Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL PUNTO

Gdpr nel 2020: così il Garante italiano potrà riavere un ruolo chiave

Il 2019 è stato un anno importante per la protezione dei dati personali e ha marcato il ruolo chiave che l’Europa ha assunto col Gdpr. Ma altrettanto importante sarà il 2020. Vediamo quali sfide attendono le autorità nazionali

31 Gen 2020
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals


Il 2019 è stato un anno cruciale per il nuovo Regolamento europeo per la protezione dei dati personali, ma altrettanto importante sarà l’anno che si è aperto e durante il quale la Commissione Europea dovrà trasmettere a Parlamento e Consiglio una relazione di valutazione e di riesame della normativa. Un’occasione per l’Autorità italiana, che ha le carte in regola per ricoprire una funzione di guida a livello europeo e non solo.

Parto però da una piccola premessa: quest’anno entriamo negli anni 20 del secolo in cui viviamo. Per quanti di noi sono nati nel ‘900, fa un po’ impressione pensare agli anni 20, dato che la mente inevitabilmente corre a quegli anni 20 del secolo scorso, in cui tra i tanti accadimenti storici, spicca ancora per enorme mostruosità la negazione dei diritti e delle libertà che proprio in quegli anni si stagliò in tutta la sua disgraziata pericolosità in Italia ed in molta parte della nostra Europa.

La Comunità Europea nacque proprio, nel 1950, come reazione a quella negazione dell’umanità e dell’umanesimo, cosi come la nostra Costituzione del 1948. Con la direttiva 95/46/CE prima, e tutte le leggi nazionali di recepimento, e il Regolamento 679/2016 (“GDPR”) poi, si compie il percorso di piena implementazione giuridica di quelle regole volte a permettere che i diritti e le libertà fondamentali, che sono la base del nostro vivere in comune, fossero finalmente goduti e tutelati con pienezza.

Inizia, dunque, questa nuova decade con alcune riflessioni (si spera) costruttive sulle possibili evoluzioni della disciplina nazionale ed europea in materia di protezione dei dati personali.

Sanzioni Gdpr, il punto sul 2019

Il mese di ottobre 2019 ha fatto registrare il più alto numero di sanzioni complessivamente erogate (circa 24) da parte delle autorità di controllo europee (Data Protection Authority o “DPA”) da quando è divenuto applicabile il GDPR. L’importo delle multe decise, nei mesi passati, varia da un minimo di 300 euro (autorità di controllo austriaca) ad un massimo di 50 milioni di euro (autorità di controllo francese o “CNIL”).

Parallelamente, è cresciuto il numero di disposizioni del Regolamento oggetto di indagine, e successiva sanzione, da parte delle DPA. In questo senso, le sanzioni amministrative pecuniarie hanno per la maggior parte riguardato:

  • l’assenza di basi giuridiche adeguate al trattamento ex art. 6 del GDPR; in misura minore, ma comunque significativa
  • l’inadeguatezza delle misure tecniche e organizzative implementate per assicurare un livello di sicurezza informatica adeguato al rischio, disciplinate dall’art. 32 del GDPR;
  • la mancata conformità ai principi in materia di trattamento dei dati personali di cui all’art. 5 del GDPR; e infine
  • il mancato riscontro alle richieste di esercizio dei diritti avanzate dagli interessati a norma degli artt. da 15 a 22 del Regolamento.

In termini di soft regulation, rilevante è stata l’azione del Comitato dei Garanti Europei o “EDPB” (già WP29), il quale si è occupato di fornire le opportune precisazioni in ordine, tra gli altri: all’ambito di applicazione territoriale del Regolamento, ai codici di condotta e all’organismo di monitoraggio e ai trattamenti in materia di videosorveglianza. Risulta altresì eloquente l’attività di indirizzo di alcune autorità di controllo che hanno adottato proprie linee guida e best practices (ad es. l’autorità di controllo inglese o “ICO” si è espressa sull’utilizzo dei cookie; la CNIL per prima ha tentato un’analisi del complesso rapporto tra blockchain e GDPR; un modello per calcolare l’importo delle possibili sanzioni sulla base di parametri determinati è stato sviluppato dalla conferenza delle autorità di controllo tedesche).

Il Gdpr traccia la via in tema di data protection

Se da un lato è inequivocabile che l’Unione Europea abbia fissato il gold standard in ambito data protection, dall’altro merita una menzione il fatto che altri Stati nel mondo abbiano cavalcato l’interesse che il GDPR ha suscitato nell’opinione pubblica per definire le regole sul trattamento dei dati personali e sulla riservatezza dell’individuo nelle rispettive giurisdizioni.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Pertanto, la California, patria della Silicon Valley, ha concluso l’iter legislativo di adozione del California Consumer Privacy Act, in regime di piena applicazione da gennaio 2020. Tale norma tanto discussa e dibattuta, definita da molti ‘radicale’ per il panorama giuridico americano, necessita di una serie di atti regolamentari derivati che dovranno essere adottati. Unica nel suo genere, concede ai consumatori californiani controllo sui propri dati utilizzati online, inclusa la possibilità di richiedere la cancellazione degli stessi.

