Dicembre 2013

Se fosse approvato il nuovo Regolamento UE sulla protezione dei dati personali, in tutta la UE avremmo la medesima normativa privacy direttamente applicabile. Non è una buona notizia.

 

Proprio in queste settimane, sul tavolo del Consiglio Europeo c'è una proposta di Regolamento sulla protezione dei dati personali. Se il Regolamento fosse approvato prima delle elezioni europee, dopo due anni dalla sua promulgazione (nel 2016) avremmo in tutta la UE la medesima normativa privacy direttamente applicabile, dunque cogente per cittadini e organizzazioni degli Stati membri, senza necessità di leggi di recepimento.

E' una bellissima notizia solo sulla carta. In realtà, ci troviamo di fronte a una disciplina che se non sarà corretta per tempo in alcuni suoi meccanismi, da un lato favorirà chi in Europa è già avvantaggiato da altre dinamiche monetarie e finanziarie (le imprese nordiche), dall'altro non riuscirà a imporre – come invece si sperava – la sensibilità europea sulla privacy ai Big americani del digitale e dei Social Media. Perché passare dalla direttiva 95/46/CE, attuata ormai da tutti i vari Stati membri, a una normativa nuova, peraltro di taglio generale, con tutti i relativi rischi di confusione interpretativa e applicativa?

Nella proposta di Regolamento del 25 gennaio 2012, la Commissione dichiara che la frammentazione delle normative privacy ha creato incertezza giuridica, specie per le multinazionali, e introduce per queste ultime una duplice semplificazione: a) il non dovere più sostenere, nelle singole filiali, i costi di adeguamento derivanti dalle differenti leggi statali attuative della direttiva; b) il poter interloquire, in base all'innovativo meccanismo "di coerenza", con un unico Garante, quello dello Stato dove ha sede Casa Madre.

Ci si sarebbe aspettati semplificazioni anche per le imprese nazionali, specie le PMI: ad es. il riconoscimento di una maggiore flessibilità nello scegliere "come" raggiungere il traguardo di un elevato livello di tutela dei dati personali. Invece già nella proposta della Commissione Europea sono introdotti oneri organizzativi, vincoli e procedure per tutti, di là dalla loro grandezza e consistenza organizzativa,fatta salva la possibilità per la Commissione stessa di intervenire in un secondo momento con esoneri ad hoc per le PMI.

Dopo un estenuante negoziato fra le centinaia di gruppi d'interesse che seguono la proposta, il 21 ottobre scorso la Commissione LIBE del Parlamento Europeo ha licenziato il testo di compromesso oggi all'esame del Consiglio Europeo. Dal documento, si ricava l'impressione che in questa partita la tutela delle esigenze delle imprese latine sia stata marginale, a tutto vantaggio di altri interessi molto più forti e meglio difesi.

Nella nuova versione del Regolamento, aumentano in modo rilevante e trasversale gli obblighi di attività organizzative interne oggetto di presidio continuo, quali analisi dei rischi, valutazioni dell'impatto privacy nelle singole attività di business, documentazione scritta delle scelte, riesame periodico delle politiche aziendali di protezione dei dati personali. Attivitàdi pregio, figlie delle culture della qualità e dell'internal audit, che già oggi sono buone pratiche, ma che finora sono state declinate dalle imprese in modo variabile, secondo valutazioni rischio/beneficio, senza correre il rischio di multe in caso di omissione.

Inoltre, è resa obbligatoria per un novero amplissimo d'imprese (quelle che trattano dati di più di 5000 interessati per più di dodici mesi consecutivi) la nuova figura introdotta dalla Commissione, il Data Protection Officer. Quest'istituto - già presente nella legislazione tedesca,adottato già da anni da importanti multinazionali del B/C - consiste in una sorta di organismo di vigilanza interno all'azienda, interamente dedicato all'esame e al controllo di questioni attinenti la protezione dei dati personali.
In questo scenario impegnativo, compaiono due singolari semplificazioni, giustamente criticate dal nostro Garante privacy: a) esoneri dalle sanzioni amministrative pecuniarie (salvo violazioni dolose) per chi ottiene la certificazione privacy; b) regole più soft per chi usa dati pseudonimizzati, con netti vantaggi per coloro che dei consumatori hanno spesso solo i nicknames: cioè, guarda caso, i Big americani dei Social Media.

Le parole migliori per descrivere i limiti del testo della Commissione LIBE le ha pronunciate il primo ministro britannico David Cameron quando, a fine ottobre, ne ha frenato il procedimento di approvazione: "Non dobbiamo essere indotti in errore dalla convinzione che un mercato unico serio e operativo necessiti di uno strumento qualsiasi per essere armonizzato, inseguendo così l'idea di un campo da gioco irraggiungibile ed immenso. Qui, siamo di fronte a un approccio "taglia unica" che non consentirebbe ai diversi responsabili del trattamento dei dati personali (dai piccoli retailer online, alle multinazionali del settore Internet) di adottare modalità attuative proporzionate alle proprie dimensioni al fine di assicurare il rispetto della normativa".

Difficilmente avremo un reale avanzamento nella protezione dei dati personali, specie nell'ambiente che più ci preoccupa (quello digitale), se la nuova normativa sarà forte con i deboli, e debole con i forti.

 

 

• privacy
• europa
• IIP
• Fulco
• regolamento
• UE