international analysis and commentary

La protezione dei dati, vantaggio europeo

Articolo tratto dal numero 85 di Aspenia

2,225

La General Data Protection Regulation (GDPR) rappresenta il nuovo regolamento europeo sulla protezione dei dati. È stato approvato dal Parlamento e dal Consiglio europeo alla fine di aprile 2016 ed è ufficialmente entrato in vigore il 25 maggio del 2018. A differenza delle iniziative precedenti, la natura regolativa del gdpr offre un quadro giuridico formalizzato e vincolante per gli Stati membri, armonizzando a livello europeo i principi fondamentali del controllo e della protezione dei dati personali, creando un nuovo contesto di diritti nel sistema dei trattati post-Lisbona.

A più di un anno dall’entrata in vigore del testo, tuttavia, la riforma della privacy del dato resta un processo in divenire. Nonostante la natura onnicomprensiva del GDPR, alcuni dei suoi 99 articoli lasciano aperta la possibilità per i singoli Stati di legiferare in maniera autonoma, così da specificare ulteriormente le indicazioni del testo per quanto riguarda, ad esempio, alcune categorie di dati sensibili come quelli clinici e biometrici. Mentre alcuni Stati membri hanno già promulgato delle leggi speciali per adeguarsi ai dettami di Bruxelles, altri sono ancora in fase di implementazione. Il contesto regolativo si sta allineando, ma resta ancora magmatico, creando problemi al settore privato e a diverse imprese arrivate in ritardo alla scadenza dell’entrata in vigore del GDPR e impegnate ora in un’affannosa ristrutturazione organizzativa per far fronte alle nuove regole europee.

 

LE POTENZIALITÀ DEL REGOLAMENTO. Il GDPR ha introdotto numerosi benefici tanto per i consumatori, quanto per le imprese che operano nell’economia digitale. La nuova regulation europea è improntata al doppio pilastro della privacy by design and by default, sancito dall’art. 25 del GDPR, un concetto formalizzato nel 2010 da Ann Cavoukian, allora commissaria per la privacy della provincia canadese dell’Ontario. Secondo questa impostazione, la privacy dei dati individuali deve essere sempre considerata come impostazione di default da parte delle imprese e implementata nel design di algoritmi e servizi digitali fin dalle prime fasi di sviluppo. Invece di accumulare dati in maniera indiscriminata, le imprese sono tenute a trattare i dati personali solo nella misura in cui questi siano necessari alle proprie finalità immediate. Per i cittadini europei, la nuova regulation rafforza le possibilità di accesso e gestione dei propri dati, introducendo il diritto alla portabilità individuale, ovvero la capacità di richiedere il trasferimento dei propri dati da una piattaforma all’altra, e il diritto all’oblio, la possibilità cioè di costringere le aziende a cancellare i propri dati, inficiando monopoli indebiti nell’economia digitale.

L’esigenza di ammodernare la politica del dato europea nasce, da un lato, dai rapidi sviluppi della tecnologia digitale, che hanno reso obsoleta la direttiva 95/46 sulla protezione dei dati della Commissione europea, approvata nel 1995 e oggi largamente insufficiente a tutelare i cittadini in un contesto rivoluzionato dall’esplosione delle piattaforme social. Dall’altro, la globalizzazione delle reti di comunicazione e il flusso di dati personali, con il crescente pericolo del cyber-spionaggio, anche da parte di agenzie di sicurezza straniere, hanno reso l’opinione pubblica più sensibile al tema della privacy digitale. Già nel gennaio 2012 la Commissione europea aveva proposto una prima bozza legislativa del GDPR. Lo stesso Consiglio d’Europa si è impegnato in una riforma della propria Convenzione n. 108, sul trattamento automatizzato dei dati, approvato nel 1981 a Strasburgo.

Per quanto riguarda le aziende europee, il GDPR presenta dei costi organizzativi immediati, ma promette anche di rafforzarne la posizione competitiva, soprattutto a livello internazionale. Le stringenti clausole della regulation europea possono, infatti, favorire l’innovazione grazie a servizi digitali centrati sulla protezione dei dati e su prodotti consumer-friendly, facendo delle imprese europee dei “campioni” di un approccio etico all’ecosistema digitale.

Il GDPR si applica, infatti, non soltanto alle imprese europee in senso stretto, ma più in generale a tutte quelle che operano sul mercato comune digitale, inclusi giganti come Google, Amazon e Facebook, i quali saranno costretti a rivedere le proprie pratiche di gestione dati se non vogliono perdere fette di mercato. In questo senso, il GDPR ha il potenziale per diventare un nuovo standard globale nella politica di gestione dei dati. Questo potrebbe favorire una sorta di soft power tecnologico europeo, compensando la carenza di investimenti nel digitale con un rafforzamento del quadro etico-normativo internazionale. Le imprese europee, meglio posizionate per adeguarsi ai pilastri del GDPR, potrebbero trarne vantaggio.

