08 Ott La newsletter settimanale del Presidente IIP
Cari Soci, Amici e Membri del Gruppo Linkedin dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati,
da oggi, ogni settimana, vi scriverò per condividere riflessioni e aggiornamenti, nella mia veste di presidente dell’IIP e di avvocato dei dati. Spero che questo appuntamento periodico possa rivelarsi di un qualche interesse, viste le tematiche che ci accomunano e che vedono l’Istituto da parecchi anni in prima linea negli studi e nelle proposte, non solo a livello nazionale. E vi invito a rispondermi, a segnalarmi fatti e opinioni, a criticare le mie osservazioni.
Intanto un update sulle ultime attività di IIP. Siamo concentratissimi sullo sviluppo del progetto europeo, finanziato nel programma Horizon 2020, denominato “Privacy Flag”. Abbiamo un team internazionale di ricercatori straordinario, sia dal punto di vista tecnologico sia da quello giuridico, e vogliamo trovare la “chiave” per abilitare analisi collettive di affidabilità privacy di app e siti web. Il progetto in questione, infatti, intende proprio fare leva sul crowdsourcing di valutazioni e opinioni e segnalazioni degli utenti, per assegnare un voto di affidabilità privacy ai vari operatori del digitale. Naturalmente, faremo leva sull’intelligenza collettiva anche per veicolare alert e organizzare tool di autodifesa privacy, usabili da chiunque mentre naviga. Infine, metteremo a disposizione delle imprese alcuni strumenti – sviluppati e potenziati con l’aiuto della “crowd” – per verificare il proprio grado di compliance privacy e per impegnarsi a migliorare, specialmente se extra-UE. Abbiamo grandi Partner in Privacy Flag, università, compagnie telefoniche e altri fornitori di servizi ICT, e sono certo che otterremo risultati importanti: ma ora, si tratta di lavorare a testa bassa. Vi terrò aggiornati.
—————————
In queste settimane, sto tenendo diversi seminari sul tema del Jobs Act e dei nuovi controlli a distanza sul lavoro (art. 4 dello Statuto dei Lavoratori appena modificato). Devo dire che la materia si sta rivelando tutt’altro che semplice e pacifica, con buona pace di chi sperava in un “liberi tutti” (a favore dei datori di lavoro). Invece, quei 3 commi del nuovo art. 4 imporranno da oggi di rivedere le policy aziendali, di aggiungere nuove informative, di selezionare i tipi di strumenti e soprattutto… di impostare gli ingranaggi e i meccanismi privacy in maniera adeguata per non rischiare l’inutilizzabilità dei dati raccolti. La riforma è stata un terremoto, che ha abbattuto un pezzo di montagna giuslavoristica ma, contemporaneamente, anche innalzato la vetta privacy (tutta da scalare, per non cadere in fallo scivolando, per esempio, sul mancato rispetto dei principi fondamentali di cui all’art. 11 del Codice in materia di protezione dei dati personali – che, vedrete, saranno l’arma sempre più usata dalle autorità per sanzionare illegittimità dei controlli e dei relativi trattamenti di dati).
—————————–
Come non toccare il tema di massima attualità, cioè la sentenza della Corte di Giustizia UE che ha invalidato il programma privacy USA-UE “Safe Harbor” e abilitato le Autorità dei singoli Stati UE a fissare limiti nazionali alla circolazione dei dati personali, a prescindere dalle regole comuni e centrali dell’Unione Europea? Se devo dirla tutta, il programma Safe Harbor era già “agonizzante” da un po’ di tempo. Io, come legale che segue quotidianamente le “gesta” di cloud provider e imprese digitali, negli ultimi anni ho sempre raccomandato di usare le Standard Model Clause stabilite dalla Commissione Europea, per vincolare i data processor extra-UE (anche quelli certificati Safe Harbor!) al rispetto delle stringenti regole privacy nostrane: quindi ho sempre pensato che servisse agganciare i cugini americani a contratti robusti, e non affidarsi a mere certificazioni. Peraltro, malgrado la stampa dica il contrario, vale la pena di ricordare che finora mai la Commissione UE ha individuato negli USA un Paese genericamente adeguato e sicuro per il trattamento dei dati (essendosi solo espressa, in questi anni, su ambiti specifici). Gli USA non sono la Svizzera, insomma. Quindi, direi quasi, nihil sub sole novi.