Più a sud nel continente americano, anche il Brasile ha approvato la propria legge nazionale (Lei Geral de Proteção de Dados PessoaisLGPD, n.13.709/2018) in materia di protezione dati personali che entrerà in vigore a febbraio 2020. Questa legge, non solo mira a difendere i diritti delle persone fisiche, ma a promuovere, al pari del GDPR, lo sviluppo economico, tecnologico e dell’innovazione, grazie a procedure più chiare e trasparenti, e ad una diffusa e maggiore consapevolezza di cosa sia e di come si debba trattare un dato personale.

I temi caldi per il 2020 in Italia

Quanto sopra testimonia che tanto è stato fatto. Ma è sufficiente?

La risposta a questo retorico interrogativo è chiaramente connotata di luci e ombre. Importanti e ancora più ambiziosi traguardi sono alle porte e le sfide che pongono sono già lanciate alle Autorità di controllo nazionali, prima fra tutte quella italiana, attualmente penalizzata dalla mancata scelta di un nuovo organo direttivo, a sostituzione di quello che ha esaurito, nel giugno del 2019, il proprio mandato, e che tuttavia, nonostante il regime di prorogatio fino a marzo 2020, che costringe l’attuale Collegio dell’Autorità Garante per la protezione dei dati personali (il “Garante”) ad assicurare la continuità amministrativa dell’authority, in via interinale, non può, non segnalarsi come il 2020 è proprio iniziato con una prima sanzione esemplare da parte del Garante ad una grande azienda nel settore in ogni caso, essere ulteriormente posticipato un confronto sulle priorità che il prossimo Collegio avrà l’onere e l’onore di affrontare.

Tra i temi caldi, ragionati anche – e soprattutto – a partire dalla costante esperienza sul campo che vede coinvolti me e il mio team di Panetta & Associati nello stimolante mondo della consulenza giuridica e del ruolo di DPO esterno, sicuramente rientrano:

  • una sempre maggiore difficoltà di allocazione netta ed inequivocabile dei ruoli privacy tradizionalmente intesi (titolare, co-titolare e responsabile del trattamento) in una realtà di mercato più fluida rispetto al passato, in cui i servizi in outsourcing sono quotidianamente richiesti, ma non sempre facilmente inquadrati;
  • un ripensamento delle regole per il trattamento di dati per finalità di ricerca scientifica in ambito medico, biomedico e epidemiologico dal fine di uniformare l’approccio al momento basato su sensibilità e legislazioni nazionali concorrenti;
  • la tanto attesa adozione del decreto del Ministero della giustizia necessario per il trattamento di dati relativi a condanne penali e reati, ai sensi dell’art. 2-octies del Codice Privacy (D. lgs. n° 196/2003), così come novellato dal D. lgs. n° 101/2018, fortemente richiesto dagli operatori di ogni settore di mercato, al fine di colmare il gap normativo lasciato vuoto dalla caducazione dell’Autorizzazione generale n° 7/2016 relativa al trattamento dei dati giudiziari da parte di privati;
  • il riordino della materia del marketing, in attesa della tanto agognata ePrivacy Regulation, e di tante altre normative di settore, anche attraverso la spinta di un Codice di condotta ad hoc, come già avvenuto nel caso del settore delle informazioni commerciali e dei sistemi di informazione creditizia.

Privacy e protezione dei dati, ecco le urgenze 2020

Il Garante italiano e il suo ruolo in Europa e nel mondo

Oltre alle appena menzionate tematiche squisitamente italiane, più in generale, è importante che il Garante torni a ricoprire quel ruolo di guida anche a livello europeo, contribuendo ad alimentare il prestigio, faticosamente raggiunto negli anni grazie a celebri figure-chiave istituzionali, del calibro di Stefano Rodotà e Giovanni Buttarelli, adottando linee guida di respiro europeo e addentrandosi nell’analisi giuridica di temi critici sotto il profilo tecnologico che interessano tutti gli Stati membri.

L’Autorità gode di un patrimonio umano e professionale unico in Europa e nel mondo. La quasi totalità dei dirigenti e dei funzionari ha acquisto in questi venti anni una esperienza incredibile e continuativa, sotto la guida degli storici padri della privacy appena menzionati, ma anche degli altri due importanti Collegi guidati rispettivamente da Franco Pizzetti e da Antonello Soro. Cosa che non può dirsi per le altre Autorità garanti europee che negli anni hanno perso il meglio della loro classe dirigente a vantaggio del mondo privato.

