Alla fine ci siamo riusciti. Con le votazioni dello scorso 14 luglio, il Parlamento italiano ha eletto i quattro nuovi componenti del Collegio dell’Autorità Garante per la protezione dei dati personali.
Un passaggio istituzionale atteso da tempo, una calendarizzazione di certo tra le più tormentate nella ultraventennale storia dell’Autorità. Da quel 19 giugno 2019, giorno in cui il Collegio presieduto da Antonello Soro sarebbe dovuto tecnicamente scadere, si è aperta infatti una stagione di rinvii e proroghe da parte del Parlamento, caratterizzata dalla grande generosità dei membri uscenti dell’Autorità indipendente più importante del Paese nell’andare ben oltre il proprio mandato, trovandosi oltretutto a dover fronteggiare le sfide, complesse e inedite, legate all’emergenza da Covid-19.
Ed è cosi che adesso il Collegio composto da Antonello Soro, Presidente, Augusta Iannini, vice, Giovanna Bianchi Clerici e Licia Califano, eletto il 6 giugno 2012, può dunque e dopo lunga attesa passare il testimone ai nuovi componenti Agostino Ghiglia, Pasquale Stanzione (eletti dal Senato), Guido Scorza e Ginevra Cerrina Feroni (eletti dalla Camera dei Deputati).
Il 29 luglio 2020, poi, il Collegio si è insediato e nel corso della prima riunione ha eletto il Pasquale Stanzione, Presidente e la Ginevra Cerrina Feroni, vicepresidente.
La storia del Garante è storia recente di fine novecento – il primo Collegio si è insediato nel 1997 – ed arriva fino ai giorni nostri.
Nelle prossime righe desidero quindi offrire il mio personale plauso a chi ha terminato il proprio mandato, accogliendo al tempo stesso chi per i prossimi sette anni sarà chiamato a raccogliere un’eredità costruita con l’opera devota di grandi donne e uomini, e non mi riferisco solo ai componenti dei vari Collegi, ma soprattutto alle funzionarie ed ai funzionari ed al corpo dirigenziale dell’Autorità.
Ai membri di fresco insediamento, a cui vanno i miei migliori auguri di buon lavoro, dedico anche alcuni modesti e minimi pensieri per il nuovo mandato che, finalmente, può cominciare.
Uno pensiero al passato per ispirare il presente
Antonello Soro è stato di certo il Presidente del Garante della prima maturità dell’Autorità. Sotto la sua guida, essa ha attraversato sia il diciottesimo che il ventunesimo anno di vita, raggiungendo a tutti gli effetti la maggiore età. Il Collegio uscente ha in verità profuso il proprio impegno con impareggiabile dedizione, proseguendo nell’opera avviata da illustri predecessori.
Perché la storia dell’Autorità Garante nasce con i due Collegi presieduti da Stefano Rodotà – e mi compiaccio di leggere nelle parole di Guido Scorza scritte in un articolo per l’Espresso un primo e commosso omaggio alla sua opera – quelli della fondazione, delle prime pronunce pionieristiche, della diffusione del verbo della protezione dei dati personali, del tentativo di far comprendere che privacy è tanto e molto di più rispetto alla sola tutela della riservatezza, e del rispetto dei diritti e delle libertà fondamentali in tutti gli ambiti, non solo nel privato, ma anche nel pubblico che fino a quel momento si sentiva non toccato dalla rivoluzione dei dati.
E’ quella la stagione che, unitamente alla successiva, ho vissuto direttamente e personalmente in Autorità e ricordo ancora vividamente come allora interi settori della PA, ma anche del mondo bancario e creditizio, delle libere professioni, della scuola, si sentivano lontani dal dover applicare la normativa sulla privacy, in ragione di una visione di intoccabilità o sulla base di anacronistiche rendite di posizione – indimenticabile fu una discussione (piuttosto accesa) in verità che dovetti fronteggiare nell’allora sede di Piazza di Montecitorio, durante le negoziazioni del Codice delle investigazioni difensive, con rappresentanti dell’avvocatura che con aria di sfida apertamente disconoscevano la competenza ed i poteri del Garante – prevista per legge – a governare quei tavoli ed a disciplinare comportamenti relativi al trattamento dei dati negli studi legali o presso i clienti in occasione dello svolgimento delle investigazioni difensive.
