Il Presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati, Luca Bolognini, spiega a LabParlamento i limiti e le possibilità delle nuove regole Ue. Legge Stabilità in contrasto
di Rita Murgese
Europa non è solo moneta unica e rispetto del tetto del 3% ma anche direttive e regolamenti da recepire, questi ultimi senza nessuna possibilità di modifiche da parte degli Stati membri. Di recente, un dibattito pubblico di nicchia discute sul countdown per il recepimento del General Data Protection Regulation (GDPR), in scadenza il prossimo 25 maggio. E pare proprio che l’Italia, insieme a numerosi Paesi europei, sia rimasta un po’ indietro nell’acquisizione del regolamento targato Ue, che in sostanza andrà a disciplinare il trattamento dei dati personali all’interno dei confini sovranazionali.
Il quadro che si profila davanti è caratterizzato da vari elementi che non fanno ben sperare: il monito della commissaria Ue alla giustizia Vera Jourova, la quale due giorni fa ci ha richiamato bonariamente affinché siamo pronti a prescindere dall’imminente appuntamento elettorale; una ricerca di TrendMicro, in cui è compresa anche l’Italia, che rivela come il 64% dei responsabili aziendali non sia a conoscenza che la data di nascita di un cliente è classificata come dato personale; infine una Legge di Stabilità che parrebbe in contrasto con il regolamento europeo GDPR.
A diffondere questa ultima informazione è il presidente dell’Istituto italiano per la Privacy e la Valorizzazione dei dati, l’avvocato Luca Bolognini, che in un recente articolo ha affermato: “Siamo di fronte al tentativo di reintrodurre un misto tra notificazione, autorizzazione e verifica preliminare privacy nell’ordinamento italiano”. E che ha risposto ad alcune domande di LabParlamento
Nell’ultima Legge di Stabilità, i commi 1021 – 1025 dell’articolo 1 prevedono di adeguare l’ordinamento interno al regolamento sul GDPR. Secondo lei è una specifica inutile?
“Il Regolamento Privacy europeo, anche noto come GDPR, si applica direttamente in tutti gli Stati membri della Ue, senza bisogno di recepimento. Al massimo, possiamo parlare di ‘riordino interno’. Il legislatore ha operato una delega al Governo, con la legge 163/2017 ben prima della legge di Bilancio 2018, e il Governo dovrebbe uscire con un decreto legislativo quanto prima, anche per adeguare i delitti e le contravvenzioni penali italiane in materia di illecito trattamento dei dati o di violazioni del Regolamento. Il Garante, dal canto suo, come ogni autorità pubblica, avrebbe l’obbligo di interpretazione conforme del diritto della Ue, e quindi dovrebbe disapplicare norme interne manifestamente incompatibili per contrasto o ripetitività ».
Cosa succederebbe se L’Italia non recepisse il regolamento nei tempi indicati?
“I primi a rimetterci saranno i cittadini e gli interessati a cui si riferiscono i dati personali, i secondi a ‘pagare’ l’incertezza saranno i titolari del trattamento, cioè imprese ed enti, la terza a farne le spese sarà l’Italia, che rischierà una procedura d’infrazione per disarmonia e mancanza di salvaguardie adeguate e di norme penali nell’ordinamento interno”.
Si tratta quindi di una iniziativa sbagliata da parte del Legislatore?
“Non so cosa abbia spinto il legislatore a introdurre questa norma. Verrebbe da chiedersi cui prodest. Il GDPR prevede ampi margini per poter eseguire trattamenti di dati personali per legittimo interesse del Titolare, senza assolutamente dover passare – come era prima – dalla richiesta di permesso al Garante. In qualche considerando del GDPR si tipizzano perfino casi di legittimo interesse, ricorrenti ex lege. Poi potranno essere previsti legittimi interessi nei futuri codici di condotta ex artt. 40-41 GDPR. Insomma, questi commi della Legge di Stabilità 2018 fanno scintille di attrito con il Regolamento: mi immagino la pioggia di istanze che dovranno arrivare al Garante e che, se respinte, porteranno inevitabilmente a un’escalation fino in Corte di Giustizia della UE per l’incompatibilità. Speriamo il Governo, nell’esercitare la delega, consigliato dai bravi giuristi che fanno parte del gruppo di lavoro creato in seno al Ministero della Giustizia, spazzi via questa norma”.
Sarebbe stato necessario fare qualcosa in più per la promozione del regolamento a livello aziendale?
“L’Italia, arrivando, ben che vada, con un decreto legislativo last minute di adeguamento, non ha certo aiutato l’orientamento delle tante imprese e degli enti che si sono impegnati da molti mesi ad adempiere. Faccio un esempio: qualcuno, negli enti con funzioni ispettive o di vigilanza, si è accorto dei possibili impatti degli articoli 13, 15 e 22 del GDPR sulla propria operatività e sul grado di trasparenza delle logiche adottate nelle elaborazioni mediante algoritmi, da assicurare sin dall’informativa a tutti gli interessati? Qualcuno sta chiedendo al Governo di regolare meglio a livello nazionale, introducendo in legge le salvaguardie previste dall’art. 22, i meccanismi di analisi automatizzata dei dati, in ambito pubblico, che portano a decisioni con effetti significativi sulle persone fisiche (come essere iscritti in liste di soggetti anomali da controllare) per renderli ancora legittimi dopo il 25 maggio 2018?”.
Esiste un legame tra dati personali ed economia?
“Siamo fatti di dati, sempre di più. L’immaterialità del dato personale si è trasformata in moneta virtuale. Una decina d’anni fa nelle conferenza parlavo di ‘privacy come asset aziendale’. Credo pensassero che mi riferissi a una metafora, come dire che la corporate social responsibility rappresenti un bene per l’impresa. In realtà pensavo proprio al valore economico, misurabile, delle banche dati e del loro utilizzo. Siamo nell’era dell’exchange-commerce, nella quale niente è gratis ma quasi tutto si paga ‘in natura’, anziché con il denaro: la natura è l’obbligazione di ogni utente o interessato nel lasciare trattare i propri dati per scopi commerciali e analitici, in cambio del servizio o del bene. E’ una tracking economy, piena di effetti collaterali ma anche di opportunità per chi saprà cavalcarla con i giusti mezzi, rispettando i diritti fondamentali delle persone”.
All’interno del dibattito italiano sul GDPR, cosa ancora non è stato detto?
“Tante cose non sono state dette a sufficienza, e una è proprio quella relativa agli effetti degli articoli 13, 15 e 22 del GDPR su chi utilizza algoritmi, a maggior ragione in ambito pubblico. Poi non è stato detto, non abbastanza almeno, che un grande aiuto e orientamento a imprese ed enti lo daranno le certificazioni di processo, prodotto e servizio. Lo stesso GDPR ne prevede agli articoli 42-43 e dopo maggio 2018 le vedremo fiorire, e secondo me anche prosperare negli anni in tutta Europa. Quando questi meccanismi di certificazione potranno contare sui criteri indicati dai Garanti e sui requisiti stabiliti dalla Commissione UE, nei prossimi mesi, e saranno finalmente approvati, si aprirà un mondo nuovo per il modo d’intendere la compliance privacy in Europa: come modello di organizzazione, gestione e controllo, non più come adempimento statico e formalistico”.