A ciò si aggiunge il protezionismo informale che potrebbe essere garantito dal nuovo sistema di sanzioni pecuniarie introdotto dal testo europeo. L’art. 83 del nuovo codice prevede infatti che le aziende che violino la protezione dati dei propri utenti o impiegati possano subire una multa fino a 20 milioni di euro o 4% del proprio fatturato mondiale annuo, se superiore. Questo vincolo fornisce un potente dissuasore per le trasgressioni maggiori – soprattutto per i colossi della Silicon Valley e dell’estremo Oriente, che hanno spesso dimostrato atteggiamenti indiscriminati nella gestione dei dati – e potrebbe favorire quelle imprese europee che si adegueranno per prime alle nuove direttive.

Durante il primo anno di applicazione del GDPR, l’imposizione di multe è stata poco più che nominale: nel novembre 2018, ad esempio, l’autorità per la protezione dei dati del Land tedesco del Baden-Württenberg ha comminato una sanzione a una chat online per la violazione dell’articolo 32 sulla sicurezza del trattamento dei dati. Prima di allora, la Comissão Nacional de Proteção de Dados portoghese aveva sanzionato l’ospedale Barreiro di Lisbona di 400.000 euro per aver consentito l’accesso ai dati dei propri pazienti a personale non autorizzato. Il salto di qualità è avvenuto però nel gennaio 2019, quando la Commission Nationale de l’Informatique et des Libertés (CNIL) francese ha raccolto la denuncia dell’associazione La Quadrature du Net, impegnata nella difesa dei diritti digitali, comminando a Google una multa di 50 milioni di euro per mancanza di trasparenza nel consenso informato alla personalizzazione della pubblicità online.

 

LE SFIDE PER LE AZIENDE. Malgrado le opportunità competitive aperte dal GDPR e i pesanti costi in cui potrebbero incorrere i trasgressori, le imprese europee sono arrivate in ritardo all’appuntamento. Secondo un sondaggio condotto da McKinsey all’inizio dell’anno scorso, quasi nessun senior manager europeo reputava la propria azienda pronta all’entrata in vigore della nuova regulation e si aspettava che l’applicazione di alcune norme potesse essere procrastinata oltre la scadenza di maggio 2018. La maggior parte delle imprese ha quindi cercato di affrontare il problema adottando soluzioni temporanee e di controllo manuale delle proprie banche dati, anche a partire dall’assunzione di personale aggiuntivo. Il GDPR prevede, infatti, l’obbligo di assunzione di un data protection officer per tutte le amministrazioni pubbliche e le grandi aziende che operano con dati sensibili, con il compito di supervisionare i meccanismi di compliance.

Ciò non è però servito ad arginare i problemi. Le aziende impegnate in settori business to business digitali, ad esempio, hanno dovuto adeguarsi ai dettami dell’art. 28 del GDPR sulla responsabilità del trattamento, il quale impone misure più stringenti al trasferimento di dati all’interno delle filiere produttive. Le aziende sono ora costrette a monitorare costantemente le proprie catene di fornitori per capire se alcuni di essi processino dati personali nell’erogare i propri servizi, anche quando questo non è immediatamente visibile. Le aziende nel settore business to consumer, invece, devono far fronte a un’altra problematica: quella di ottenere il consenso informato al trattamento dei dati personali dei propri utenti. Banche dati costruite al di fuori dei criteri di trasparenza e del contesto regolativo del GDPR rischiano di diventare di fatto inservibili come asset commerciali. In entrambi i casi, la necessità è quella di ammodernare l’arsenale di strumenti IT a disposizione delle aziende per supervisionare in maniera automatica i propri meccanismi di raccolta dati, mantenerne traccia tangibile e far fronte alle numerose richieste dei propri utenti.

Il contesto è reso più difficile dal fatto che gli Stati membri hanno una certa discrezionalità nell’implementazione della normativa e possono decidere di inasprire alcune delle disposizioni del GDPR a livello nazionale. Più del 30% degli articoli del testo, infatti, contiene delle cosiddette clausole di apertura che consentono ai legislatori nazionali di scegliere fra varie opzioni – come ad esempio riguardo l’età minima per il consenso al trattamento dei dati, nel caso dei minori – e di specificare ulteriormente le regole per la protezione dei dati nell’amministrazione pubblica, nel rapporto di lavoro e nella politica sociale. I rischi di disomogeneità normativa sono soltanto in parte compensati dalla creazione di una nuova istituzione indipendente, il Comitato europeo per la protezione dei dati (EDPB), composto da rappresentanti delle varie autorità garanti nazionali e da un Data Protection Supervisor europeo. Il ruolo del nuovo organismo è proprio quello di stabilire la conformità alle norme del GDPR attraverso la pubblicazione di linee guida e codici di condotta. A differenza di un semplice organismo di indirizzo, l’EDPB può assumere decisioni vincolanti su casi specifici, quando essi riguardino più di uno Stato europeo.

