Luca Bolognini: “Superare una concezione fondamentalista della privacy”. L’analisi della Bozza di riordino tra luci ed ombre

Avv. Bolognini, come presidente dell’Istituto Italiano Privacy, ha avanzato delle critiche allo schema di decreto che adegua la legge italiana sulla privacy al GDPR che entra pienamente in vigore il prossimo 25 maggio. Quali sono i punti di maggiore contrarietà e perplessità?

Sono diversi, alcuni macroscopici. Va fatta una premessa, tuttavia: le critiche allarmate che abbiamo mosso, come Istituto Italiano per la Privacy insieme alle principali altre organizzazioni che si occupano della materia in Italia, si sono basate sull’unica bozza fatta circolare e pubblicata on line.

Una bozza che ignoriamo se sia quella ufficiale discussa e approvata in Consiglio dei Ministri in via preliminare.

Peraltro, non ci è chiaro se quello schema di decreto legislativo fosse stato già analizzato anche dagli altri Ministeri e Dipartimenti competenti, diversi da quello della Giustizia, prima di essere portata in CdM, visto che non risultava all’ordine del giorno.

Detto questo, dalla lettura della bozza – comparata con la legge delega (n.163/2017) – emergono subito alcune evidenze che non possono lasciare indifferenti: il Governo sembrerebbe voler abrogare l’intero Codice Privacy, il decreto legislativo 196/2003, invece di apportare, come richiesto dal Parlamento, unicamente le specifiche abrogazioni chirurgiche e relative alle sole disposizioni incompatibili con il GDPR. Un eccesso di delega palese.

Inoltre, lo schema parrebbe modificare una lunga serie di norme della cosiddetta “ePrivacy”, la privacy delle comunicazioni elettroniche derivante dal recepimento di un’altra direttiva del 2002, che non c’entra con la delega di riordino GDPR in questione.

Ho letto le dichiarazioni di alcuni componenti della Commissione di esperti che hanno aiutato ad elaborare la bozza, i quali sottolineano come non si sia intervenuto in materia di ePrivacy: allora il testo fatto circolare on line deve essere un “fake” perché, invece, lì si modificano eccome le norme ePrivacy (basti confrontare l’art. 88 della bozza con il vecchio art. 130 del Codice Privacy, in materia di marketing anche digitale).

Sarebbe un altro, impressionante eccesso di delega, che peraltro porrebbe interrogativi sul perché e sul come certe norme non pertinenti siano state inserite.

Siamo anche rimasti delusi dalla depenalizzazione generale delle violazioni privacy (mentre il mondo intero sta andando in direzione ostinata e contraria, vista la rilevanza dei dati nell’era digitale) e da alcune altre “pillole avvelenate” contenute nella bozza di decreto, come il mantenimento sostanziale della limitazione, tutta tristemente italiana, al riuso di dati per fini di ricerca scientifica.

Ho poi notato con preoccupazione che si cerca di eliminare il consenso come base di legittimità per il trattamento di dati in ambito sanitario, con un’estensione potenziale davvero indefinita.

Ci sono alcune “luci”, per carità, come il fatto che il testo sembra spazzare via alcune brutte norme, anch’esse incompatibili con il GDPR, che erano state introdotte in questi mesi nel Codice Privacy e che limitavano, per esempio, il legittimo interesse come base di legittimità dei trattamenti di dati o ripetevano in maniera maldestra previsioni del GDPR.

Apprezzo anche l’introduzione delle figure interne ai titolari o responsabili con deleghe funzionali per l’attuazione dei modelli di compliance privacy, che leggo nell’art. 14 della bozza.

Anche l’abbassamento a 14 anni dell’età per dare valore al consenso dei minori per servizi della società dell’informazione mi pare una buona cosa, che prende atto della realtà. 

In particolare, sulla depenalizzazione e sull’abolizione del consenso privacy in ambito sanitario può darci qualche indicazione più di dettaglio contenuto nella delega?

