Nel mondo della data economy, fatta di uso, circolazione e protezione dei dati, un anno che passa reca prospettive ricche e interessanti, tanto che farne una sintesi non è affare da poco. Lo scorso anno battezzavo il 2022 come l’anno “swing” della data economy – e tale infine si è rivelato. Vediamo le previsioni per il 2023.
Molto si potrebbe dire guardando ai dodici mesi appena trascorsi, e altrettante sarebbero le possibili anticipazioni e gli auspici per quelli che verranno. È dunque inevitabile fare una selezione ragionata e geolocalizzata (per una visione più globale rimando alla carrellata elaborata dall’International Association of Privacy Professionals).
Diritto all’oblio, da ora deindicizzazione più facile: cosa cambia con la riforma Cartabia
Guerre e pandemie, l’impatto sulla data economy
Il 2022 è stato un anno di svolta per il nostro settore. Nemmeno l’odiosa guerra ancora in atto nell’Europa orientale è riuscita a rallentare questa evoluzione. Anzi per certi versi l’ha persino accelerata. Un po’ come per il Covid. Questi eventi cosi imprevisti e dirompenti, forieri di dolore e morte, svolgono invece un grande ruolo nell’evoluzione del rapporto tra uomo e tecnologia. Si pensi solo all’incremento delle minacce cibernetiche e all’inedito impiego delle tecnologie dell’informazione come vere e proprie armi di battaglia. È naturale allora che il primo auspicio per il 2023 sia l’immediata cessazione di ogni ostilità: che si chiuda questa terribile stagione di dolore e di negazione dei diritti e venga ristabilita una pace definitiva e duratura, tenendo con noi solo i progressi fatti nel maggiore uso consapevole della tecnologia.
Non è un caso se nel 2022 ha ricevuto grande impulso la normativa sulla cybersicurezza, settore sempre più strategico nella disciplina sovranazionale e nazionale sulla data economy. Con un colpo di coda allo scadere dell’anno, sono stati infatti pubblicati sulla GU dell’UE del 27 dicembre scorso, tra gli altri, il testo della Direttiva NIS2, che andrà a innovare il quadro scolpito dalla storica Direttiva NIS1 (la Direttiva (UE) 2016/1148), e del Digital Operational Resilience Act (il Regolamento DORA), incentrato invece sulla resilienza operativa nel settore finanziario.
Le nuove norme sul digitale
Il 2022 è stato un anno caratterizzato dal grande fermento attorno a una serie di proposte legislative volte a introdurre fondamentali regole per governare la data economy. Data Governance Act, Digital Services Act e Digital Markets Act sono stati tutti pubblicati sulla Gazzetta Ufficiale dell’Unione Europea, sono entrati in vigore e si apprestano a diventare pienamente applicabili. Un destino a cui si auspica potranno andare presto incontro anche l’Artificial Intelligence Act – rispetto al quale poche settimane fa il Consiglio dell’Unione Europea ha adottato il proprio orientamento generale – e il Data Act, presentato a inizio anno.
L’elenco potrebbe facilmente proseguire. Basti citare la proposta di Cyber Resilience Act o quella di Interoperable Europe Act o, ancora, la proposta di direttiva sulla responsabilità dell’IA. Quello che è certo è che con il nuovo anno non vedremo soltanto rinnovati gli sforzi profusi per l’attuale stagione di grandi riforme. Il 2023 sarà infatti anche l’anno in cui alcune di queste nuove norme troveranno piena applicazione. I prossimi mesi saranno cruciali per tutti quei soggetti obbligati ai sensi delle neo introdotte disposizioni, chiamati – se non già fatto – ad avviare un processo di studio e adeguamento alle nuove normative (e rispetto al quale anche i Data Protection Officer – sui quali si tornerà a breve – potranno svolgere un ruolo di grande rilievo quali nuovi “ambasciatori” della data economy).
