“Siamo alla terza era della Privacy. Dopo quella del 1996 con la legge 675 e quella del Codice Privacy del 2003, con il Gdpr si è aperta una stagione diversa. Ci troviamo di fronte a uno scenario digitale profondamente mutato, più complesso e più vasto. La privacy come era percepita solo fino a pochi anni fa è cambiata. Grazie ad Internet e al digitale ora si coglie la complessità della materia e la pervasività della disciplina e per questo si necessitano adeguamenti e ammodernamenti in linea con le nuove istanze. Ciò comporta maggiore complessità, anche e soprattutto per il lavoro del Garante”. All’indomani della pubblicazione in Gazzetta del decreto 101/2018 l’avvocato Rocco Panetta, esperto di privacy e di Internet, Country Leader per l’Italia di IAPP International Association of Privacy Professionals, entra nel merito di alcune novità e prova a delineare la roadmap che ci attende. E soprattutto prova a mettere ordine nel panorama dei giudizi e dei commenti rimbalzati in Rete.
Avvocato Panetta, che ne pensa del decreto 101?
Ho letto giudizi tranchant. Alcuni fin troppo. Sono del parere che qualunque norma può essere sempre migliorata. Ma fare il gioco dei primi della classe serve a poco. È una norma che fa semplicemente il suo lavoro, quello di essere una norma. Richiede tempo, deve essere studiata con calma da chi ha i mezzi per farlo, occorre assimilarla, confrontarla con il Gdpr e sopratutto comparata al Codice Privacy che il decreto 101 va a modificare, abrogandolo in parte. Questo compito è anzitutto demandato all’Autorità, ai tribunali, e agli esperti. Si sono lette troppe imprecisioni e con troppa fretta si è giunti a conclusioni le più diverse. È una norma di dettaglio, altamente tecnica e che sfrutta tutta la tradizione che gli uffici legislativi di Camera, Senato, Ministero della Giustizia, Autorità Garante e Governo hanno saputo mettere in campo. Essa, tuttavia, non incide sui grandi istituti introdotti dal Gdpr. Non c’è nessuna sospensione delle sanzioni, come invece si è andato raccontando. Essa incide invece profondamente sul vecchio Codice Privacy che in gran parte viene abrogato, mentre in un’altra parte viene riportato a nuovo ed attualizzato alla luce del Gdpr. Ma ripeto in quanto norma di dettaglio è intrinsecamente complessa e gli effetti li potremo giudicare solo nel tempo.
La Commissione Ue dovrà vagliare il testo. L’Italia peraltro arriva ultima con questa approvazione. È possibile anche che non arrivi il disco verde?
Intanto è bene chiarire la questione delle tempistiche. E tenderei anche a sdrammatizzare questa storia dell’essere gli ultimi della classe. Il regolamento Gdpr, approvato nel 2016, non richiede un atto normativo nazionale di recepimento, e come noto la sua piena vigenza la ha acquisita in data 25 maggio 2018 – ricordiamo tutti le ansie e le corse per l’adeguamento di aziende e pa alle nuove norme che ha caratterizzato i primi sei mesi di questo anno! Tuttavia, va ricordato, che il regolamento Gdpr è frutto di enormi compromessi a livello comunitario. Esso resterà nella storia legislativa europea come la norma che ha subito le maggiori e più diverse pressioni lobbistiche di sempre. Come risultato si è avuto un regolamento direttamente applicabile a tutti le nazioni europee, ma il legislatore europeo ha voluto dare agli Stati membri facoltà di interventi in settori circoscritti, considerata la complessità e la trasversalità della materia. Il regolamento si applica a qualsiasi settore economico e sociale, in maniera orizzontale, di qui sono state individuate 11 aree del GDPR in cui ogni Stato avrebbe potuto meglio specificare regole, limiti, estensione di poteri, obbligo e diritti. Fino a metà 2017 l’Italia non ha ritenuto necessario usare lo strumento legislativo nazionale per agire su queste 11 aree. Ma mentre tutti gli altri Stati si sono mossi, con un paradossale effetto a catena, subito dopo la rottura degli argini da parte della Germania, che per prima ha adottato una corposa norma nazionale di armonizzazione. L’Italia ha quindi deciso di “correre ai ripari” ed ecco la legge delega di novembre che culmina del decreto delegato 101 di cui stiamo parlando oggi e che entrerà in pieno vigore il 19 settembre prossimo: ma anche se in questo senso è arrivata fra gli ultimi, sia chiaro, tecnicamente il legislatore italiano poteva anche non scrivere questa norma. Se la Sua domanda è se c’è un rischio che il legislatore nazionale sia andato fuori delega, la risposta oggi non può essere netta. Fra programmaticità della norma e sua traduzione concreta in legge un rischio di un certo “spread” può esserci. La Commissione europea potrebbe intervenire solo se con il decreto 101 si fosse andati oltre lo spirito e la lettera del Gdpr. Non credo ciò avverrà, o meglio, mi auguro che ciò non avvenga.