La delega chiede al Governo di prevedere “sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.  Nella bozza di decreto, invece, si legge una completa depenalizzazione, fatto salvo il caso di false dichiarazioni od ostacoli alle attività del Garante.

Si invoca il principio del ne bis in idem, evoluto in giurisprudenza con “vasi comunicanti” tra sanzioni amministrative (che, in effetti, a norma dell’art. 83 GDPR saranno potenzialmente elevatissime) e sanzioni penali.

Ma si dimentica che la sanzione penale colpisce le persone fisiche che commettono o concorrono a commettere un reato, mentre la sanzione amministrativa pecuniaria colpirà i titolari e responsabili del trattamento che molto spesso saranno le imprese e gli enti, i soggetti giuridici attivi.

Ci sono centri di imputazione giuridica delle responsabilità del tutto diversi. E, in ogni caso, è ragionevole che si sia puniti, in prospettiva, in Italia, più duramente per un furto di caramelle che per una violazione dei dati? Di privacy, di violazioni dei dati, di cyberbullismo si muore nel 2018, forse questo deve fare riflettere.

Quanto al sanitario, le dico che sarei favorevole a una semplificazione e a prevedere la diversa base di legittimità dell’esecuzione della prestazione sanitaria, considerata come attività di rilevante interesse pubblico dalla nostra futura legislazione nazionale, al posto del consenso.

Ma la bozza che ho letto è scritta male: riconosce il “rilevante interesse pubblico” al trattamento di dati delicatissimi semplicemente e solo in quanto trattati da organismi sanitari o esercenti la professione sanitaria, senza perimetrare e specificare la finalità di esecuzione della prestazione sanitaria.

Una sorta di “licenza di fare tutto” solo perché si è operatori sanitari: da correggere con urgenza. Inoltre, andrebbe chiarito il rapporto tra questa semplificazione e le norme in materia di consenso per il dossier e il fascicolo sanitario elettronico.

Sono i giorni dello scandalo planetario di Cambridge Analytica, cosa succede ai nostri dati e cosa cambia con il nuovo Regolamento Europeo?

I nostri dati valgono sempre di più. Il GDPR può aiutare a responsabilizzare ancora di più le imprese e gli enti, in UE e fuori dalla UE, perché introduce e diffonde una cultura del rispetto dell’essere umano e delle informazioni che gli appartengono e aggiunge anche un ingrediente punitivo – le sanzioni stellari – elementi che sono indubbiamente utili a indurre maggiore cautela in chi vuol fare “man bassa” dei dati altrui.

Lo scandalo Cambridge Analytica, però, mi sembra un casus belli molto ben strumentalizzato: l’elefante è nella stanza, come dicono i cugini anglosassoni, e tutti fingono di non vederlo.

Vorrei sapere quali sono le aziende e i partiti, anche in Europa, che non usano i dati tratti dai social network per le loro analisi, profilazioni e azioni di micro-targeting. Sono curioso.

Credo che, invece di negare l’evidenza, si dovrebbe superare la concezione fondamentalista della privacy e della tutela dei dati personali come qualcosa di indisponibile al mercato.

Guardiamo in faccia la realtà, rendiamo i dati personali commerciabili e monetizzabili dagli unici soggetti che fino ad oggi non ci hanno guadagnato: i legittimi interessati a cui quei dati si riferiscono.

Servono meccanismi in grado di consentire la remunerazione degli utenti: vuoi catturare i miei dati e farne un uso commerciale? Pagami.

Il GDPR, poi, tra tante luci ha qualche difetto: è ancora troppo basato sulle informative e sui consensi preliminari, mentre servirebbe un approccio nuovo, da “etichette delle merendine”.

Vedo una pubblicità on line e un link in alto a destra mi dice: “Scopri perché stai vedendo questa pubblicità”. Ci clicco sopra e scopro gli ingredienti, quali dati su di me hanno analizzato per trasformarmi in target di quel contenuto. Molto più efficace delle informative che non legge nessuno, a monte. 

