Finalmente le Commissioni speciali delle Camere hanno potuto aprire la discussione sul decreto legislativo di adeguamento al nuovo Regolamento Ue in materia di privacy. Il governo lo ha infatti trasmesso, grazie alla nostra pervicace insistenza, solo al fotofinish rispetto ai due anni di tempo concessi dal legislatore europeo ai Paesi membri, in colpevole ritardo (ricordiamo che entra in vigore tra due giorni) vista la delicatezza dell’argomento che inerisce tematiche fondamentali per tutti i cittadini e in particolare per i minori, le piccole e medie imprese e i professionisti che si trovano ad affrontare incombenze significative e ancor più potenziali sanzioni che in taluni casi potrebbero risultare per loro quasi letali.
Riteniamo che il testo in esame presenti molti vulnera che vogliamo sanare in sede di parere, sfruttando i margini di discrezionalità che il Regolamento europeo ci concede, perché se il testo fosse approvato nella sua versione attuale, il legislatore italiano perderebbe imperdonabilmente l’occasione per declinare il Gdpr secondo le esigenze specifiche del nostro Paese. Come Forza Italia abbiamo anche tenuto un’apposita tavola rotonda per recepire i punti di vista e le istanze di tutti i protagonisti del settore, sia per quanto concerne le Pmi che la tutela dei minori, ritenendo fondamentale questo confronto, che è stato perorato anche in Commissione speciale con la richiesta di audizioni prima della redazione del parere definitivo.
In particolare, i punti nodali “di merito” su cui stiamo lavorando anche con la nostra presidente Mariastella Gelmini e il collega Enrico Costa e sui quali riteniamo fondamentale portare la discussione, ricercando la più ampia convergenza delle altre forze politiche, riguardano in primis la necessità di alleggerire il peso delle incombenze che andrebbero a gravare sulle piccole e medie imprese ma anche sui professionisti e associazioni.
Precisando a esempio la clausola di esonero dalla tenuta del registro dei trattamenti contenuta nell’articolo 30, comma 5, del Regolamento europeo, prevedendo che l’obbligo non si applica alle aziende, enti e realtà con meno di 250 dipendenti che trattano i dati personali solo in forza di obblighi di legge o del contratto di lavoro. Sulla stessa linea, razionalizzando e semplificando (sull’esempio di quanto già fatto dal Garante belga) gli oneri connessi alla valutazione d’impatto del trattamento dei dati e alle autorizzazioni generali al trattamento dei dati genetici, biometrici e relativi alla salute.
Sul piano delle sanzioni, bisognerebbe stabilire, riprendendo peraltro quanto previsto anche dal Garante francese, un “periodo transitorio” sull’adempimento dei nuovi obblighi, in cui il Garante dovrebbe tener conto al momento di irrogare sanzioni della oggettiva difficoltà della nuova normativa, della gran mole di adempimenti richiesti, delle complicazioni organizzative che essi determinano, così da esonerare dal trattamento sanzionatorio le imprese che, in una situazione di buona fede, abbiano fatto tutto il possibile per scongiurare la violazione. Inoltre è necessario fissare il minimo edittale, attualmente non previsto dal Regolamento Ue, per legge e non rimettendolo alla libertà assoluta del Garante: si violerebbe altrimenti il principio di legalità in materia di sanzioni.
Infine, ma non meno fondamentale soprattutto per me che me ne occupo da un decennio, la questione più sensibile che inerisce i minori, i più indifesi e di fatto esposti in questa società digitale. Il legislatore europeo concede nell’articolo 8, a ogni singolo Paese la possibilità di fissare un’età compresa tra i 13 e i 16 anni per il consenso digitale. Nel mantenere tale soglia a 16 anni, il governo si è limitato ad un acritico copia-incolla della normativa europea, forse per non assumersi responsabilità di una decisione che potrebbe risultare, erroneamente, impopolare.
A mio parere la soglia di età dovrebbe infatti essere portata a 14 anni, come peraltro previsto dalla prima bozza di decreto legislativo circolante e poi modificata. Oltre alla più banale considerazione su come sia illusorio pensare che gli infra sedicenni non navighino o si fermino di fronte a ostacoli “formalistici”, la soglia dei 16 anni al contrario di quanto può sembrare, deresponsabilizza i provider e i soggetti che trattano i dati, esonerandoli da una più attenta strutturazione (a misura di minore) dei contenuti proposti. La modifica della soglia è inoltre necessaria per riallineare la normativa sulla privacy con quella della legge sul cyberbullismo varata lo scorso anno, che legittima il minore ultraquattordicenne a richiedere in nome e per conto proprio, al gestore del sito internet sul quale siano pubblicati propri dati personali pregiudizievoli o in seconda battuta al garante la rimozione dei contenuti lesivi. Alla stessa età, peraltro, sia pur in altre branche dell’ordinamento si ricollega il termine della presunzione assoluta di inimputabilità penale del minore.
Soprattutto, il minore ultraquattordicenne ha diritto di prestare il proprio consenso all’adozione. Se si considera che il quattordicenne possa prestare il proprio consenso per essere adottato, risulta decisamente incoerente pensare che non lo possa dare per iscriversi a un social network. Senza contare che i minori rischiano di essere molto più profilati, anche solo ad esempio per poter verificare il consenso genitoriale che devono prestare in alternativa, ottenendo di fatto il risultato opposto alla ratio del regolamento che va in direzione di una maggior tutela dei loro dati personali.
