26 Ott Nuovo stallo sul Regolamento privacy UE. Provvidenziale.
– di Diego Fulco – Direttore dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati –
Se la notizia sarà confermata, per dissidi fra Germania e Regno Unito sulle intercettazioni USA, l’approvazione del Regolamento UE sulla protezione dei dati personali (attesa prima delle elezioni europee) slitta al 2015. Questo significa che le nuove norme, nel migliore dei casi, diventeranno esecutive nel 2017. Apparentemente, una iattura. In realtà, se questo Regolamento privacy fosse davvero bloccato e radicalmente ripensato nei suoi assi portanti, sarebbe un bene per tutti; anche per le imprese italiane. Avevamo guardato con favore la creazione di un quadro normativo uguale per tutti. Ancora: pur con perplessità sul metodo e con scetticismo sul risultato, avevamo considerato normale che col Regolamento l’UE tentasse di costringere i Big americani (APPLE, FACEBOOK, GOOGLE, ecc.) a rispettare quegli stessi parametri stringenti (ad es. in tema di consenso) che valgono per le imprese europee.
Nonostante la serietà di queste istanze, la bozza mostrava due limiti: a) non incideva proprio sull’ambito di protezione dei dati personali che tutti siamo abituati a considerare la privacy per eccellenza (quello delle comunicazioni elettroniche, che sarebbero rimaste soggette alla direttiva 2002/58/CE, attuata in modo diverso da Stato a Stato); b) delegava rilevanti poteri attuativi alla Commissione (aprendo così una fase di normazione secondaria su moltissimi aspetti che sarebbe stata, come già quella di varo del Regolamento, teatro di negoziato estenuante fra le centinaia di lobby che seguono la tematica privacy).
Per di più, la bozza appariva l’assemblaggio non sempre riuscito di principi a tutela di singoli aspetti della protezione dei dati personali maturati nell’esperienza applicativa dei singoli Paesi e di oneri comportamentali/organizzativi molto gravosi per tutti tranne (ad essere maliziosi) per le imprese tedesche, che avrebbero avuto il vantaggio di veder diventare obbligatorio per i concorrenti di altri Paesi ciò che per loro se non vincolante era almeno previsto e radicato nelle loro prassi (Privacy Officer). Con gli ulteriori vantaggi economici (per le multinazionali europee attive nel B/C, per lo più franco-tedesche) del non dovere più sostenere nelle singole filiali costi di adeguamento derivanti dalle differenze applicative fra i vari Stati e di potere interloquire, in base al cd. meccanismo di coerenza introdotto dal Regolamento, con un unico Garante. In estrema sintesi: la bozza disegnava uno scenario di costi legati alla compliance più rilevanti per le imprese nazionali, e di opportunità per le multinazionali del B/C, quasi tutte del Nord Europa, di valorizzare investimenti di compliance già fatti e di costringere la concorrenza anche italiana a rincorrerle su questo terreno, in un momento di crisi economica, con lo spauracchio di pesanti sanzioni. Con un serio lavoro di analisi, la nostra CONFINDUSTRIA aveva segnalato i molti punti critici della bozza, in particolare quelli (documentazione scritta delle scelte a carico del Titolare, valutazione di impatto) dove il Regolamento trasformava in obbligo ciò che già esiste nelle migliori prassi, ma che oggi è una libera scelta, adottata dalle imprese se e quando lo ritengono opportuno dopo valutazioni costo/beneficio. La versione modificativa approvata dalla Commissione LIBE del Parlamento UE lo scorso 21 ottobre e circolata nei giorni scorsi modificava in modo radicale la bozza del gennaio 2012.
Dall’angolo visuale dell’estetica della compliance, il testo LIBE è indubbiamente migliorativo: irrobustisce i presidi organizzativi che le imprese sono tenute a adottare per trasformare la protezione dei dati personali in un ciclo continuo. Guardato con l’occhio della realtà tragica che abbiamo davanti e che non accenna a cambiare – di un’Europa a due velocità, dove le imprese dei Paesi latini soffrono in modo pesantissimo la crisi del debito e la contrazione della domanda interna – sembra quasi un esercizio sadico. Vediamo perché. Viene introdotto per varie categorie di trattamenti un onere aggiuntivo di analisi dei rischi preliminare alla valutazione di impatto. Dopo massimo due anni dalla valutazione di impatto, verifica di conformità, da mettere a disposizione, dietro eventuale richiesta, del Garante. Obbligo a carico del Titolare di rivedere almeno ogni due anni le politiche a protezione dei dati personali e di dare conto delle stesse in relazioni sulla gestione. Data Protection Officer obbligatorio per ogni impresa che tratta dati riferiti a più di 5000 interessati per più di 12 mesi consecutivi o che tratta dati sensibili (questo significa che tutte le medie imprese italiane e buona parte delle piccole che fanno B/C dovrebbero sostenere un costo stimato in circa 80.000 euro all’anno di Data Protection Officer esterno o dedicare una risorsa interna in modo pressoché esclusivo a questa funzione, andando incontro – in caso di omissione – a sanzioni).
Certo, in questo quadro di grande impegno economico-organizzativo imposto a un’amplissima platea di imprese, la bozza riformata dalla Commissione LIBE presenta anche qualche semplificazione. Ad esempio, l’introduzione del principio per cui le PMI possono ricevere supporto dai Garanti nazionali nell’interpretazione delle norme. Oppure la previsione dettagliatissima di nuovi standard di informativa privacy con simboli grafici. O ancora (e questa sembra una concessione alle lobby d’oltreoceano), la sostituzione del consenso con il parametro (già esistente nella normativa britannica e comune alle esperienze anglosassoni) del bilanciamento fra interesse legittimo del Titolare e ragionevole aspettativa privacy dell’interessato. Infine (concessione a colossi americani?) forti esoneri per i dati pseudonimizzati. Tuttavia, di là dai contro e dai pro del testo normativo licenziato dalla Commissione LIBE, a fare gridare vendetta al cielo è il procedimento approvativo. In Europa, i Regolamenti sono scritti da funzionari (naturalmente molto qualificati) e dalle lobby (tantissime, agguerrite e anch’esse tecnicamente preparate). Per quanto quello che sta succedendo per la privacy somigli come una goccia d’acqua a ciò che accade su questioni di bilancio, bancarie, monetarie, ecc., è intollerabile che una tematica che tocca i diritti dei cittadini e i doveri delle organizzazioni (con impatti indiretti sui meccanismi della concorrenza) sia decisa nel chiuso delle stanze del potere di Bruxelles, senza il minimo dibattito nella società e nell’opinione pubblica dei singoli Paesi, come una sorta di immenso disciplinare tecnico che – finiti i negoziati fra i portatori di interesse – sarà calato come una mannaia sugli operatori economici, creando ulteriori dinamiche di impossibilità di essere a norma, di distorsione oggettiva della concorrenza, di impresicidio.
Crediamo nella privacy e professionalmente traiamo soddisfazioni e vantaggio dal suo consolidamento normativo, ma non vogliamo arricchirci nelle macerie. Se lo sviluppo della privacy deve somigliare a quello dell’euro o dei meccanismi del rigore e della stabilità, meglio frenare.