“Il Regolamento Europeo 2016/679 (GDPR) ha rivoluzionato il mondo della protezione dei dati personali. La normativa introdotta dall’Unione Europea sensibilizza e rafforza la protezione dei dati personali delle persone fisiche, armonizzando il quadro normativo dell’Ue e può rappresentare un’importante opportunità per quelle aziende che vogliono distinguersi sul fronte dell’offerta di una solida protezione dei dati dei loro clienti. Il GDPR, ormai in vigore dal 25 maggio 2018, è stato armonizzato anche nel nostro paese con l’introduzione del Decreto n. 101 del 10 agosto 2018. Pertanto, le aziende non hanno più scuse e dovranno adeguarsi alle nuove disposizioni in ambito privacy definitivamente in vigore dal 19 settembre 2018”. (Agenda Digitale, 22 settembre 2018). Tuttavia, “secondo un recente studio di Talend, ben il 70% delle aziende non rispetta il GDPR, o non è ancora riuscito a farlo” (Digital4Trade, 18 settembre 2018).
Profumo, A.D. di Leonardo, aggiunge un punto di vista più strategico sulla questione: «Abbiamo bisogno di un approccio olistico contro il cybercrime come previsto dal nuovo regolamento della GDPR licenziato in Europa, per il quale solo mediante l’unione dell’impegno degli Stati membri sarà possibile incrementare il livello di cybersecurity europea» (Il Messaggero, 24 settembre 2018). Per farla breve: ormai quotidianamente ci viene ripetuto che: a) le aziende sono largamente inadempienti rispetto al General Data Protection Regulation (GDPR); b) sarebbe invece di fondamentale importanza che il regolamento venisse invece rapidamente implementato da tutti.
Le ragioni per cui ci si trova in questa situazione sono molte (ad esempio, il fatto che “il 40% delle aziende italiane non ha in organico risorse per la data protection”, CorCom, 14 settembre 2018); una di queste forse è che, nonostante il gran parlare che se ne è fatto, ai più non è ancora chiarissimo in cosa esattamente consista il GDPR. Ho pensato perciò di chiedere qualche lume in merito a Paolo Guarda, che ha il grande pregio di unire una elevata competenza sui temi giuridici legati alla digital transformation, con la capacità più unica che rara di spiegarli con chiarezza. Per questo forse il suo curriculum è così ricco. In sintesi, Paolo Guarda è Ricercatore di Diritto Privato Comparato presso la Facoltà di Giurisprudenza dell’Università degli Studi di Trento dove insegna, tra gli altri, “Comparative Information, Communication and Technology Law”. Nella sua attività di ricerca approfondisce da anni temi legati al rapporto tra il diritto e la tecnologia. In particolare collabora, sia a livello nazionale che locale, a progetti di sanità elettronica. E’, infine, autore di vari saggi su temi legati al diritto dell’era digitale (privacy, diritti di proprietà intellettuale, trasferimento tecnologico, ecc.).
1) Il nuovo GDPR cui tutte le aziende stanno affannosamente adeguandosi è veramente così nuovo o ci sono dei precedenti rispetto cui si pone in continuità?
Le motivazioni che vengono addotte per giustificare il nuovo intervento normativo in tema di protezione dei dati personali sono molteplici. Anzitutto, il mutato contesto tecnologico richiedeva che l’apparato normativo venisse aggiornato e che nomenclatori, categorie e regole fossero profilate sulle nuove esigenze. Inoltre, e soprattutto, l’armonizzazione che si era tentata di realizzare con la Direttiva 95/46/CE aveva prodotto a livello di recepimento nazionale tanti piccoli microcosmi normativi che, pur condividendo i principi generali, si caratterizzavano poi per piccole o grandi differenze sul fronte delle regole applicative. Il Regolamento prometterebbe (il condizionale è d’obbligo) invece un maggior livello di uniformazione.
Quello che sicuramente non rappresenta il GDPR è una totale novità a livello di regole e principi proposti. Questo purtroppo è quello che potrebbe apparire a un lettore poco esperto a fronte del “bombardamento” di informazioni cui tutti siamo stati sottoposti. Le novità certamente ci sono, e anche le innovazioni positive. L’aspetto essenziale è sicuramente il cambio di prospettiva: si passa dall’attenzione al dato in quanto tale all’enfasi sul trattamento e sulla responsabilizzazione del soggetto che governa il processo (avremo modo poi di trattare di “accountability”). La governance dei ruoli privacy, l’informativa ed il consenso, le misure di sicurezza, l’analisi dei rischi costituiscono elementi che erano già presenti nel precedente assetto normativo. I nuovi adempimenti che trovano esplicita previsione, per altri aspetti, rappresentano quelle che, prima, avremmo potuto definire come buone prassi.
