skip to Main Content

Focus GDPR tra diretta applicabilità e inerzia del legislatore nazionale. La riflessione di Marco Bassini

Entra pienamente in vigore il Regolamento Ue 2016/679, noto come Gdpr (General Data Protection Regulation), ovvero la disciplina sul trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, cittadini e organizzazioni. L’Italia arriva all’appuntamento senza il decreto con cui armonizzare il regolamento europeo all’ordinamento interno. Al momento il testo è in attesa del via definitivo dal Consiglio dei ministri (esercitando la delega del Parlamento). Il Governo – il nuovo – ha tempo fino ad agosto per l’adeguamento. Fino ad allora potrebbero sorgere alcuni dubbi interpretativi sull’applicazione del GDPR, che però – essendo un regolamento europeo – entra in vigore immediatamente. Con tutte le sue misure. A tracciare, tra luci ed ombre, un ampio quadro realistico del nuovo Regolamento, della sua valenza e dei nodi ancora da sciogliere, Diritto Mercato Tecnologia ha chiamato il Prof. Marco Bassini, avvocato, docente di Diritto costituzionale presso l’Università Bocconi di Milano, grande esperto della materia, tra i fondatori del portale MediaLaws.eu.

Entra pienamente in vigore il Regolamento Europeo sulla tutela dei dati personali su cui lei ha scritto molto. Si può parlare di una svolta per la privacy dei cittadini dell’Unione?

Credo sia più corretto parlare di una svolta parziale, e forse, a tratti, di un’occasione mancata, anche se è bene comunque guardare al proverbiale bicchiere mezzo pieno.

A onore del vero alcune delle novità introdotte dal Regolamento costituiscono l’eredità di una giurisprudenza della Corte di giustizia mai così proficua come negli ultimissimi anni, segno evidente della necessità di rimediare alla obsolescenza della previgente Direttiva 95/46.

Un’obsolescenza dovuta al rapidissimo incedere della tecnologia negli scorsi decenni, che ha fatto emergere tutti i limiti di una normativa che era stata pensata quando ancora il digitale non era divenuto la dimensione prevalente di ogni relazione umana, sociale o professionale.

Vi è da chiedersi, però, se il Regolamento risponda efficacemente alle nuove sfide. Soltanto alla prova dei fatti sarà possibile rispondere compiutamente a questo interrogativo.

A mio avviso, però, un certo entusiasmo che ha accompagnato l’avvento di questo nuovo atto andrebbe forse raffreddato, alla luce di qualche fattore critico.

In primo luogo, parliamo di un Regolamento che nasce già “vecchio”, perché pur entrando formalmente in vigore due anni fa, nel 2016, è divenuto a tutti gli effetti applicabile soltanto ora. Due anni, in termini di sviluppo tecnologico, hanno un peso non indifferente. È stata una scelta voluta e ponderata, finalizzata a evitare un cambiamento troppo repentino e radicale.

Peccato che le indicazioni pratiche più importanti da parte delle autorità europee e di protezione dati siano giunte in larga parte soltanto a ridosso del 25 maggio 2018 e che alcuni Stati non abbiano addirittura approntato una disciplina di coordinamento (il Regolamento non ha bisogno di attuazione).

Sconcertante, per esempio, il caso italiano, dove l’attuazione della delega per le modifiche del Codice privacy è stata, direi pilatescamente, differita di tre mesi. Pilatescamente perché la situazione di stallo politico non giustifica il ritardo con il quale si è agito. Anche la Commissione incaricata dal Ministero della giustizia di redigere la bozza di questo documento ha visto la luce troppo tardi, lavorando in tempi strettissimi.

Un secondo fattore critico è dato dalla natura del Regolamento, che nasce per dettare una normativa identica in tutti gli Stati membri ma finisce per affidare loro larghe sacche di discrezionalità applicativa, apparendo a tratti come una direttiva mascherata da regolamento.

Se l’obiettivo era elevare il livello di uniformità tra le legislazioni nazionali, riesce fortemente ridimensionato da questo scenario. E questo dato aggrava, nel caso italiano, le conseguenze dell’inerzia del legislatore.

E quali le novità principali?

All’interno del GDPR si ritrovano senz’altro novità di grande momento e di sicuro pregio nell’economia del rapporto tra enti/imprese, da un lato, e individui, dall’altro.

Va detto anzitutto che il principale cambiamento è di carattere “filosofico”, in quanto, come è stato autorevolmente sostenuto, si assiste alla transizione da una direttiva focalizzata sui diritti degli interessati a un regolamento che fa perno invece sugli obblighi dei titolari che trattano dati. Non a caso, al centro del GDPR, vi è il principio di accountability, che intende informare a trasparenza e responsabilità l’operato dei titolari.

Un principio importante che si riflette in altrettanto rilevanti implicazioni operative, su tutte la necessità che le imprese e le pubbliche amministrazioni, specie quando abbiano a che vedere con big data o dati sensibili, siano tenute a valutare l’impatto sui diritti e libertà degli individui delle operazioni di trattamento che intendono porre in essere (il cosiddetto impact assessment).

Un’altra ricaduta pratica riguarda la facoltà e in alcuni casi (per esempio per le pubbliche amministrazioni e per i soggetti che effettuano trattamenti che implicano un monitoraggio sistematico e regolare) l’obbligo di nominare una figura ad hoc, il responsabile della protezione dati, noto anche come DPO, destinato a fungere sia da punto di contatto verso l’esterno sia da referente interno all’organizzazione del titolare.

Novità importanti si registrano, però, anche sul piano dei diritti dei titolari: vengono introdotti il diritto alla portabilità dei dati, il diritto alla cancellazione (o diritto all’oblio)e il diritto di limitazione del trattamento.

