IL SOLE 24 ORE
L’Unione battistrada di una vera rivoluzione
di Giovanni Buttarelli – Garante europeo della privacy
Lun.9 – A venti anni dalla prima legge italiana sulla privacy, la normativa Ue in materia di protezione dei dati cambia pelle: non attraverso un mero “tagliando”, come quello cui sono spesso sottoposte le direttive, ma con lo strumento più efficace per una maggiore armonizzazione: un regolamento. Con 173 “considerando” e 99 dettagliati articoli si dà luogo a una rivoluzione copernicana, una riforma 3.0 che rende l’Europa leader rispetto a 110 Paesi che hanno provato a risistemare le proprie leggi in materia per non soccombere nelle sfide di un’economia globalizzata che ha nei dati personali il petrolio e l’energia del futuro.
Il regolamento denota continuità rispetto alla direttiva e al Codice italiano del 2003 – che saranno entrambi sostituiti a partire dal 25 maggio 2018 – ma è fortemente innovativo. Cambierà la vita di tutti i giorni di chi tratta dati in ogni qualsivoglia settore pubblico e privato. La protezione dei dati diviene un impegno estremamente serio: da un lato si sburocratizza – stop a notifiche, più dinamicità nell’informare gli interessati, più attenzione a nuove tecnologie – e si pone l’accento più su effettive garanzie che su formalità e requisiti; dall’altro si esige che imprese e pubbliche amministrazioni vadano oltre il puro rispetto delle regole.
Il perno del regolamento è nell’accountability in base alla quale (articolo 24) sarà richiesto ai titolari del trattamento di fare molto di più, ovvero di avere al proprio interno una policy robusta, un “piano privacy”, di distribuire responsabilità, di avere una risposta credibile ai vari problemi, di valutare attentamente i rischi, di essere pronti a dimostrarlo: avranno molti più “compiti a casa” e verranno trattati di più come adulti, soggetti ad accresciute responsabilità organizzative e reputazionali di cui le severissime sanzioni introdotte rappresentano solo un aspetto. I vertici aziendali potranno avvalersi di supporti a vari livelli, ma la protezione dati diviene assai di più un fatto che li riguarda.
Novità incisive anche per i data protection officer. Questa nuova figura, assieme alle novità su accreditamento e certificazione di sistemi, marchi, sigilli, applicazioni privacy friendly, formazione interna, security breach notification e codici settoriali, può creare spazi occupazionali e di mercato socialmente utile assai interessanti. Rispetto alla direttiva del ’95, i tradizionali diritti dell’interessato vengono rafforzati e se ne aggiungono altri in tema di portabilità dei dati.
I Garanti nazionali vengono rafforzati con poteri più pregnanti anche sanzionatori e con maggiore indipendenza: dovranno essere più selettivi, più efficaci, più “accessibili” dinamici e trasparenti, più prevedibili; sincronizzarsi ancora di più su scala europea, parlare per quanto possibile una sola voce. Rispetto al 1995, ci sarà più spazio per graduare le policies soprattutto per piccole e medie imprese, per velocizzare flussi garantiti di dati personali basati su piattaforme più sicure dal punto di vista di rischi e tutele.
Il regolamento è un punto di partenza, anziché di arrivo. La lista per il prossimo quadriennio è piena di impegni: la sostituzione della direttiva e-privacy sulle comunicazioni elettroniche; priorità e regole interne nel Comitato europeo che sostituirà il “Gruppo Art. 29”, che stiamo approfondendo in stretta cooperazione con i 28 Garanti nazionali per essere pronti alla mezzanotte del 24 maggio, tra due anni; atti esecutivi e misure delegate alla Commissione Ue; l’attuazione entro il 6 maggio 2018 della direttiva 680/2016 in materia di polizia e giustizia.
Il regolamento non è perfetto, ma è il meglio che si possa avere dopo quattro anni di intenso dibattito. Contiene molte disposizioni che permettono ai Garanti in cooperazione tra loro di adattare princìpi attraverso linee-guida, raccomandazioni e buone pratiche. Importanti test ci attendono già nei prossimi sei mesi.
Il testimone è ora al legislatore nazionale per i suoi “compiti a casa”: ripulire il Codice del 2003 dalle norme ora europeizzate, inserire fedelmente le poche cose possibili e necessarie, mantenere il fiore all’occhiello italiano di un Codice unico (da conservare con orgoglio) che renda user friendly anche la conoscenza delle regole.