Cinque anni di GDPR
Al di là delle legislazioni di prossima vigenza e adozione, la normativa che regolamenta orizzontalmente ogni manifestazione della data economy è – e resta – il Regolamento Generale sulla Protezione dei Dati (il GDPR). Regolamento che nel 2023 celebrerà il quinto anno di applicazione (e addirittura il settimo dall’entrata in vigore). L’anno che ci lasciamo alle spalle ha dimostrato, ancora una volta, l’importanza, l’attualità e il dinamismo di questa disciplina, per certi versi un libro ancora in gran parte da scoprire e da (ri)studiare. Lo dimostra, solo per fare un esempio, l’annoso tema dei trasferimenti internazionali, una querelle sull’asse Unione Europea – Stati Uniti che ha trovato nella pubblicazione di una proposta di decisione di adeguatezza l’ultimo tassello del 2022. L’anno nuovo potrebbe dunque essere destinato a vedere risolta – si spera definitivamente – una questione assolutamente prioritaria per il mercato, come dimostrano le recenti pronunce, anche della nostra autorità, sull’utilizzo di Google Analytics.
I numeri delle ammende irrogate ai sensi del GDPR restano comunque il più gettonato (e spesso abusato) indicatore di quanto l’attenzione per questa normativa sia in costante crescita. Soltanto nel primo semestre del 2022 le sanzioni inflitte hanno sfiorato quota 100 milioni di euro, in aumento del 92% rispetto allo stesso periodo dell’anno precedente. Un dato probabilmente destinato a crescere ancora, se non altro viste le due recentissime sanzioni monstre comminate dalla Data Protection Commission irlandese nei confronti di Meta, pari a 405 milioni e 265 milioni di euro (la seconda e la terza più alte mai irrogate da un’autorità privacy in UE). E gli altri Garanti non stanno certo a guardare, come denotano i provvedimenti degli ultimi mesi della nostra autorità nei confronti di Douglas (1 milione e 400 mila euro) e Clubhouse (2 milioni di euro).
Fidelity card e consensi, ecco perché il Garante privacy ha sanzionato Douglas Italia
Ciò che però più di tutto il 2022 ci ha dimostrato è che l’accountability funziona. Il principio che ha rivoluzione l’approccio alla protezione e circolazione dei dati mettendo aziende e PA dinanzi alla sfida della auto-responsabilizzazione comincia finalmente a essere digerito dal mercato e a mostrare di conseguenza i propri risvolti positivi sul banco di prova dei procedimenti sanzionatori. Di tale tendenza sono il primo testimone, come avvocato della data economy e Data Protection Officer (DPO) di grandi aziende e gruppi imprenditoriali, tutti variamente impegnati nel declinare secondo specifiche esigenze di business e organizzative un principio fondamentale connotato di intrinseco dinamismo.
Clubhouse sanzionata dal Garante privacy per 2 milioni di euro: ecco i motivi
Il ruolo del DPO
Ed è proprio nel rapporto tra aziende e PA con il proprio DPO che nell’ultimo anno l’accountability è stata ampiamente esercitata, determinando diversi effetti vantaggiosi, anche sul fronte delle sanzioni. In questo senso, il ruolo del Data Protection Officer è fondamentale. Innanzitutto, nella propria veste di punto di contatto con l’Autorità. Potersi affidare a un professionista capace di rappresentare correttamente ed efficientemente lo stato della compliance aziendale in sede ispettiva e nelle successive interlocuzioni con il Garante rappresenta infatti un elemento di altissimo valore e rilievo, anche nell’ottica della successiva determinazione circa l’an e il quantum della sanzione. Si veda al riguardo la recente sanzione inflitta dal Garante italiano ad Areti, laddove è stato tenuto in grande considerazione, anche ai fini delle prescrizioni e della sanzione il ruolo pivotale svolto dalle funzioni privacy in tutta la fase rimediale e di interlocuzione con l’Autorità.
Lo stesso puntuale e tempestivo coinvolgimento del DPO nelle scelte prese quotidianamente dal titolare in materia di trattamento dati è un fattore in grado di incidere positivamente sugli esiti di un procedimento sanzionatorio. Solo per fare un esempio, in un noto provvedimento del 2020 il nostro Garante determinava la sanzione da infliggere dando favorevolmente atto del coinvolgimento da parte del titolare del proprio DPO e che lo stesso si era conformato in buona fede al parere del medesimo. E del resto anche da una lettura attenta delle “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” (versione in consultazione pubblica) adottate dall’European Data Protection Board emerge che seguire o meno le indicazioni del DPO può avere un impatto sull’entità delle sanzioni.