Per fare una provocazione utilizzando le parole del celebre romanzo “Il Gattopardo” di Giuseppe Tomasi di Lampedusa: “Se vogliamo che tutto rimanga come è, bisogna che tutto cambi“.
2) Qual è lo specifico ambito di applicazione?
Quello dell’ambito di applicazione rappresenta uno degli aspetti veramente innovativi. Il legislatore europeo nella redazione dell’art. 3 sull’“Ambito di applicazione territoriale”, non ha certo celato l’intento di puntare ad un effetto globale realizzando una sorta di effetto domino. Da un lato, si conferma, infatti, che il Regolamento si applica al trattamento di dati personali effettuato nell’ambito di uno stabilimento nell’Unione, indipendentemente che esso sia effettuato o meno nell’Unione. D’altro, e sta qui la novità, si sancisce l’applicabilità del regolamento anche a chi tratta dati personali di soggetti interessati che si trovano nell’Unione, sebbene non formalmente stabilito all’interno del suo territorio, che riguardino: l’offerta di beni o la prestazione di servizi ai suddetti interessati o il monitoraggio del loro comportamento nella misura in cui abbia luogo all’interno dell’Unione. La portata di questa previsione è evidente: qualsiasi trattamento che coinvolga soggetti che si trovano nell’UE obbliga il fornitore del servizio ad adottare quanto sancito dal GDPR. Questo può avere un effetto domino al rialzo, portando le grandi aziende mondiali della società dell’informazione (penso a Facebook, Google, ecc.) ad adottare il GDPR come standard globale dei loro trattamenti.
3) Vogliamo definire con chiarezza alcuni termini chiave del regolamento, come ad esempio accountability?
L’accountability è il concetto chiave del nuovo approccio voluto dal GDPR. Il titolare del trattamento, per adottare quanto sancito a livello europeo ed andare indenne da possibili sanzioni, non può più passivamente ridursi ad implementare le misure di sicurezza previste a livello normativo, come una sorta di check-list cui adeguarsi. Gli è ora richiesto un atteggiamento proattivo. Tenuto conto, pertanto, della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, egli dovrà mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al regolamento (vedi art. 24, par. 1, GDPR). La portata di questa previsione è di non poco momento: sarà, quindi, il titolare a dover determinare, a seguito di un’attenta analisi dei rischi, quali misure di carattere sia organizzativo che tecnico siano adeguate a mitigare i possibili rischi e, questo l’aspetto documentale del GDPR, dovrà essere in grado di dimostrare il perché di tali scelte. Alcuni commentatori hanno criticato questa impostazione perché presuppone in modo irrealistico che tutti i titolari del trattamento possano avere le competenze adeguate per porre in essere tali scelte. Di fatto però, responsabilizzando i soggetti coinvolti, principi di questo tipo sicuramente innalzano il livello di sensibilità ed attenzione verso certi temi. Potremmo dirla, usando le parole dello zio di Peter Parker (in arte Spiderman): “Da un grande potere derivano grandi responsabilità”!
4) Qual è il sistema di governance richiesto e perché è così importante?
La gestione dei ruoli privacy all’interno di un’organizzazione che tratta dati personali è sempre stato un aspetto centrale. Come noto, già il legislatore europeo del 1995 come scelta di partenza aveva disciplinato la gerarchia degli attori coinvolti in tale attività. Al vertice di questa piramide era stato posto il “titolare del trattamento”, poi si aveva il “responsabile del trattamento” e, nel recepimento italiano, “l’incaricato del trattamento”. Il GDPR riprende questa impostazione e conferma i ruoli di “titolare” e “responsabile” (con alcune particolarità che obbligano l’interprete ad attività di carattere creativo che non abbiamo qui il tempo di approfondire). L’individuazione dei ruoli nello scenario applicativo è un’operazione che fotografa uno stato di fatto. La qual cosa significa che, a prescindere dall’assetto e dalle etichette che i soggetti coinvolti avranno voluto riconoscere, il Garante privacy o l’autorità giudiziaria, se richiesti, porranno in essere le loro valutazioni che potranno anche modificare quanto originariamente previsto. La gestione dei ruoli prende le mosse dalla mappatura dei processi e dei flussi (che ora, nel GDPR, trova momento documentale nella redazione del “registro delle attività”). Essa significa anche la previsione di specifici adempimenti in capo ai soggetti coinvolti, rende più trasparente il processo relativo ai dati per l’interessato al trattamento e, soprattutto, permette di ricostruire i gradi di responsabilità nel caso in cui qualcosa non andasse per il verso corretto.5) Cosa si intende con il termine “privacy by design”?
