articoli, Law

Regolamento Europeo per la Privacy (GDPR): Parliamo di valori

(ADA FIASCHI – 10 marzo 2017)

Lo sviluppo della tecnologia, anche in relazione alla nuova economia digitale, ha posto una sfida culturale in relazione alla centralità della protezione dei dati che si presenta quale vera emergenza dell’inizio di questo millennio. A tale sfida ha risposto l’Europa, incredibilmente unita, tramite l’approvazione del GDPR General Data Protection Regulation (Reg. 679/16).
L’articolata disciplina del Regolamento è il punto di approdo di una lunga evoluzione concettuale e normativa che ha visto la privacy partire dal più limitato diritto alla protezione della vita privata, the right to be let alone, per arrivare in seguito al diritto alla protezione dei dati, quale diritto fondamentale della persona sia all’interno del sistema giuridico nazionale sia all’interno di quello comunitario (art. 7 e 8 della Carta dei diritti fondamentali della Unione Europea)
Con il GDPR è stata introdotta una straordinaria novità rispetto l’attuale panorama legislativo internazionale, poiché la disciplina del regolamento vincola i titolari del trattamento extra-UE al suo rispetto quando offrano beni e servizi o monitorino i comportamenti di persone fisiche nella Unione Europea, ma più in generale vincola i titolari del trattamento europei al rispetto dei diritti privacy di tutti gli interessati nel mondo, senza confini di cittadinanza né di collocazione. In sintesi il vecchio continente accompagna i popoli d’Europa a condividere valori comuni anche oltre oceano, “educando” altri paesi al rispetto di un diritto trasversale la cui violazione può incidere pesantemente sui diritti fondamentali della persona.
Entrando nel vivo della normativa il GDPR, procede in due direzioni. Da un lato prevede un maggior rigore nel rispetto dei principi fondamentali della normativa privacy quali: liceità del trattamento, correttezza, trasparenza, limitazione delle finalità, minimizzazione, integrità e riservatezza, che si manifesta nella previsione di sanzioni più pesanti e adempimenti più articolati, si pensi alle sanzioni del Garante che possono arrivare ad un massimo di 20 milioni di euro o al 4% del fatturato di un’azienda. Dall’altro lato amplia i diritti dell’interessato che comprendono ora non solo i classici diritti di informazione e partecipazione, ma anche il diritto di portabilità, rettifica ed oblio.
Con un cambio di prospettiva, il Titolare per garantire che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina dovrà essere in grado di “comprovarlo” ponendo in essere una serie di adempimenti (ad esempio, la mappatura delle operazioni di trattamento mediante la creazione di un apposito registro), che rendano i principi posti dalla nuova disciplina dati verificabili nei fatti e non più soltanto obblighi giuridici esistenti sulla carta: ciò costituisce l’essenza del principio di “accountability”.
Vengono inoltre introdotte regole più chiare in materia di informativa e consenso, si stabiliscono i limiti al trattamento automatizzato dei dati personali, e in fine vengono stabiliti criteri rigorosi per il trasferimento dei dati al di fuori dell’Ue e per i casi di violazione dei dati personali (data breach).
Fatte le precedenti premesse, passando dall’astrattezza della norma alla prassi, la condizione pregiudiziale per ottenere il risultato di una maggiore sicurezza dei trattamenti, sarà far comprendere agli stakeholder l’importanza centrale della protezione dei dati per garantire tra l’altro la continuità dei servizi, oltre a far valutare la ricchezza che i dati personali e sensibili rappresentano quali asset strategici delle aziende.
L’incessante lavoro informativo svolto dalla Autorità Garante per la Protezione dei Dati Personali che, senza soluzione di continuità, si sta adoperando in Italia e all’estero per ottenere un risultato condiviso, andrà purtroppo di pari passo con l’incessante lavoro degli hacker che, prima ancora delle promesse sanzioni, costringeranno la società civile alla comprensione dell’emergenza afferente i possibili abusi nel trattamento dei dati personali.
I nostri dati aggregati rappresentano un enorme patrimonio informativo ma il loro utilizzo, in assenza di opportune cautele, può comportare rischi specifici per la tutela della riservatezza dei soggetti interessati, tenuto conto che, grazie alle nuove tecnologie e alle tecniche di analisi ed elaborazione, risulta possibile “re-identificare” un soggetto attraverso informazioni apparentemente anonime.
Difatti se è pur vero che tramite la digitalizzazione si renderà possibile acquisire e memorizzare grandi quantità di dati e l’analisi di questi ultimi potrà risultare vantaggiosa per la società, proprio per la capacità di prevedere azioni o eventi futuri (come la diffusione di epidemie o come la possibilità di combattere l’inquinamento nelle grandi città) è altrettanto possibile che tramite il controllo di informazioni personali si possa arrivare ad approfittare dei nostri portafogli e ipotesi ancor più insidiosa e grave ad influenzare le coscienze.
Ben vengano pertanto gli oneri organizzativi e infrastrutturali e le connesse sanzioni – per ora identificate soltanto nel loro massimo – che il legislatore ha ipotizzato promulgando il GDPR con l’intento di disciplinare questa nuova frontiera del diritto, anche se il termine di due anni di tempo concessi alle aziende pubbliche e private per adeguarsi, appare fin troppo esiguo, visti gli investimenti che dovranno essere messi in gioco.
Posta l’importanza etico sociale della sfida, si ritiene che l’Agenda del legislatore nazionale debba considerare prioritaria la pianificazione di incentivi fiscali a vantaggio di tutte quelle aziende private che sia in qualità di Titolari, sia di Responsabili del trattamento, intendano seriamente investire nella data protection.
Le agevolazioni fiscali, in tale modo in linea con le moderne concezioni dello Stato interventista e della finanza funzionale, andrebbero a surrogare veri e propri finanziamenti pubblici, i quali possono essere proficuamente “attribuiti” piegando la via tributaria a fini extrafiscali, dovendo proteggere valori di rilievo costituzionale.
Ada Fiaschi