Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

diritto e diritti

Il GDPR compie un anno, il valore del dato delinea il futuro delle Authority (Antitrust, Agcom, Privacy)

A quasi un anno di vita del GDPR, si possono già delineare i principi di diritto del nuovo corso della privacy e le linee direttive delle Autorità Ue. Il valore del dato personale è il vero faro e peserà anche sul futuro di Antitrust e Agcom

17 Apr 2019

Rocco Panetta

avvocato, partner di Panetta & Associati e IAPP Country Leader per l’Italia


Si avvicina il mese di maggio e con esso l’anniversario del primo anno d piena applicazione del Regolamento UE n. 679/2016 (GDPR), che ha introdotto, attraverso un vero switch off normativo, giuridico, organizzativo, di processo e per certi versi anche tecnologico, una sostanziale rivoluzione in quel complesso mondo della libera circolazione dei dati personali, noto ai più con il termine “privacy”.

Senza la pretesa di fare un bilancio esaustivo, proviamo a esaminare di seguito quali sono i principi di diritto e le linee direttive che si vanno delineando nel nuovo corso della privacy, anche alla luce del recente dibattito scaturito dall’ipotesi di fusione tra le Autorità indipendenti attive nel nostro Paese (Agcom, Antitrust, Garante privacy). Ma partiamo da una panoramica sulle novità introdotte dal Gdpr.

Le novità introdotte dal Gdpr

Le novità portate dalla nuova normativa possono essere sintetizzate nel (non) breve elenco che segue:

  • Applicazione simultanea delle stesse regole in tutti i Paesi dell’UE e dello spazio economico europeo ed estensione extra UE per quei trattamenti svolti da titolari del trattamento non stabiliti nel territorio dell’Unione ma che offrano beni e servizi on line, anche gratuitamente, a persone che si trovano in Europa;
  • Sanzioni uniformi e nel massimo parametrate al 4% del fatturato annuo mondiale del trasgressore o fino a 20 milioni di Euro, quale delle due misure risulti la maggiore;
  • Obbligatorietà in moltissimi casi della nomina del Responsabile della protezione dei dati (DPO), che è funzione di controllo e consulenza e può essere anche esterno all’organizzazione;
  • Fine della centralità assoluta del consenso ed emersione paritetica di altri presupposti di liceità del trattamento;
  • Allargamento della categoria dei dati sensibili, apertura ai meccanismi di pseudonimizzazione e fine dell’approccio paternalistico della legge verso titolari ed interessati al trattamento, attraverso la parola magica “accountability”;
  • Obbligo di notifica al Garante e della comunicazione agli interessati delle violazioni di dati personali (data breach);
  • Obbligo di effettuare una valutazione di impatto privacy e di informare i trattamenti ai principi di privacy by design e privacy by default;
  • Responsabilità solidale tra titolare e responsabile, salvo patto contrario e fissazione in un contratto dei compiti e responsabilità dei responsabili del trattamento;
  • Obbligo di tenuta del registro dei trattamenti, di effettuare la formazione ai dipendenti, di svolgere audit periodici, di adottare misure di sicurezza proporzionate ai rischi, e via discorrendo.

Un nuovo corso della privacy

Gli effetti concreti di tale massiccia rivoluzione si vedranno e si potranno misurare a partire dai prossimi mesi e anni. Le autorità garanti per la protezione dei dati personali, alle prese con lo smaltimento delle procedure ancora pendenti, ai sensi del regime previgente, con la riorganizzazione che il GDPR ha generato, in termini di procedimenti, nuovi carichi di lavoro, necessità di formare nuove risorse e di incrementare i meccanismi di coordinamento tra le varie autorità dell’UE, grazie al famigerato principio del one-stop-shopping comunitario, hanno da poco iniziato ad elevare le prime sanzioni ai sensi delle nuove norme: prima è arrivata la Francia, poi il Portogallo e adesso anche l’Italia. Sanzioni simboliche, in qualche caso, un po’ più consistenti, in qualche altro caso. Ma ciò che più rileva sono i principi di diritto che si vanno delineando nel nuovo corso della privacy, le cui parole d’ordine sono: responsabilizzazione, proporzionalità delle misure al rischio, centralità della tutela dei diritti fondamentali e loro preminenza rispetto ai diritti patrimoniali.

L’ipotesi di fusione tra autorità indipendenti

Ma ciò che più mi ha colpito nelle ultime settimane è piuttosto il dibattito relativo alla ipotetica fusione tra varie autorità indipendenti, tra cui il Garante per la protezione dei dati personali, l’AGCOM e l’AGCM (il primo per altro in scadenza a giugno e i commissari del Consiglio Agcom a luglio, Ndr.).

Al netto di qualche stravaganza, questo ha avuto il merito di mettere in luce la tematica delle ripercussioni economiche e sociali e dell’effettività della protezione del consumatore nel mondo digitale, temi bordeline, oscillanti ed in continuo precario equilibrio, mettendo a nudo una verità inconfutabile: il valore ed il potere del dato personale è il nuovo motore immobile – di aristotelica memoria – della società digitale.

Pertanto è naturale che anche il raggio di azione di autorità di controllo e garanzia che negli anni si sono focalizzate su servizi, reti, intese e restrizioni commerciali, prezzi, messaggi pubblicitari, oggi vogliono fortemente raccogliere la sfida della regolazione della circolazione dei dati, come nuova leva per rilanciare e rinfrescare la propria azione e la propria ragion d’essere.