L’Istituto Italiano per la Privacy ha pubblicato uno studio nel quale si analizzano gli aspetti critici proprio della Proposta di Regolamento ePrivacy, formulata dalla Commissione Europea il 10 gennaio 2017, che andrà a sostituire la Direttiva 2002/58/CE (ePrivacy) e che si applicherà anche ai cosiddetti “Over The Top”. 

Abbiamo pubblicato questo studio per segnalare alcune incongruenze che presenta l’attuale proposta della Commissione UE.

L’attuale formulazione non identifica e non risolve efficacemente le complessità derivanti dalla natura dei servizi cosiddetti Over The Top, che finiscono per essere soggetti a regole non coerenti con le disposizioni e gli obiettivi del GDPR e assimilati a servizi di comunicazione elettronica la cui definizione è ormai obsoleta alla luce delle innovazioni introdotte dai servizi basati su Internet.

Peraltro, la proposta sembra sovrapporsi al quadro giuridico introdotto dal GDPR, dando vita ad alcune differenze ingiustificate che generano “strati multipli” nella regolamentazione della tutela dei dati personali.

Ad esempio, mentre l’art. 6 del GDPR fornisce varie basi di legittimità per il trattamento oltre al consenso dell’interessato, art. 6 della ePR autorizza la maggior parte dei trattamenti dei dati delle comunicazioni elettroniche solo qualora vi sia il consenso dell’utente finale, che deve peraltro essere richiesto con cadenza semestrale ai sensi dell’art. 9 (3) del ePR.

La seconda parte dello studio si propone di evidenziare la centralità dei servizi di comunicazione elettronica nell’economia e nella società digitale e nel più ampio processo di innovazione digitale in relazione ai dati ad essi associati (contenuti e metadati).

La fornitura di servizi digitali è sempre più caratterizzata dal trattamento di dati di cui la comunicazione (elettronica) è solo un esempio. Ciò potrebbe sollevare, tra le altre questioni, la domanda sul possibile “interesse legittimo” del responsabile del trattamento come legittima base di trattamento. Sembra opportuno, a parere degli autori, tenere conto delle esigenze di sopravvivenza dei fornitori di servizi digitali senza innescare rischi per gli utenti interessati.

In realtà, in un’economia in cui i servizi digitali sono basati sulla disponibilità di dati, comprese le informazioni personali, la stipula di un meccanismo di consenso preventivo per l’elaborazione di tali dati (opt-in) sembra essere sempre meno rilevante e suscettibile di introdurre un elemento di alterazione del normale funzionamento del mercato, che richiede invece una nuova visione del bilanciamento degli interessi che possa tenere conto delle esigenze di stabilità finanziaria per i fornitori di servizi digitali, elevandoli al grado di “interesse legittimo”.

Così, sebbene l’obiettivo della proposta di tutelare la riservatezza delle comunicazioni elettroniche resti auspicabile e necessario, appare problematico il fatto che la base giuridica per il trattamento dei dati delle comunicazioni elettroniche sia basata solo (salvo rare eccezioni di cui all’articolo 6 della ePR) sul consenso dell’utente a cui viene fornito il servizio.

In questo senso, qualora l’estensione del regolamento ePrivacy agli OTT venisse mantenuta, sarebbe consigliabile considerare un ampliamento delle basi giuridiche per il trattamento dei dati delle comunicazioni elettroniche da parte di questi e altri fornitori, come già previsto dall’art. 6 (1) e (4) del GDPR. Ad esempio, la richiesta di servizio da parte di un utente dovrebbe portare a considerare il suo consenso al trattamento dei dati come implicito, se questo costituisce una componente inseparabile di tale servizio.

Da questo punto di vista, le dinamiche dell’economia digitale (mercati multi-parte e retribuzione dei fornitori, funzionalità di elaborazione per le attività principali delle società) portano a una riflessione sul bilanciamento dei mercati e sulla protezione dei dati.

In caso contrario, il rischio sarebbe quello di una riduzione dei servizi Internet o dell’introduzione di soluzioni a pagamento per gli utenti.