Il GDPR codifica un principio centrale nell’approccio alla costruzione di piattaforme atte a gestire dati personali: la c.d. “privacy by design” (“Protezione dei dati fin dalla progettazione” nella versione in italiano). Questo era già rinvenibile nel precedente Codice Privacy, dove all’art. 3 si parlava di principio di necessità e si poneva l’attenzione sulle stesse questioni. Certo a quella previsione normativa non era agganciata alcuna sanzione e questo quindi la rendeva, ahinoi, meno incisiva di quanto non possa esserlo ora (tratteremo dopo del tema sanzioni). La privacy by design impone di incorporare i principi e le regole in materia di protezione dei dati personali a partire dalla progettazione del processo, anche e soprattutto a livello di soluzioni tecnico-organizzative (art. 25, par. 1). Il principio è ripreso e spiegato al Considerando n. 78, dove si richiede al titolare di adottare politiche interne e misure che soddisfino i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita (ad es., la riduzione al minimo dell’utilizzo dei dati, la pseudonimizzazione, una maggiore trasparenza sulle funzioni e sullo stesso trattamento, ecc.). La previsione è, infatti, da leggersi assieme ad un altro principio di carattere generale che ha trovato codificazione nel Regolamento: la c.d. “privacy by default” (“protezione per impostazione predefinita”), che obbliga all’adozione di misure tecniche ed organizzative adeguate a garantire che siano trattati solamente i dati personali necessari per ogni specifica finalità di trattamento (art. 23, par. 2)
La privacy by design è un’ulteriore declinazione del concetto di accountability. L’attenzione al rispetto delle regole in materia di protezione dei dati personali deve porsi sin dalle fasi iniziali della progettazione del trattamento, nei suoi aspetti di carattere tecnico ma anche e soprattutto organizzativi (vedi la gestione dei ruoli di cui si parlava prima).
6) In cosa consiste la valutazione d’impatto?
La valutazione d’impatto sulla protezione dei dati è probabilmente uno tra gli elementi di maggiore rilevanza nel nuovo quadro normativo con riferimento al principio dell’accountability. Come dicevamo, il titolare del trattamento non solo è tenuto a garantire l’osservanza delle disposizioni del GDPR, ma è anche obbligato a dimostrare in modo adeguato in che modo queste misure garantiscano tale osservanza. Quando quindi un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi ed altri fattori), ai sensi degli articoli 35 e 36 il titolare del trattamento dovrà svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti. Riprendendo la provocazione iniziale si tratta di una “best practice” che risultava comunque opportuna e consigliabile se si voleva correttamente realizzare quanto disposto dalla Direttiva 95/46/CE e dal Codice Privacy italiano anche prima della novella!
7) Quali sono le conseguenze del GDPR in termini sullo sviluppo e gestione di piattaforme digitale per i dipendenti, in particolare per quanto riguarda i processi di formazione comunicazione e gestione dei dipendenti?
Il GDPR se ben adottato può sicuramente portare a una maggiore trasparenza dei processi informativi. Questo non può che esser un aspetto positivo nei contesti lavorativi. Le nuove tecnologie, anche ad esempio nel campo dell’apprendimento e della formazione, promettono risultati più che interessanti in termini di efficacia dell’attività formativa e di efficienza dei processi aziendali in generale. Certo, in questo scenario occorre sempre scongiurare forme di controllo a distanza e quindi tenere in debita considerazione anche quanto stabilito nel contesto italiano dallo Statuto dei lavoratori. Se si riuscisse a investire nell’attivazione di un circolo virtuoso, dove nella più totale trasparenza processi e flussi di dati vengono trattati e gestiti per migliorare il contesto professionale e, di conseguenza, anche le performance aziendali, ecco che avremmo ottenuto quella che gli economisti chiamano una situazione “win win”.
