Rimangono poco più di sei mesi a cittadini e imprese per prepararsi a un Regolamento, direttamente applicabile a partire dal 25 maggio 2018, che segna per varie ragioni un netto punto di svolta rispetto al passato. Si tratta infatti di una sorta di testo unico, dettagliato e di ampia portata, che costituisce l’asse centrale di una strategia basata su interventi non soltanto di carattere normativo (fra tutti, le direttive Nis ed Enforcement, la decisione relativa al Privacy shield) con cui il legislatore europeo intende aggiornare e armonizzare un sistema ormai antiquato (in quanto basato essenzialmente su una direttiva del 1995) e frammentario (perché risultato delle varie leggi nazionali di trasposizione).
In parallelo alla convenzione n. 108 del 1981 sul trattamento automatizzato dei dati personali in corso di revisione da parte del Consiglio d’Europa, il Regolamento 679/2016 rappresenta quindi la risposta dell’Unione europea, per taluni aspetti obbligata, ambiziosa e certamente perfettibile, alla disruptive evolution provocata dal digitale. L’aumento esponenziale del flusso dei dati transfrontalieri scambiati tra attori pubblici e privati e la raccolta sistematica di dati personali da parte soprattutto delle multinazionali del web ha messo in discussione l’adeguatezza degli strumenti giuridici tradizionali, con la necessità di rifondare su nuove basi un insieme di regole poste a tutela di diritti quali la privacy e la protezione dati, che sono parte integrante e qualificante dell’ordinamento europeo.
Rispetto alla direttiva precedente, il Regolamento sovverte il tradizionale principio di stabilimento e cambia il suo ambito di applicazione territoriale, secondo l’orientamento della Corte di giustizia. Le regole europee si applicano anche a titolari e responsabili non stabiliti all’interno dell’Ue, indipendentemente da dove sia effettuato il trattamento dei dati, ma riguardi cittadini europei. Sono introdotti nuovi obblighi, la cui inosservanza costituisce fonte di responsabilità, sulla base di un approccio sostanzialistico che valorizza non tanto il rispetto delle regole di per sé quanto l’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva, anche sotto il profilo della sicurezza.
A ciò si aggiungono accresciuti obblighi di trasparenza per quanto riguarda le informazioni da fornire all’interessato, una specifica procedura per comunicare l’avvenuta violazione di dati personali anche agli interessati (data breach), una valutazione d’impatto da effettuarsi qualora un determinato trattamento (tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità) possa presentare un rischio elevato per i diritti e libertà delle persone fisiche. A ciò si aggiunge la nomina, prevista in talune circostanze, di un responsabile della protezione dati. L’interessato vede altresì rafforzate le proprie prerogative, attraverso il riconoscimento di un diritto all’oblio (per la prima volta codificato in diritto positivo, in seguito alla sentenza Google Spain del 2014) e alla portabilità dei suoi dati, quando intende cambiare provider (per esempio, un social network).
Viene altresì introdotto il principio del one stop shop, vale a dire l’individuazione di un’unica autorità di controllo, con riferimento al luogo dello stabilimento principale del titolare o del responsabile, nel caso in cui questi ultimi effettuino trattamenti transfrontalieri, per garantire uniformità ed evitare che le stesse violazioni siano oggetto di decisioni diverse a seconda del Paese. Il Regolamento conferma il principio della responsabilità risarcitoria per il “danno da trattamento” e inasprisce le sanzioni amministrative, che devono essere effettive, dissuasive, proporzionate, commisurate a percentuali del fatturato e possono applicarsi in aggiunta alle misure correttive di competenza dell’autorità di controllo. Certezza del diritto e sicurezza dunque, a beneficio di consumatori e imprese, che debbono d’ora in poi adottare un assetto organizzativo privacy friendly.
A dimostrazione della correttezza di un impianto volto a rafforzare i diritti individuali e rendere le transazioni economiche più rapide e sicure, qualche mese fa il commissario inglese per l’informazione Elisabeth Denham si è impegnata, nonostante la Brexit, a far applicare nel suo Paese il Regolamento Ue e ad adeguare a esso il digital economy bill. In un contesto internazionale ove la concorrenza e le transazioni sono basate sullo scambio di dati e i sistemi giuridici sono ormai comparabili fra loro anche per la qualità delle norme che producono, il rigoroso rispetto delle regole poste a protezione dei dati personali diventa per ogni impresa non più soltanto un costo, ma un fattore abilitante della propria strategia concorrenziale, immediatamente verificabile (la stessa Commissione europea in alcune recenti decisioni relative a concentrazioni non ha mancato di valorizzare la circostanza che le imprese possano differenziare le tutele riconosciute ai dati dei propri utenti come tratto qualificante delle proprie offerte).
Se l’intelligenza artificiale è ormai alla base di analisi predittive e investigazioni di polizia, gli algoritmi sono gli strumenti che consentono ai governi di orientare i propri interventi di politica economica e sociale (questo è quanto emerso a Londra alla conferenza Government by algorithm, il 6 e 7 settembre scorso), e il risk assessment è il meccanismo progressivamente utilizzato anche per decidere controversie in sede giudiziale (Psa, Public safety formula), si comprende bene come conoscere e applicare correttamente le regole di una good data governance sia per ogni azienda, piccola o grande, una condizione irrinunciabile per decisioni consapevoli e accurate.
