L’entrata in vigore, il 25 maggio del 2018, del Regolamento europeo per la tutela dei dati personali (RGPD, meglio noto con il suo acronimo inglese GDPR) ha risvegliato l’attenzione dei cittadini e dei responsabili del trattamento dei dati, incrementando le richieste di intervento, l’aumento dei reclami e delle segnalazioni al Garante per la protezione dei dati personali come pure delle notifiche per la loro violazione. Lo evidenzia Luigi Montuori, responsabile Servizio relazioni internazionali e con l’Unione europea dell’Autorità garante per la protezione dei dati personali, portando a riprova la sintesi delle attività dell’Autorità dal 25 maggio al 31 dicembre, pubblicata a fine 2018 (figura 1).
Per quanto riguarda lo stato di applicazione della normativa, Montuori fa riferimento soprattutto alla situazione delle amministrazioni pubbliche: “Ho l’impressione che alcune, attivate per tempo, si siano attrezzare per poter disporre di una struttura in grado di far fronte al nuovo regime, andando a identificare il DPO e comunicarne i contatti all’Autorità, definendo una privacy by design, creando il registro per il trattamento, disponendo piani per la valutazione di impatto e del rischio, e piani di emergenza in caso di violazione dei dati in grado di mettere le stesse P.A. in condizione di rispondere entro le 72 ore indicate dal legislatore. Altre amministrazioni sembrano invece più pigre”.
Nel settore pubblico si delinea una situazione a macchia di leopardo che si può ipotizzare non dissimile nel privato, soprattutto nelle organizzazioni più piccole, e lo stato di applicazione sembrerebbe ad oggi analogo nella maggior parte dei Paesi europei. Da qui la spinta a immaginare strumenti per favorire la conoscenza del GDPR di imprese e amministrazioni, con la partecipazione a progetti comunitari.
È questo il caso del progetto biennale T4data (che si concluderà nel 2019) finanziato dalla Commissione europea a cui l’Italia parteciperà con Autorità di altri Paesi (Spagna, Bulgaria, Croazia, Polonia). L’obiettivo è aiutare le pubbliche amministrazioni in generale e i Comuni in particolare, soprattutto i più piccoli, molti dei quali faticano a mettersi in regola, a formare le competenze al proprio interno. Un ulteriore progetto biennale, che si concluderà nel 2020, congiunto con l’Autorità bulgara e l’Università Roma Tre, è invece rivolto alle PMI.
Riflettori sulle organizzazioni che gestiscono masse di dati sensibili
Sul piano delle verifiche e delle sanzioni, sembra di intuire per ora una certa tolleranza verso le strutture più piccole e meno organizzate, mentre le attività di controllo si orientano soprattutto su chi muove grandi quantità di informazioni particolarmente delicate, intendendo non solo quelle “tradizionali”, come abitudini sessuali e opinioni politiche, ma anche relative a dati di carattere biometrico e genetico.
“Nelle linee guida che abbiamo scritto a livello europeo insieme alle altre Autorità di controllo, particolare attenzione è stata dedicata a questi dati, tenendo conto anche della direzione in cui sta andando la tecnologia e al fatto che questi trattamenti possono essere realizzati in forma massiva e molto analitica”, spiega Montuori, ricordando che il Regolamento, non a caso, prevede la valutazione del rischio obbligatoria per le categorie di dati che riguardano sfera intima, genetica, salute.
“L’aspetto sanzionatorio è sempre all’ordine del giorno e se dovessimo renderci conto che ci sono state violazioni alla disciplina applicheremmo le sanzioni previste, ma nella definizione dei piani annuali che riguardano le attività di carattere sanzionatorio siamo ben consapevoli di doverci concentrare anche sui soggetti che fanno trattamenti più delicati che coinvolgono grandi quantità di dati, per poi ampliare il nostro campo di azione per effettuare controlli nei vari settori di attività in cui si trattano i dati personali”, precisa Montuori.