Come scegliere il DPO
È tuttavia evidente che simili esternalità positive non derivano automaticamente dalla semplice e asettica nomina di un DPO. La decisione di designare un Data Protection Officer anche quando non si è a ciò obbligati ai sensi del GDPR denota certamente un buon livello di responsabilizzazione. Non ci si deve però limitare a questo. Occorre infatti scegliere un soggetto in grado di rispondere pienamente e veramente ai requisiti di competenza, indipendenza e assenza di conflitto di interessi. Che significa rivolgersi a professionisti non improvvisati ma ferrati in materia, consapevoli (e messi nelle condizioni) di svolgere un ruolo che non richiede di parteggiare per il business, ma – esattamente al contrario – di agire quale funzione di controllo e consulenza terza e neutrale.
È inoltre necessario che il DPO sia posto organicamente nelle condizioni di rapportarsi con i vertici aziendali e di riportare direttamente ai medesimi. La situazione di dialogo continuo e immediato che dovrebbe sussistere tra amministratori delegati e consigli di amministrazione, da un lato, e Data Protection Officer, dall’altro, dovrebbe poi trovare nella presentazione della relazione annuale del DPO il momento ideale per la programmazione delle future attività e per lo stanziamento del budget a disposizione del Data Protection Officer.
Gli aspetti legati al budget
Quest’ultimo profilo, peraltro, merita un’attenzione particolare. Perché affinché un professionista possa svolgere autorevolmente i compiti che la normativa attribuisce al DPO è necessario che tale funzione venga adeguatamente remunerata. In questo senso, il mercato italiano, anche nel corso del 2022, si è dimostrato decisamente acerbo e ancora immaturo. Secondo il “2021 IAPP Privacy Professionals Salary Survey” predisposto dall’International Association of Privacy Professionals (IAPP), lo scorso anno i professionisti della privacy con titolo di DPO negli Stati Uniti e in Unione Europea hanno dichiarato di percepire uno stipendio (se interni) o un emolumento (se esterni) pari, rispettivamente, a 188.000 dollari e a 120.900 dollari. Valori già di per sé significativi, che non necessitano di alcun ulteriore commento se raffrontati ai fin troppo frequenti contratti tipicamente nostrani da 10.000 euro/anno per l’affidamento di incarichi da DPO.
Perché scegliere un DPO esterno
Inoltre, spesso si registra nel nostro Paese – ma non solo – una eccentrica commistione tra i ruoli e le funzioni del DPO e quelle della struttura privacy aziendale, tipica funzione di business. È tempo che si capisca la necessità di avere un DPO terzo. Se ciò non si riesce a compiere attraverso l’individuazione di due funzioni distinte interne, una di business che potremmo chiamare funzione privacy, tipicamente interna, organica alla struttura legal o compliance, ed una da DPO interno terzo ed indipendente, in posizione di staff dell’AD, per esempio, e comunque a diretto riporto dei vertici, allora che si ricorra al DPO esterno tout court. La legge, rectius, il GDPR, proprio per venire incontro alle mille sfumature della corporate governance ha previsto la possibilità di strutturare il DPO come interno o esterno, ma l’essenziale è che la terzietà, l’indipendenza e l’autorevolezza di questo soggetto sia integralmente rispettata e che sia messo in grado di dialogare con le funzioni privacy interne, siano esse autonome o in connubio con le funzioni legale e compliance.
Nella mia esperienza ormai pluriennale di DPO esterno posso testimoniare che il modello DPO esterno come interfaccia della funzione privacy interna è perfetto e funziona sempre, anche con le dovute differenze tra azienda ed azienda. Auspico dunque una maggiore diffusione di questo modello che può garantire visione, comando e giusta distanza dai conflitti di interesse nel pieno rispetto dello spirito della legge. Che il 2023 sia per davvero l’anno dei DPO.
__
Note
L’autore ringrazia l’avvocato Gabriele Franco per i riferimenti normativi e gli hyperlink.