Ma fu in quegli anni che nacquero e furono codificate tutte le categorie con cui oggi abbiamo a che fare quotidianamente. Il Garante, forte anche del fatto che Rodotà era a quei tempi anche il Presidente dei Garanti Europei, il cosiddetto Gruppo art. 29 (oggi trasformatosi nell’EDPB), guidava con creatività e responsabilità la costruzione del sistema mondiale di protezione dei dati: il Safe Harbor, le Standard Contractual Clauses e le Binding Corporate Rules furono tutte creazioni della “Premiata Ditta” Rodotà, con il fidato Giovanni Buttarelli al suo fianco – e chi vi scrive ebbe il privilegio di partecipare e rappresentare l’Italia a tutti i tavoli di lavoro a Bruxelles che inventarono questi istituti ancora cosi fondamentali nella vita transnazionale delle aziende.
In quegli anni nacque l’istituto della videosorveglianza ed i primi decaloghi; si crearono le autorizzazioni generali al trattamento dei dati sensibili, ponendo un paletto insormontabile al trattamento dei dati sulla salute e sull’orientamento sessuale per finalità di marketing; si scrissero i primi Codici di condotta, tra cui quello dei giornalisti e delle centrali rischi private; si stabili la centralità dell’informativa e l’illiceità del consenso omnibus e potremmo continuare per ore ad elencare la montagna di istituti, linee guida e di interpretazioni consolidatisi in quel primo irripetibile periodo. E furono anche gli anni in cui venne creato il ruolo organico dell’Autorità, con la creazione dei dirigenti e dei funzionari e l’istituzione dei dipartimenti, dei servizi, delle unità.
L’Autorità sotto la guida di Francesco Pizzetti
Dopo quei primi passi mossi con incredibile visione prospettica, arrivò il Collegio presieduto da Francesco Pizzetti e l’Autorità voltò pagina evolvendo ed affrancandosi, in parte, dalla primogenitura di Stefano Rodotà. Pizzetti guidò con slancio e forza il Garante che crebbe enormemente ed iniziò anche fare il primo significativo enforcement: ispezioni, sanzioni e protocolli estesi con la Guardia di Finanza. Fu un periodo di fondamentale affermazione i cui risultati ancora oggi costituiscono dei capisaldi della nostra materia (a tacer d’altro, basterà ricordare le Linee guida del Garante per posta elettronica e internet del 2007 e le Linee guida in materia di attività promozionale e contrasto allo spam del 2013).
A Soro e al Collegio eletto nel 2012 è invece toccato il compito di traghettare l’Autorità verso la piena maturazione, un percorso che al pari di quanto accaduto per tutti i citati predecessori non è andato esente da cruciali sfide. Prima tra tutte quella emotiva, il primo Garante chiamato a camminare senza più la guida dei grandi maestri e fondatori Stefano Rodotà e Giovanni Buttarelli. E poi la grande sfida di sistema, il passaggio dalla direttiva 95/46/CE al Regolamento (UE) 2016/679, il famoso GDPR, un cambio di paradigmi epocale, che ha richiesto uno sforzo forse senza precedenti, ancora in divenire, ma che grazie al Collegio che abbiamo appena salutato è sicuramente instradato nella giusta direzione.
Una nuova prospettiva, quella dell’accountability, con cui doversi rapportare, la valorizzazione di principi, come la privacy by design, ora più che mai centrali, la proliferazione di trattamenti di dati personali sempre più invasivi (si pensi alle applicazioni dell’intelligenza artificiale e al riconoscimento facciale): sono queste alcune sole delle questioni che il Garante negli ultimi anni è stato chiamato a dipanare e che sempre di più in futuro impegneranno l’Autorità.