In ogni caso è presente la volontà di non infierire soprattutto nei confronti di soggetti che non hanno fatto violazioni per dolo e non hanno prodotto danni significativi. “Se riceviamo segnalazioni di violazioni su riservatezza e dati personali dei cittadini, dobbiamo intervenire immediatamente, ne vanno in gioco i diritti e le libertà degli interessati – aggiunge – Tuttavia siamo consapevoli che il Regolamento ha acquisito piena efficacia da pochi mesi”.
I dati non hanno frontiere
Il regolamento europeo GDPR introduce significative novità sul piano degli scambi internazionali.
Innanzi tutto fornisce indicazioni sui trattamenti dei dati in ambito transfrontaliero che la precedente normativa (del 1995) non prendeva neppure in considerazione: “Il regolamento scritto nel 2016, rispetto alla direttiva scritta 20 anni prima, ormai obsoleta in alcune sue parti, disciplina in modo puntuale determinate attività”, dice, ricordando che al tempo della precedente normativa non esistevano per esempio il cloud e gli smartphone…
Fondamentale è la novità di un regolamento che definisce una norma praticamente identica nei 28 Paesi, con minime differenze in alcuni settori come ad esempio per la pubblica amministrazione: “Il GDPR è un sistema che garantisce, per la prima volta, un diritto essenzialmente identico per tutti i Paesi e ha comportato la costruzione di una impalcatura unica, una piattaforma su cui scambiare i dati, dialogare, trovare soluzioni condivise”, commenta Montuori, sottolineando la differenza fra il concetto di regolamento e quello di direttiva, uno strumento quest’ultimo che detta i principi lasciando però agli stati membri la libertà di come recepirli. La precedente direttiva affermava, per esempio, la necessità di consenso per il trattamento dei dati senza però indicare come metterlo in atto. E così in alcuni Paesi, come l’Italia, si era optato per un consenso positivo, mentre in altri, come il Regno Unito, si era preferito un consenso in negativo, ossia la possibilità di usare i dati personali fino a un eventuale diniego. Ora il regolamento invece non prevede ambiguità: le norme sono identiche in tutti i Paesi e sono state tradotte nelle 22 lingue europee, senza essere interpretate.
Il GDPR detta anche il comportamento per entità, anche extra-europee, che operano in più Paesi, che vanno trattate e sanzionate nello stesso modo su tutto il territorio UE. Qualunque soggetto avrà come primo referente l’autorità del Paese in cui opera, ma dovrà confrontarsi con le altre autorità europee impattate da quel trattamento. Ad esempio, un’azienda con la sede principale a Dublino interloquirà in primo luogo con l’autorità irlandese, che, nel caso di reclamo da parte di un cittadino italiano o austriaco, dovrà collaborare con le autorità di quei Paesi per aprire un’unica istruttoria nella quale potranno entrare anche le autorità europee degli altri Paesi che dovessero essere coinvolti in quella tipologia di trattamento. Per semplificare si può dire che in caso di disaccordo entra in gioco una nuova istituzione europea che di fatto esercita il ruolo di arbitro superiore, il Comitato europeo per la protezione dei dati, con sede a Bruxelles.
Oltre il GDPR: dalla privacy dei dati alla riservatezza delle comunicazioni
Il passo successivo, dopo il regolamento GDPR che ha introdotto, in modo omogeneo a livello europeo, la tutela della privacy, è la riservatezza delle comunicazioni elettroniche. La proposta, “Respect for private life and the protection of personal data in electronic communications”, si applica, a differenza della precedente direttiva del 2002, non solo agli operatori di telecomunicazione tradizionali, ma a tutti coloro che operano in rete per fornire servizi di comunicazione come WhatsApp, Facebook, Messenger, Skype, Gmail,…
“Speravamo che entro il 2018 si chiudesse l’iter di approvazione del nuovo regolamento sulla riservatezza delle comunicazioni elettroniche, ma si è rivelato molto complesso anche a causa dei forti interessi che entrano in gioco. Oramai è evidente come sia difficile che l’iter possa essere completato entro questa legislatura europea del Parlamento, e pertanto se ne dovrà occupare il nuovo Parlamento europeo”, conclude Montuori.