 

IL PANORAMA INTERNAZIONALE. Nel panorama europeo, la Germania rappresenta un caso particolare. Infatti, essa è stata la prima a promulgare una legge speciale per l’implementazione del gdpr e il paese gode di una forte tradizione nella protezione dei dati personali. La legge per la protezione dei dati del Land dell’Assia, approvata nel 1970, rappresenta il primo esempio legislativo di protezione dei dati a livello globale. Proprio la struttura federale dello stato tedesco, tuttavia, ha portato a una problematica stratificazione regolativa. Accanto al Commissario federale per la Protezione dei dati, che ha sede a Bonn e agisce come supervisore, ogni Land ha una propria autorità deputata alla protezione dei dati, rendendo necessaria una continua opera di raccordo.

Due sono le particolarità principali dell’implementazione del GDPR in Germania: da un lato il legislatore tedesco devia dalla neutralità del testo europeo – che evita di fare riferimento a tecnologie e dispositivi specifici – menzionando esplicitamente i problemi legati alla video sorveglianza. Dall’altro, limita alcuni dei diritti individuali legati al controllo e trasparenza dei propri dati.

Anche per quando riguarda la Francia, le nuove regole del GDPR si sono dovute adattare alla specifica cultura del paese. La prima legislazione francese sulla privacy dei dati risale al 1978 ed era rimasta sostanzialmente immutata fino alla prima direttiva europea. Il GDPR ha, quindi, richiesto, in primis, una trasformazione istituzionale, con il rafforzamento dei poteri di supervisione del CNIL. Le maggiori specificità nell’applicazione della regulation europea in Francia riguardano il funzionamento della macchina amministrativa che è tradizionalmente permeata di un forte centralismo statale. La legislazione francese prevede che lo Stato che operi nelle sue pubbliche funzioni non deve richiedere il consenso preventivo ai propri cittadini per il trattamento dei dati, se non quando questi riguardino condizioni di salute o genetiche.

In Italia, la tutela e la protezione dei dati personali non trova un riconoscimento esplicito nella Costituzione e, per molto tempo, questi temi sono stati sottovalutati dalla legislazione nazionale. Solo l’approvazione del Codice per la Protezione dei dati personali del 2003, sulla scorta della direttiva europea 95/46, ha allineato l’Italia agli altri Stati membri. Con l’arrivo del GDPR, il governo italiano ha deciso di ammodernare ma non sostituire il codice precedente, favorendo piuttosto un cambio di prospettiva, da uno schema basato sulla sola autorizzazione preventiva al trattamento dei dati da parte del Garante a un approccio risk-based che incorpora il concetto di responsabilità proprio della regulation europea.

L’adattamento italiano del GDPR conferma, ad esempio, le pesanti sanzioni amministrative del testo europeo, ma mantiene anche delle sanzioni penali, fino a tre anni di carcere, per il trattamento illecito dei dati personali. La legislazione italiana risulta, inoltre, molto dettagliata per quanto riguarda il trattamento dei dati sanitari, imponendo a tutti gli operatori pubblici di dotarsi di un data protection officer e di tenere un registro dettagliato di come vengono utilizzati i dati dei pazienti. l’Italia inoltre rappresenta, almeno sino a ora, anche l’unico caso europeo in cui viene regolamentata la gestione dei dati personali dei defunti.

Da ultimo, merita menzione un caso nazionale particolare, perché extra-europeo: quello del Giappone. Al fine di garantire continuità d’accesso al mercato europeo per le proprie aziende, il paese del Sol Levante ha deciso di allinearsi all’impostazione di protezione dati del GDPR, offrendo norme vincolanti per garantire l’accesso dei cittadini europei ai propri dati, stabilendo un sistema per la gestione dei reclami e offrendo rassicurazioni sul fatto che il governo giapponese non utilizzerà i dati se non nella misura strettamente necessaria per la propria sicurezza nazionale, regolando in maniera molto stringente anche la loro eventuale cessione a paesi terzi. Sul finire del 2018, Bruxelles e Tokyo hanno, quindi, raggiunto un accordo, all’interno del partenariato di libero scambio tra Unione Europea e Giappone, per il riconoscimento dell’equivalenza reciproca dei propri sistemi di protezione dati.

Ispirandosi ai valori di un nuovo umanesimo tecnologico, il GDPR ha tutte le carte in regola per diventare la base di un nuovo sistema di regole globali che tuteli i diritti dell’individuo nella società dell’informazione. Attraverso di esso, l’Europa ha la possibilità di porsi al centro del dibattito internazionale sull’etica e il diritto dell’ecosistema digitale, contribuendo cosi a instradarne lo sviluppo in una direzione che combaci con i propri interessi politici ed economici. Per sfruttarne appieno le potenzialità, è però necessario che le imprese del continente si adeguino presto e in maniera efficace ai dettami del nuovo testo europeo. Agli Stati membri e a Bruxelles spetta invece il compito di garantirne l’omogeneità, impedendo che le regole comuni del GDPR si disperdano nei mille rivoli della legislazioni nazionali.