Numeri record per il Garante a guida Soro
Il Garante presieduto da Soro è anche il Garante dei record: un’attività incessante e prolifica, come dimostrano i numeri recentemente presentati nella Relazione annuale del 2019: sono stati infatti 232 i provvedimenti collegiali adottati, con riscontri forniti ad oltre 8.000 reclami e segnalazioni, mentre il numero di data breach notificati nel corso dell’anno da parte di soggetti pubblici e privati ha toccato quota 1443. Aprendo poi il capitolo sanzioni si trova l’ennesimo ambito di novità che ha impegnato in prima linea il Collegio presieduto da Soro. Chiamato alla prova dei primi due anni di operatività del nuovo regime di enforcement introdotto dal GDPR, anche in questo caso le risposte non sono mancate, in particolare nel settore del telemarketing, dove le due più importanti sanzioni comminate hanno raggiunto l’una i 27,8 milioni di euro e l’altra (con due provvedimenti) gli 11,5 milioni di euro. Una linea di vigilanza e intervento che il Collegio ha mantenuto fino agli ultimissimi giorni di mandato: è di pochi giorni fa la notizia di due nuove sanzioni, rispettivamente di ammontare pari a 17 milioni di euro e 800 mila euro, nei confronti di importanti operatori del settore telefonico.
Merita, infine, menzione l’incredibile attività profusa dal Garante in questi mesi di emergenza. Nonostante un mandato spirato e l’incertezza circa il futuro dei suoi membri, dirigenti e funzionari dell’Autorità hanno lavorato a pieno regime, guidando istituzioni, aziende e cittadini nella gestione delle complesse questioni che da inizio anno coinvolgono il rapporto tra diritto alla salute e diritto alla privacy. Ci tengo particolarmente a ricordare questo impegno, concretizzatosi tanto a livello nazionale (il riferimento va, ad esempio, al provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso l’app Immuni o alle utilissime FAQ dedicate al Covid-19) quanto in ambito europeo (solo a fare un esempio, il nostro Garante è stato relatore della lettera della Presidente dell’EDPB alla Commissione UE sul Progetto di linee guida in materia di app per il contrasto della pandemia da Covid-19).
In questi otto anni il Collegio Soro ha contribuito a edificare un’Autorità Garante sempre più identitaria, presente, organizzata.
Le sfide del nuovo Garante Privacy
Le sfide che attendono il Garante e la società tutta da qui ai prossimi sette anni sono molte e nemmeno tutte prevedibili: sarà dunque fondamentale una visione programmatica e prospettica, provando così a dotarsi in anticipo di strumenti in grado di facilitare la ricerca di risposte ai problemi di domani.
Come potrebbe essere redatta una wishlist programmatica per il mandato appena iniziato del nuovo Collegio dell’Autorità?
Il capitale umano del Garante, nuove competenze
Occorrerebbe anzitutto continuare, e se possibile incrementare, l’opera di valorizzazione del capitale umano e professionale che compone l’Ufficio dell’Autorità. Donne e uomini di altissime capacità, formatisi sotto la guida dei grandi padri della protezione dei dati personali e che con oltre vent’anni di esperienza sono oggi più che mai una risorsa di incommensurabile valore, anche a livello internazionale. Il primo passo in tal senso sarà la scelta del Segretario Generale, figura essenziale per il funzionamento dell’Autorità e magari la conferma di Giuseppe Busia, storico dirigente, prima e Segretario Generale, poi, dell’Autorità.
In tutta Europa le Autorità garanti hanno perso molto del capitale umano a favore di soggetti privati e pubblici che hanno attratto le migliori professionalità. Per fortuna in Italia l’Ufficio del Garante ha retto ed anzi continua ad attrarre anche giovani professionisti che lasciano studi legali e società per intraprendere la carriera di funzionario di alta amministrazione dello Stato presso il Garante.
Ho sempre ritenuto che nella nomina del Collegio del Garante dovesse prevalere la visione e la capacità dei componenti di agire da policy maker, più che da esperti di privacy. Gli esperti l’Autorità li ha già e rappresentano l’Ufficio del Garante. Al Collegio va l’arduo compito di guidare l’Autorità e questo patrimonio umano rilevantissimo e di parlare al mondo e alle istituzioni in un linguaggio comprensibile e attento alle dinamiche sociali ed economiche.
La complessità, poi, crescente delle implementazioni tecnologiche richiede con urgenza il ricorso a competenze trasversali: l’Ufficio dovrebbe quindi dotarsi e/o affidarsi anche alle esperienze di informatici, filosofi, economisti, sociologi e antropologi. La portata ormai irrinunciabile dei principi di privacy by design e by default depone in tal senso, la necessità di indagare con sempre maggior urgenza la dimensione etica della privacy rende non più procrastinabile un tale arricchimento di conoscenze, così come la conoscenza delle dinamiche di mercato può favorire una sempre maggiore sinergia e complementarità con altre Autorità come l’Antitrust e l’AGCOM.
