di Monica Battistoni ♦ Portabilità, trasparenza, valorizzazione i cardini del Pacchetto protezione dati dell’Unione Europea
La prima legge sulla privacy è datata 1995. Allora non esistevano tablet, app, social media, internet era usato da una percentuale risibile della popolazione e la libera circolazione dei dati appariva come un corollario necessario, ma subordinato agli accordi di Schengen. Ora è al via la nuova normativa, il cui impianto merita un attento approfondimento. Industria Italiana lo ha fatto con Rocco Panetta, partner dello studio legale Nctm ed esperto di telecomunicazioni, privacy e Internet.
Misura rivoluzionarie verso il mercato unico digitale
Dopo circa venti anni e una rapidissima evoluzione tecnologica, il paradigma è cambiato: «Il Pacchetto protezione dati è una misura rivoluzionaria, finalizzata alla creazione di un mercato unico digitale attraverso l’armonizzazione delle norme che regolano uno dei suoi asset più importanti.» dice Panetta, «Non a caso è stato scelto lo strumento del Regolamento e non la Direttiva, proprio per lasciare agli Stati membri pochissima libertà di personalizzazione. Non solo, cambia completamente l’approccio del legislatore che abbandona un comportamento paternalistico e invece spinge le aziende ad assumere un ruolo di responsabilità, anche proattiva».
Parte la corsa a mettersi in regola
Il Regolamento, usato in Europa solo per le standardizzazioni, in questo caso servirà a dirimere le compliance, organizzare processi, creare prodotti e dovrà essere adottato da tutti gli Stati membri entro il 5 maggio 2018. Se si tratta di un periodo sufficiente per mettersi in regola, dipende dalle norme e dalle condizioni in cui versano le singole imprese e pubbliche amministrazioni.
Più responsabilità da parte delle aziende
Proteggere i dati significa difendere le persone, le loro identità e le loro libertà. Comporta un cambiamento culturale sancito da Bruxelles con la declinazione completa del principio di accountability. Ai titolari del trattamento dei dati spetta l’obbligo di dimostrare di aver messo a punto tutti i sistemi di sicurezza nel gestire le informazioni e che questi siano costantemente rivisti, aggiornati e conformi a quanto previsto dalla legge. «In pratica, si chiede di valorizzare i dati implementando dei meccanismi per garantirne la libera circolazione in modo che tutti ne traggano un vantaggio. Ma, attenzione, è l’azienda a decidere gli strumenti con cui attuare questo compito» aggiunge Panetta per sottolineare il principio di responsabilità.
Privacy by design
Un tassello fondamentale è la privacy by design. Questo principio obbliga l’azienda o la Pubblica amministrazione a realizzare qualsiasi intervento considerando fin dalla progettazione, ossia by design, la riservatezza e la protezione dei dati personali. Le applicazioni pratiche possono essere tantissime: dalla progettazione strutturale di edifici o di ambienti fino alla realizzazione di sistemi organizzativi. Comprende l’intero ciclo di vita delle informazioni personali, partendo dalla raccolta per passare al trattamento e concludere con la cancellazione degli stessi.
Privacy by default
Le misure devono avere un’impostazione predefinita per adeguarsi al concetto di privacy by default, anche questo previsto nel nuovo Regolamento. Il Data Protection Officer (Dpo) è all’interno dell’azienda il responsabile della protezione dei dati.«Si tratta di una figura professionale che diventa obbligatoria, e se nelle grandi aziende o in quelle molto strutturate esiste già, è chiaramente un costo aggiuntivo. Ma indispensabile non solo perché imposto dall’alto: occuparsi di privacy by design e by default costringe a una progettazione che coinvolge tutte le diverse divisioni, dal marketing al team di ingegneri, per evitare di dover affrontare costi di adeguamento futuri o peggio sanzioni», continua il legale.
Costi e sanzioni
Secondo Panetta, la nuova legge sulla privacy uguale per tutti potrebbe abbattere i costi di assistenza legale delle multinazionali. Questo non vale per le piccole aziende che magari hanno delocalizzato perché l’uniformità delle regole non compenserà le spese generate dall’introduzione di nuovi obblighi da ottemperare. Tra questi la creazione dei meccanismi di privacy by design e by default, l’implementazione di sistemi di segregazione delle banche dati tra marketing e profilazione e il data bridge management entro 72 ore dalla violazione dei dati personali. «L’impatto sui processi interni è notevole e mi sarei aspettato di più dai giuristi di Bruxelles, soprattutto in relazione all’evoluzione tecnologica. In uno scenario in cui centinaia di milioni di oggetti sono connessi come si può rimanere fermi all’ordinamento del consenso espresso e quindi inequivocabile, quando è l’uso stesso di questi oggetti a renderlo implicito? Una impostazione antiquata compensata dalle sanzioni», sostiene l’avvocato Panetta.
Multe elevate
Infatti, le multe passano da un massimo di 2 milioni dell’attuale regime a 20 milioni di euro, o il 4% del fatturato globale se si tratta di una multinazionale. «Cifre molto elevate che cambiano la percezione della compliance perché con sanzioni così elevate il rischio aumenta. Certo, a fronte di norme uniformi rimane la sovranità del singolo Stato con applicazioni e tribunali nazionali, senza contare che il Regolamento tocca tanti altri ambiti come il diritto penale, societario, amministrativo e del lavoro. Tutti campi che interessano le aziende con una giurisprudenza e sentenze diverse tra loro e pronunce delle autorità indipendenti». Insomma, bisogna fare i conti con la realtà. Eppure, l’avvocato assicura che si tratta della più avanzata fra le normative europee e che garantisce alcuni dei principi fondamentali della Costituzione italiana come la circolazione delle persone, del pensiero, la non discriminazione. «Una bandiera di libertà», conclude Panetta.