E’ un dato, tuttavia, notare come esaminando i principali provvedimenti degli ultimi mesi che riguardano – lato sensu – il mercato digitale dell’offerta di prodotti a prezzi nulli in Europa, emergono dei risvolti interessanti che vanno verso la convergenza dell’azione regolatoria in Europa.

Le prime sanzioni

Lo scorso anno, l’Antitrust europeo ha multato un importante OTT per abuso di posizione dominante, a causa della predilezione del sistema operativo di app appartenenti allo stesso ecosistema a discapito dei concorrenti, ed il tutto facendo leva sul trattamento dei dati degli utenti.

Il dicembre scorso, l’AGCM italiana ha accertato una violazione degli artt. 21 e 22 del Codice del Consumo, avverso un altro OTT, per aver indotto ingannevolmente gli utenti a registrarsi, senza fornire adeguata informativa riguardo all’attività di raccolta dei dati (a vocazione prettamente commerciale) nonché una violazione degli artt. 24 e 25 in tema di pratiche aggressive: secondo l’AGCM, il trasgressore trasmetteva i dati a terzi per finalità commerciali senza aver raccolto un consenso preventivo ed esplicito.

Qualche mese fa, la Bundeskartellmt ha emanato un provvedimento, sempre nei confronti di un OTT, relativo alla pratica di combinare dati provenienti da fonti differenti. L’Antitrust tedesco – dopo aver accertato il ruolo di posizione dominante di un noto social network – ha disposto che solo con il consenso volontario degli utenti sarebbe stato possibile connettere i dati delle varie altre piattaforme di proprietà e, viceversa, non sarebbe stato possibile far confluire i dati raccolti da terze parti senza consenso. Secondo l’Antitrust, in ultima analisi, l’OTT sanzionato avrebbe condotto un “exploitative abuse”, che non ricorre solo nel caso di un’influenza sui prezzi ma, nella sua interpretazione più estensiva di “exploitative business terms”, anche nella condotta di chi impedisce alle altre aziende di accumulare i preziosissimi dati.

Due linee direttive per il futuro

Al di là della correttezza della decisione – a cui si potrebbe dedicare un’estesa analisi dal punto di vista sia del diritto della concorrenza che della privacy – emergono chiaramente due linee direttive destinate ad intensificarsi nel futuro.

Da un lato, autorità antitrust più aggressive, intenzionate ad interpretare ‘estensivamente’ alcuni presupposti fondamentali della normativa rilevante – la nozione di intesa, di danno e la diminuzione del benessere del consumatore in primis – e volta a proteggere i consumatori.

Dall’altra, una sempre maggior liquidità tra la normativa antitrust e quella privacy.

A ben guardare, tale intervento combinato privacy-antitrust appare legittimo e doveroso. Sono molteplici le aree di sovrapposizione tra le due discipline ed i relativi piani apparentemente divergenti.

Ed ecco che di colpo la privacy, da cenerentola delle materie oggetto di compliance in azienda e nella PA diventa la novella principessa amata e temuta, da consulenti e uomini d’azienda.

Ed ecco che le più roboanti e severe decisioni dei regolatori dei mercati adesso passano attraverso l’analisi delle distorsioni che possono essere indotte attraverso pressioni e vessazioni sui consumatori attraverso politiche spinte sul trattamento dei dati che li riguardano.

Il potere del Garante privacy e i rapporti tra Autorità Ue

Ecco, oggi tutti vogliono avere i poteri del Garante per la protezione dei dati personali, tutti vorrebbero occuparsi delle materie di cui le Data Protection Authorities in Europa si occupano; tutti i professionisti degli Studi legali e delle società di consulenza che finora si sono occupati di capital markets, M&A o intellectual properties, sono di colpo diventati esperti di privacy.

Questi i nuovi paradossi generati dalla digitalizzazione dei rapporti economici e sociali. Ma quali sono i ruoli, i poteri e i rapporti tra le varie autorità di controllo nazionali ed europee? Una forma di cooperazione sarà sufficiente a garantire la protezione dei cittadini nel lungo termine? Come potremo tener alta la guardia affinché la politica, da un lato, ed i portatori di questi immensi poteri economici che la società digitalizzata ha prodotto, rispettino l’indipendenza e l’integrità dei componenti i Collegi delle Autorità e delle donne e gli uomini che vi operano quali alti funzionari e dirigenti dello Stato?

Queste le domande ricorrenti che richiederanno sforzi politici e legislativi alti, diretti a far quadrato e a difendere l’operato di queste autorità indipendenti che negli anni hanno dimostrato di saper far bene il proprio lavoro e di saper coniugare indipendenza sostanziale e grande competenza. E mi riferisco soprattutto al Garante Privacy che conosco meglio e del cui corpo dirigenziale ho fatto parte con orgoglio e di cui sono onorato ed eternamente grato.

Parafrasando quella frase pronunciata da Meryl Streep nella scena finale de “Il Diavolo veste Prada”, dove con malcelata presunzione il suo personaggio, Miranda Priestley, ricorda alla sua insoddisfatta collaboratrice come “tutti vogliono questa vita, tutti vogliono essere noi”, oggi potremmo dire che “tutti sono diventati esperti di privacy, e tutti vogliono essere noi…”, ma questo per storia, esperienza e qualità non sempre è possibile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4