8) In cosa consistono le sanzioni?
L’apparato sanzionatorio del GDPR è quello che maggiormente si pubblicizza ed enfatizza visto l’evidente inasprimento delle sanzioni di carattere amministrativo (che possono arrivare a seconda dei casi fino a dieci milioni o venti milioni di euro, o addirittura al 3 o il 4 per cento del fatturato mondiale se superiore per le imprese private). Sicuramente questo aspetto ha la sua importanza. Però certo non ridurrei la disciplina privacy solo ad una serie di adempimenti da adottare per non incorrere in pesanti sanzioni. Quando si imposta il ragionamento in questi termini si perde il vero valore aggiunto che l’osservanza dei principi sanciti a livello europeo può dare anche e soprattutto ad una realtà aziendale.
9) In termini di social media policy per i dipendenti, come integrarla (o riscriverla ex novo) alla luce del Gdpr?
Le social media policy si inseriscono in quella serie di regolamenti che nel contesto aziendale vengono adottati per gestire le attività dei dipendenti, in questo caso nel contesto digitale, e per ridurre eventuali costi transattivi nei momenti patologici. Nello svolgere questo tipo di attività possiamo avere due approcci: quello che li vede come inutile burocrazia di cui è necessario dotarsi per non incorrere in sanzioni (vedi il punto precedente); oppure quello che li considera strumenti essenziali e proattivi nella gestione dell’utilizzo delle risorse aziendali. Il GDPR, come già ricordato, enfatizza il ruolo dell’attività documentale in termini di responsabilizzazione. Queste attività esitano nella redazione di documenti che descrivono i processi in atto con riferimento ai dati personali e i confini del trattamento da parte dei soggetti coinvolti. Questo quindi è un momento privilegiato per porre mano a una revisione di regolamenti, documenti e policy aziendali. Ciò al fine certamente di adeguarli alle nuove regole sancite a livello europeo, ma anche e soprattutto per aumentare la trasparenza circa i flussi di informazioni che interessano le attività aziendali ed i diritti ed obblighi in capo ai soggetti coinvolti. Concertare quindi la modifica di queste policy magari coinvolgendo, grazie all’uso delle tecnologie digitali, il processo di revisione con i dipendenti, può portare a regole maggiormente profilate allo scenario applicativo e condivise a livello generale. Le regole chiare sono una garanzia per tutti, anche nei momenti patologici che potrebbero vedere datore di lavoro e dipendente scontrarsi in sede giudiziale.
10) Hai qualche consiglio o raccomandazione finale?
In generale credo che la privacy abbia sempre rappresentato prima di tutto un fenomeno di carattere culturale. Possiamo certamente, anzi dobbiamo, prevedere a livello normativo l’adozione di misure di carattere tecnico-organizzativo per aumentare il livello di protezione dei dati personali. A poco però questo servirà in processi di carattere globale e che così profondamente invadono la sfera personale dell’individuo. Proteggere la privacy significa anche e soprattutto difendere la dignità delle persone. Occorre, quindi che aumenti la consapevolezza dei rischi connessi ad un uso indiscriminato dei dati personali e la “sensibilità” generale verso fenomeni che ci riguardano in maniera così diretta. Le tragiche conseguenze di una società completamente controllata sono già ben tratteggiate in molti romanzi che descrivono scenari distopici, tra i quali il capolavoro orwelliano “1984” rimane un punto di riferimento. Tornando sul piano aziendale, vorrei ribadire che l’adeguamento a quanto stabilito nella disciplina in materia di protezione dei dati personali può e deve rappresentare un’opportunità ed un valore aggiunto, con possibili ricadute anche sul versante della promozione dei prodotti o dei servizi offerti. Il GDPR enfatizza, infatti, l’importanza delle certificazioni. Ci auspichiamo che il mercato risponda prontamente offrendo servizi adeguati alla richiesta. Ecco che allora un’azienda che sia pure in grado di dimostrare il rispetto del GDPR attraverso certificati e marchi da apporre su prodotti o su siti web, potrebbe far aumentare l’attenzione e l’interesse di una domanda che auspichiamo sia sempre più attenta e sensibile a questi temi.