Ma il Garante deve tornare a far sentire la sua voce con autorevolezza nel mondo e non solo a Bruxelles e deve uscire dalla chiusa dinamica interna delle istituzioni comunitarie dove sappiamo essere molto presente ed ascoltato. Il Garante deve tornare a presidiare le conferenze internazionali, come ad esempio i forum della IAPP, l’International Association of Privacy Professional – nel cui Board of Directors ho l’immeritato privilegio di sedere – la più grande organizzazione al mondo di settore, che raccoglie oltre 60mila membri, in cui non si fa né lobbying né advocacy, ma dove imprese e cittadini, autorità e professionisti si incontrano per conoscersi e far crescere la consapevolezza dei diritti in armonia con le esigenze del mercato.

Verso la valutazione e il riesame del GDPR

Tale auspicato ‘rinascimento’ del Garante ben si inserisce nell’imminente momento di verifica della solidità dell’impianto regolamentare in materia di protezione dati personali. L’art. 97, comma 1, del GDPR stabilisce infatti che, entro il 25 maggio 2020, e successivamente ogni quattro anni, la Commissione Europea è chiamata a trasmettere una relazione di valutazione e di riesame del GDPR al Parlamento e Consiglio, in particolare sulle parti che regolano i trasferimenti all’estero dei dati e le norme che dettagliano la cooperazione tra le autorità di controllo nazionali e il principio di coerenza.

In aggiunta, il comma 5, dell’articolo 97, offre l’occasione per presentare, contestualmente alla relazione, una proposta di modifica del Regolamento, tenuto in particolare conto degli sviluppi dell’informazione e dei progressi della società dell’informazione. L’impiego di questa norma permetterebbe, a giudizio di chi scrive, di porre sul tavolo della negoziazione questioni urgenti e improcrastinabili come:

  • la progettazione di algoritmi decisionali etici e human-oriented che assicurino un riequilibrio tra l’immensa potenza computazionale e la singolarità (e soprattutto fragilità) della sfera individuale;
  • il controllo dell’enorme patrimonio informativo derivante dall’analisi dei Big Data, dall’Internet of Things, dall’Intelligenza Artificiale e dalle enormi possibilità offerte della rete 5G. Ad oggi, concentrati nelle mani di pochi e potentissimi player, strumenti deregolamentati, che potrebbero condurre ad immensi benefici sociali diffusi, soffrono dell’assenza ab origine di una qualsiasi supervisione parlamentare e/o governativa; su questo tema la Commissione europea a febbraio dovrebbe presentare una proposta per aggiornare le norme UE sulla sicurezza e responsabilità per i nuovi prodotti basati su AI;
  • posizioni istituzionali e condivise su tecnologie a registro distribuito (“DLT”), di cui la blockchain è l’esempio più lampante, onde evitare che non vengano sfruttate a pieno per timore di una mancata conformità in punto di norma, o di essere sfruttate senza tutele per gli interessati, e dunque al di fuori del perimetro di liceità imposto dal Regolamento;
  • esigenza di omogeneizzazione tra il nuovo pacchetto “New Deal for Consumers”, contenente due proposte legislative della Commissione Europea, e altre normative applicabili, come quella data protection, al fine di salvaguardare l’uso etico dei dati e chiarire se ed in che misura siano possibili le aperture proprietarie in senso stretto e la monetizzazione del dato – onde evitare che tali aperture avvengano pericolosamente e senza bussola sulla base di sentenze di tribunali o forzature di mercato.

Nel programma di lavoro 2019-2020 dell’EDPB, si legge, tra le prossime attività, di una “Consultation from the Commission on the report regarding the evaluation and review of the GDPR according to Art. 97”. Da ciò deriva la possibilità per le autorità di controllo nazionali, in primis quella italiana, di essere incisive, suggerendo con vigore alla Commissione una revisione del Regolamento, da più parti ritenuta necessaria.

Ancora è vivo il ricordo della difficile negoziazione che ha accompagnato i quattro lunghi anni di drafting regolamentare (2012-2016). Lo stesso Giovanni Buttarelli ha più volte ribadito con fare ironico, in alcuni interventi pubblici, che nessuno a Bruxelles avrebbe più voluto sentir parlare di data protection per i successivi 20 anni.

Eppure, il mondo sembra aver già preso una piega differente.

Digital event, 29 aprile
Data Scientist: quali sono le competenze giuste? E quali gli attuali ambiti di applicazione?
Big Data
Intelligenza Artificiale

@RIPRODUZIONE RISERVATA

Articolo 1 di 4