Il Garante, tra le altre cose, avrà anche il compito di ammodernare i codici deontologici. Un lavoro non da poco. Crede che ci siano le risorse necessarie per mandare avanti il lavoro senza lungaggini?
Parliamoci chiaro. L’Autorità Garante per la protezione dei dati personali, a fronte della sua storica autorevolezza e del grande lavoro svolto a livello nazionale ed internazionale, è stata sovente considerata un “figlio di un Dio minore”, rispetto e alle altre autorità di controllo e garanzia nazionali. Questo a causa della superficiale considerazione che mentre le altre autorità presidiano mercati precisi, con un sostanziale valore consumeristico, il Garante privacy si occupa di privacy, quindi di poco o nulla. Per anni, inascoltati, abbiamo condotto battaglie volte a far svegliare mercati e legislatori, sulla centralità assoluta del mercato dei dati e sul ruolo del suo regolatore, e adesso grazie al Gdpr, forse qualcosa sta cambiando. Ma le differenze tra il Garante privacy e le altre autorità si toccano con mano anche sul fronte delle assunzioni, dell’indipendenza economica e anche delle retribuzioni. L’Autorità ha già moltissimi compiti e da ultimo ha anche assunto il ruolo di Garante contro il cyber bullismo. Essa inoltre ha tanti compiti nuovi, anche a livello europeo, di coordinamento e partecipazione attiva nell’European Data Protection Board. Per fare un esempio di come si corre in Europa, a differenza nostra, su queste questioni, si pensi che l’autorità irlandese a seguito del Gdpr ha assunto circa 400 persone. Il decreto 101 in tal senso aiuta, prevede una (piccola) iniezione di personale, di qualche decina di unità. Qui la sfida è decisiva e per i compiti e le sfide che attendono l’Authority, ci vorrebbe molto di più. Si pensi solo a settori strategici come quello dei codici di condotta o della sanità.
Cioè? Quali sono le novità in tema di trattamento dei dati sanitari?
Importantissimo il capitolo sanità: nel decreto 101 si è deciso di dare continuità allo strumento delle vecchie autorizzazioni generali al trattamento dei dati sensibili. Chi voleva usare informazioni sensibili, – ossia riguardanti ad esempio la salute o l’orientamento sessuale di una persona – prima avrebbe dovuto ottenere il consenso scritto dell’interessato e l’autorizzazione del Garante. Il Garante per semplificare la vita a tutti decise di preautorizzare una serie di trattamenti omogenei e ripetitivi con le autorizzazioni generali rinnovate di anno in anno. Il Gdpr non ha previsto l’autorizzazione dell’Autorità di controllo, ma ha dato facoltà agli Stati membri di poter adottare misure ulteriori di garanzia. Ed ecco che con il 101 viene mantenuta, all’art. 21, l’autorizzazione del Garante: i dati non potranno essere usati in assenza di misure di garanzia determinate dalla stessa Autorità. Il presidio del Garante è dunque fondamentale. In Italia non è mai stato autorizzato – se non in singoli casi limite – l’uso dei dati sanitari o relativi all’orientamento sessuale per finalità di marketing ad esempio. Si pensi a quale bombardamento avremmo avuto e su temi cosi delicati, considerato ad esempio il telemarketing selvaggio, fenomeno ancora difficile da arginare nel nostro Paese, se non ci fosse stato questo alto presidio nel Paese.
