori abbastanza tempo per prepararsi a tutte le disposizioni che devono rispettare” (Privacy Italia.it).

Verso il decreto di adeguamento

Ebbene, sempre nell’ottica di un preciso e celere adeguamento a quanto previsto dal GDPR, il 21 marzo (quindi, all’epoca, a soli due mesi dalla definitiva entrata a regime del GDPR), attraverso un comunicato stampa, il Consiglio dei Ministri rendeva noto di aver approvato in esame preliminare un decreto legislativo di adeguamento al GDPR (“Decreto di adeguamento”) e che la nuova disciplina in materia sarebbe stata rappresentata principalmente dalle disposizioni del suddetto regolamento e da quelle recate dal Decreto di adeguamento con conseguente abrogazione integrale del Codice Privacy.

E’ inutile soffermarsi sulle critiche che si sono via via succedute sul testo dello Schema di Decreto, circolato non ufficialmente: critiche di cui, a livello istituzionale, in ogni caso si è tenuto conto, tanto che, del testo apparentemente approvato in via preliminare dal CdM si è persa ogni traccia fino alla sua riemersione dalle nebbie sul sito della Camera l’11 maggio e con un’ impostazione peraltro diversa da quella fortemente voluta dalla Commissione Finocchiaro.

Nuovo schema di decreto Gdpr, che cambia: soggetti designati, poteri del Garante, sanzioni

Ovviamente, com’era prevedibile, la delega attribuita al Governo a dicembre, non è stata esercitata nei termini previsti e l’Italia, a oggi, ancora non ha un Decreto di adeguamento approvato nella sua versione definitiva (ferma restando la nota proroga al 22 agosto).

In aggiunta e come se non bastasse, l’Autorità Garante per la protezione dei dati personali, a più riprese, ha sottolineato il rischio concreto che il funzionamento dell’Autorità “non possa più essere garantito in ragione degli scarsi stanziamenti ad essa destinati, del tutto insufficienti rispetto alle crescenti e rilevantissime competenze assegnate. Con l’entrata in vigore del nuovo Regolamento, che prevede espressamente per gli Stati membri l’obbligo di assicurare alle Autorità di supervisione risorse umane, tecniche e finanziarie per l’effettivo adempimento dei loro compiti e l’esercizio dei poteri serve, in questo senso, un deciso e significativo cambio di passo nel nostro Paese”.

Non si parte certo con le migliori prospettive.

E’ sicuramente vero quanto già affermato da autorevoli commentatori (inter alia, Franco Pizzetti, “Il GDPR è in vigore senza il decreto italiano: che succede ora“), secondo cui indipendentemente dall’adozione del Decreto di adeguamento, è il GDPR che, a partire dal 25 maggio, deve essere pienamente ed integralmente attuato, con conseguente disapplicazione ex lege del Codice Privacy in virtù della supremazia delle fonti europee su quelle nazionali. E infatti, non a caso, il Governo potrà intervenire solo nelle materie che il GDPR stesso lascia alla legislazione italiana.

I rischi dell’incertezza normativa

E’ altrettanto vero, però, che soprattutto nei confronti delle piccole e medie imprese ma non solo, un maggiore livello di certezza normativa non sarebbe guastato.

A titolo esemplificativo, vale la pena citare l’a3rt. 22 dello Schema di Decreto che prevede che i provvedimenti del Garante, che in Italia hanno da sempre costituito una pietra miliare in materia di privacy e su cui i diversi operatori sul mercato hanno tarato le finalità e modalità dei loro trattamenti, continueranno ad applicarsi “in quanto compatibili con il GDPR ( chi la deciderà questa compatibilità? le imprese in assoluta discrezionalità?) e con le disposizioni del presente decreto” (ad oggi non ancora approvato).

Insomma, allo stato attuale, per certi versi la semplificazione tanto voluta con il GDPR rischia di essere messa in discussione a livello d’implementazione nazionale, causando non poca confusione.