Però c’è un dubbio che corre sotterraneo: quando la Corte stigmatizza i controlli massivi da parte delle autorità americane, quindi vedendo le numerose pagliuzze (o travi, diciamo pure che siano travi guardandole con lenti liberali, perché i diritti fondamentali degli individui vanno protetti certamente dalle eccessive invasioni del potere pubblico – ma bilanciando gli interessi e garantendo sicurezza) negli occhi di oltreoceano, essa sembra dare per scontato che gli Stati UE non facciano con le loro autorità competenti altrettanti controlli telematici a tappeto, intercettazioni preventive, analisi più o meno Big dei dati delle navigazioni, intrusioni negli smartphone, ecc. Mi sembra paradossale. Tanto più che gli USA hanno una Costituzione democratica, che sta dimostrando di funzionare abbastanza bene proprio nel caso NSA e nelle cautele che sono state adottate dopo lo scoppio del noto scandalo.
E poi un’altra cosa mi inquieta, in questa ennesima sentenza della Corte UE: così come avvenuto nel caso Google Spain, anche in questo frangente la Corte prende posizioni (per carità, astrattamente perfette sul piano del sillogismo giuridico “in vitro”) più nazionaliste ancora dei singoli Stati. E’ paradossale: stiamo cercando di avere una voce unica, con regole uniche anche in materia di protezione dei dati personali, a livello di Unione Europea, e invece il trend giurisprudenziale sembra andare in senso inverso. 28 regole potenzialmente diverse, un groviglio giuridico sia per chi opera dalla UE sia per chi va verso la UE, e proprio in un campo – come quello dei dati e del digitale – che invece richiederebbe regole comuni a livello globale (altro che singoli Stati). Ma, purtroppo, è lo stesso film tanto caro a certi Paesi europei, quelli stessi che forse si sentono così super da avere imposto la trasformazione, de facto, in mera Direttiva (quindi con 28 possibili sfumature diverse, Paese europeo che andrai…) del Regolamento sulla protezione dei dati UE, con l’aggiunta del famigerato “considerando 35-bis” nella bozza in discussione nel Trilogo in queste settimane, e che riporto di seguito:
“(35 bis) Il presente regolamento prevede norme generali in materia di protezione dei dati e dispone che, in casi specifici, gli Stati membri sono altresì autorizzati a emanare norme nazionali in materia di protezione dei dati. Il regolamento pertanto non esclude la legislazione degli Stati membri che definisce le condizioni di specifiche situazioni di trattamento, anche quando sono determinate con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito. La legislazione nazionale può altresì prevedere condizioni di trattamento particolari per specifici settori e per il trattamento di categorie particolari di dati.”
Siamo alla fine del 2015, dovremmo pensare globale, assecondare l’evoluzione digitale, pensare agli impatti e sanzionare le violazioni vere, concrete e attuali – non le irregolarità formali e astratte! – e smetterla con complessi di “superiorità legalese” che, in fondo in fondo, sarebbero tutti da dimostrare. Di perfezionismi giuridici possono morire l’innovazione e il libero scambio globale.
—————————
Vi segnalo, infine, alcuni appuntamenti in cui interverrò nei prossimi giorni:
ITU Telecom World 2015, il 12 ottobre a Budapest, dove si parlerà di “Trusting Big Data” http://www.itu.int/net4/Telecom/webs/TelecomWorld/session/description/C-00000791
DIGEAT, il 14 ottobre a Roma, evento annuale immancabile sui temi della digitalizzazione del Paese http://www.digeat.it/
Privacy Day Forum, il 21 ottobre a Roma, che ormai è l’appuntamento chiave per tutti i “privacyisti” d’Italia, dove parlerò di privacy e mercato (quindi di cortocircuito tra protezione dati e tutela dei consumatori), in plenaria, oltre che di privacy per gli istituti religiosi, in un panel parallelo. Lì, avremo anche una sessione dedicata al progetto Privacy Flag http://www.privacyday.it/
Per questa settimana è tutto.
Un saluto da Madrid, dove mi trovo ora con alcuni Colleghi spagnoli esperti di privacy, per immaginare interazioni trans-europee tra le nostre diverse realtà.
Hasta luego!
Luca Bolognini
lucabolognini@vecchioistitutoprivacy.dwb.it
Per ricevere la Newsletter ogni settimana, iscrivetevi al Gruppo Linkedin dell’Istituto Italiano per la Privacy https://www.linkedin.com/groups/Istituto-Italiano-Privacy-96507/about