Sul piano dei fondamenti di liceità del trattamento, invece, basi giuridiche un tempo meno frequenti come il legittimo interesse sembrano destinate a trovare più spazio che in passato (proprio in base al forte valore riconosciuto all’accountability dei titolari del trattamento), scalfendo almeno in parte la posizione di netto predominio del consenso. Il consenso rimane una base giuridica cruciale, ma il GDPR sembra guardare oltre.

Dal febbraio del 2012, data in cui la Commissione ha elaborato la prima proposta, lungo ed articolato è stato il dibattito intorno al Regolamento. Di fondamentale è stato, come lei accennava, anche il ruolo della Corte di Giustizia Europea con alcune sue storiche decisioni.

Esattamente. Il ruolo della Corte di giustizia è stato fondamentale nel garantire l’applicazione alle tecnologie digitali dei presidi a tutela dei dati personali.

Le decisioni sono numerose e toccano aspetti anche molto diversi tra loro. Tuttavia, il GDPR offre collocazione a due importanti conquiste della giurisprudenza, e in particolare della sentenza Google Spain.

In primo luogo, riconosce il diritto alla cancellazione, accogliendolo espressamente nel novero delle posizioni giuridiche tutelate che fanno capo agli interessati. Il GDPR, anzi, va anche oltre il contenuto di quello che la Corte di giustizia aveva di fatto codificato come un diritto alla deindicizzazione dai motori di ricerca.

Un secondo elemento è forse ancora più importante: l’applicazione del GDPR, e dunque della legislazione europea, nei confronti di soggetti che, pur non essendo stabiliti nel territorio dell’Unione, costituiscano un contatto con residenti europei, sia nella forma dell’offerta di beni e servizi loro indirizzata, sia nella forma del monitoraggio del loro comportamento.

È una svolta assolutamente dirimente, perché così la portata della disciplina europea viene estesa, nei fatti, ben oltre i soli confini europei.

Non a caso, questa scelta ha suscitato anche alcune perplessità e preoccupazioni, specie da parte delle imprese d’Oltreoceano, che negli Stati Uniti hanno il loro stabilimento principale.

Social network e motori di ricerca, per esempio, a lungo propensi a dichiararsi estranei alla disciplina europea in quanto stabiliti nel territorio nordamericano, dovranno ora fare i conti con un ospite particolarmente ingombrante e non certo gradito, soprattutto in funzione della diversa gerarchia entro cui la tutela costituzionale della privacy e dei dati si colloca in quell’ordinamento.

E nemmeno può dimenticarsi, in quest’ottica, la sentenza nel caso Schrems, che ha squarciato il velo sul problema dell’adeguatezza delle tutele previste da stati non europei per il trattamento dei dati di cittadini dell’Unione, giungendo ad annullare la decisione della Commissione su cui il trasferimento di dati verso gli Stati Uniti si fondava. Non a caso, le garanzie per il trasferimento di dati al di fuori dall’UE escono rafforzate dal GDPR.

E’ di poche ore fa  il via libera del Garante Privacy, seppur con rilievi critici, allo schema di decreto legislativo per l’adeguamento della normativa nazionale alle disposizioni del nuovo Regolamento. Ora la palla passa alle Camere per poi tornare a Palazzo Chigi. Qual è la sua valutazione complessiva della bozza presentata?

La bozza sconta due grandi limiti, che possono essere sintetizzati in una formula: sovrappone una mediazione politica a un contenuto che, in quanto originato dalla riflessione degli esperti ed esponenti del Garante radunati nella Commissione per l’adeguamento del Codice privacy, per definizione sfuggiva, come prodotto tecnico, a ogni logica politica e di compromesso.

Va detto che la Commissione ha fatto ciò che ha potuto, licenziando un documento in tempi assai contingentati e profondendo, nella fase successiva alla sua consegna, molti sforzi per illustrare le motivazioni sottostanti alle scelte compiute.

La delega al Governo è stata ora prorogata di tre mesi: ci troviamo, come si diceva, di fronte al paradosso di una legislazione che soffre di una mancanza di coordinamento con la normativa domestica.

La certezza del diritto è un costo che evidentemente l’Italia è disposta ad addebitare senza riserve alle prime sue vittime, nella fattispecie ai titolari del trattamento. Non sembra, infatti, che la carenza di norme di coordinamento possa risolversi in un minus di protezione per gli interessati. Invece, il problema riguarda i titolari.

Sia il Gruppo di lavoro Articolo 29 sia il Garante hanno licenziato (scarne) linee guida nei mesi precedenti per provare a guidare le imprese e le pubbliche amministrazioni al cambiamento che è subentrato con il GDPR. Ma la persistenza di importanti zone grigie, unita alla previsione di sanzioni amministrative di rilevante entità, non agevola di certo questi soggetti.

Ad aggravare il tutto, la scelta di una tecnica normativa discutibile. La proposta della Commissione deponeva in favore dell’abrogazione del Codice privacy, mentre la successiva discussione in sede parlamentare ha fatto prevalere un’altra opzione, ossia la modifica diretta di alcune disposizioni, ove la loro abrogazione non fosse necessaria.

Una scelta motivata dal timore, che non pare fondato, che l’abrogazione tout court del Codice potesse condurre a un eccesso di delega. Il risultato è un testo di difficile comprensione che crea forse maggiori dubbi che certezze.

Rimane però insopprimibile l’esigenza che il nuovo sistema possa entri al più presto a pieno regime, e che la normativa di coordinamento giunga ad approvazione, a dispetto della forma, in tempi rapidi. Ma, come ripeteva Indro Montanelli, nulla finisce mai in tempi certi in Italia, tranne le partite di calcio.

Back To Top