Basti pensare come il GDPR abbia esonerato le PMI con meno di 250 dipendenti dall’obbligo di tenuta del registro dei trattamenti, la cui tenuta, inevitabilmente, avrebbe comportato un dispendio di costi rispetto all’effettiva utilità.

Al tempo stesso però, il Garante nella sua guida ha espressamente affermato che “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell´organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un´accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

In Italia semplificazione a rischio

E’ evidente, alla luce di quanto sopra, come i passi per avviare un processo di effettivo e concreto adeguamento al GDPR non è che siano proprio così chiari.

Occorrerebbe dunque soffermarsi e riflettere su come, a fronte di una rivoluzione culturale nel senso sopra spiegato, in Italia, si sia arrivati così tanto in ritardo rispetto ad altri Paesi dell’UE, all’adeguamento della normativa nazionale.

Infatti, ancor prima delle imprese e delle PA, dirette destinatarie degli obblighi normativi in questione, è a livello istituzionale che, in prima battuta, ci sarebbe dovuta essere una maggiore proattività nella promozione e nella valorizzazione di un nuovo modo di concepire la cultura del trattamento dei dati, ponendo gli operatori nella condizione effettiva di adeguarsi per tempo.

Del resto, la conseguenza diretta di questo “lassismo” generale ha contributo, almeno in parte, a spingere alcune imprese verso un atteggiamento d’iniziale “letargo”, arricchito dalla falsa speranza che, prima o poi, l’entrata a regime del GDPR sarebbe stata prorogata.

Un modello di privacy governance “tailor made”

Solo recentemente è mutato l’approccio, a fronte anche degli innumerevoli interventi formativi sul tema ad opera del Garante e non solo, volti a far comprendere come il percorso di adeguamento al nuovo GDPR sia non solo di carattere formale (sub specie di valutazioni dei rischi, nomine, informative, ecc.), ma di approvazione da parte dei vertici di un vero e proprio sistema di governance aziendale che coinvolge tutta la filiera di soggetti deputati al trattamento dei dati, da quelli interni, fino agli esterni, dall’alto (i Titolari) fino alla base della struttura aziendale.

In sostanza si richiede l’implementazione di un modello di privacy governance, da parte di un team di lavoro coordinato e integrato tra diverse strutture aziendali, ognuna per gli ambiti di propria competenza (Legale, IT, Organizzazione, ecc.), che sia tailor made, ovvero “cucito su misura” sulla singola impresa, ed in cui la formazione del personale rivesta un ruolo di primo piano, tenendo sempre a mente che, ancor prima dei consensi, delle informative, delle nomine, i dati sono trattati in primo luogo da “persone” a cui ne deve essere trasmessa la giusta cultura di protezione e valorizzazione.

In conclusione, a fronte di premesse non proprio esaltanti, ciò che bisognerà evitare, è che la sfida del GDPR, si risolva, a livello nazionale, in una grande bolla di sapone, al pari di quanto già avvenuto in Italia con la responsabilità amministrativa degli enti prevista dal D.lgs. 231/01 (“Decreto 231“), in cui, il sempre più crescente ampliamento dei vari reati presupposto (la cui introduzione in realtà sembra più rispondere ad esigenze prettamente “emergenziali”, piuttosto che a principi generali) non è stato accompagnato da una concreta volontà da parte di molte imprese di considerare i modello di organizzazione e gestione come un efficace strumento di prevenzione degli illeciti e di “schermo” rispetto anche a profili di responsabilità civile e amministrativa.

Gdpr, l’impatto su M&A (fusioni e acquisizioni): tutti i nuovi controlli

*Il presente contributo è frutto di approfondimenti e di opinioni personali dell’autrice che non impegnano in alcun modo la Società di appartenenza.

____________________________________________________________

  1. In tal senso, per tutti, Andrea Fedi, M&A e Decreto 231, Le società, 2011
  2. Banca d’Italia, “Disposizioni di Vigilanza – La Funzione di conformità” del 10 Luglio 2007

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Google+

Link