Riorganizzare il rapporto tra Garante Privacy e Agcom
Si rende dunque necessario tenere in considerazione, sempre al netto della salvaguardia dei diritti degli interessati, la tutela in ottica pro-concorrenziale degli operatori economici, nazionali in particolare, e delle relative attività di business. A tal fine, oltre ad estendere i confini del reclutamento di nuove competenze anche a rappresentanti dei settori economico e antitrust, potrebbe essere arrivato il momento di riorganizzare con più decisione i rapporti tra il Garante e l’Autorità per le garanzie nelle comunicazioni (anch’essa fresca di nuove nomine): che sia la circolarità di dirigenti e funzionari piuttosto che la fusione delle due Autorità la strada da imboccare?
Adeguamento della normativa interna
A poche settimane dal primo rapporto di valutazione della Commissione UE sul GDPR, bisogna progredire nell’attività di adeguamento della normativa interna, un lavoro di armonizzazione che il Collegio guidato da Soro ha avviato e che in questi prossimi anni dovrà essere completato: molte sono ancora le questioni da risolvere e occorre mantenere alta la priorità su tematiche ad alto potenziale di impatto per il nostro sistema giuridico ed economico.
Aggiornamento di interpretazioni alla luce dello sviluppo tech
Parallelamente, sarebbe opportuno aprire un impegno e un dialogo per l’aggiornamento di posizioni interpretative che lo sviluppo tecnologico di questi anni sta rischiando di far diventare di complessa attuazione, quindi antieconomiche, senza considerare il confronto in chiave di competitività con gli altri Paesi UE. Alla luce delle recenti posizioni assunte dall’EDPB in tema di consenso ai cookie, stante le prospettive e le incognite legate alla post-third-party cookies era, e anche in vista dell’imminente varo del Regolamento ePrivacy, i provvedimenti sui cookie, così come quelli su marketing e profilazione, richiederebbero ad esempio un aggiornamento e, più in generale, una riorganizzazione, per la protezione degli interessati così come per permettere alle aziende di raggiungere più chiaramente la compliance con la normativa di riferimento, senza rinunciare alle leve di business legate alla valorizzazione e protezione degli asset informativi.
Dialogo con i Dpo
Resta poi fondamentale la costruzione di un dialogo sempre più bilaterale e serrato con i DPO, figure ormai centrali nella protezione dei dati personali. Ritengo che debba essere questo l’aspetto su cui puntare per migliorare il rispetto delle regole privacy da parte di enti pubblici e imprese: ben vengano ovviamente ispezioni e, dove serve sanzioni, ma altrettanta importanza deve essere riservata ad un approccio preventivo, formativo e costruttivo.
Il ruolo internazionale
Da rappresentante italiano della International Association of Privacy Professionals, la IAPP, e come membro del suo Board di governo mondiale, auspico che il nuovo Garante possa tornare ad acquisire una più ampia e giusta visibilità dentro e fuori dai confini nazionali.
Il Garante italiano ha scritto e approvato, anni prima degli altri, formidabili provvedimenti innovativi ed inediti, tuttavia poco conosciuti fuori dai confini nazionali: dovrebbe dunque rafforzare la sua visibilità e comunicazione in lingua inglese, così forse il mondo smetterebbe di guardare sempre e solo a ciò che scrive e dice il Garante inglese o, cosa ancora meno digeribile, a quello irlandese!
In conclusione
L’Ufficio che compone il Garante ed il Collegio che lo guiderà hanno l’autorevolezza, l’esperienza e le competenze per ricoprire un ruolo di guida anche a livello internazionale e soprattutto rispetto al passato il Paese è ora più consapevole dei diritti e dei doveri di aziende e PA nel settore del trattamento dei dati. DPO e professionisti della privacy guardano al Garante con attenzione ed interesse e non mancherà mai il sostegno a chi con impegno e visione, non dimenticando lo straordinario imprimatur di Stefano Rodotà e Giovanni Buttarelli, sarà capace con originalità e passione di innovare, proiettando l’Autorità a guida del cambiamento.
