Protezione dei dati personali tra GDPR UE e nuovo Codice Privacy, il convegno a Milano

Aula Magna Università di Milano Bicocca sold out: giuristi ed economisti a confronto per tentare un primo bilancio applicativo in materia di privacy e protezione dei dati personali. Il 25 maggio 2018, come noto, è diventata pienamente applicativa a la rilevante riforma della privacy dettata dal Regolamento UE 679/2016 meglio noto come General Data Protection Regulation (GDPR).

Tante le novità introdotte: Valutazione Impatto Privacy, Data Protection Officer, diritto all’oblio, diritto alla portabilità dei dati, protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, responsabilità, nonché un robusto apparato sanzionatorio solo per fare alcuni cenni senza pretese di esaustività.

Il 19 settembre 2018 è, inoltre, entrato in vigore il tanto atteso Decreto Privacy – D.Lgs. 101/2018 – che ha novellato il “vecchio” D.Lgs. 196/2003 ora, a buon diritto, “nuovo” Codice della Privacy. L’importante Convegno promosso e aperto dalla relazione introduttiva del Prof. Avv. Emilio Tosi Direttore Esecutivo DNT® Diritto nuove tecnologie DNT® – Studia giuridici per l’innovazione ® – Professore di Diritto Privato nell’Università di Milano Bicocca, Managing Partner Tosi & Partners Hight Tech Legal® – ha registrato il tutto esaurito, segno tangibile del successo dell’iniziativa non solo tra gli addetti ai lavori – giuristi e Data Protection Officer – ma anche tra professionisti, imprenditori e studenti.

Tra le Autorità presenti in prima fila – oltre al Presidente SORO, Garante per la protezione dei dati personali che ha tenuto una relazione magistrale sul complesso caleidoscopio normativo italo-comunitario delineato dal GDPR e dal nuovo Codice Privacy – il Generale BERTETTI Comandante dell’Accademia GdF, il Prof. LANZI Componente laico del CSM, la Dott.ssa LUZZI Direttore Generale dell’Università di Milano Bicocca delegata dal Rettore, la dott.ssa TRAGNI delegata del Presidente del Tribunale di Milano e la dott.ssa Petrella delegata del Presidente della Corte d’Appello oltre a Mrs. COLE Console per gli Affari Commerciali degli Stati Uniti – Consolato di Milano.

L’apprezzato Convegno ha ottenuto – oltre al patrocinio dell’Università di Milano Bicocca e del DiSEADE – anche il patrocinio istituzionale del Garante per la protezione dei dati personali, dell’Accademia della Guardia di Finanza di Bergamo, AmCham e Privacy Italia. L’iniziativa di studi aderisce, inoltre, all’European Cyber Security Month (ECSM) che si svolge, ogni anno, nel mese di ottobre – con il supporto italiano del CLUSIT – per sensibilizzare istituzioni e cittadini sui temi della Cyber Security e della privacy digitale.

La vivace Tavola Rotonda interdisciplinare – tra giuristi ed economisti – sul nuovo GDPR e sul nuovo Codice Privacy – è stata moderata da Raffaele BARBERIO Presidente di Privacy Italia e ha coinvolto, oltre al promotore Prof. Avv. Emilio Tosi Direttore DNT®, i seguenti autorevolissimi partecipanti: • Giovanni Stella – Università di Pavia Privacy e principi generali • Angelo Di Gregorio – Università di Milano Bicocca Pier Filippo Giuggioli – Università di Milano Privacy e pratiche commerciali aggressive • Alberto Nobolo – Università di Milano Bicocca Valore dei dati e know-how • Elisa Liberale – Legal Director Microsoft Privacy e cybersecurity, Marco Menegazzo – Gruppo Privacy GDF Sanzioni e contrasto.

Il Prof. Avv. Emilio Tosi Direttore DNT® promotore dell’iniziativa scientifica ha aperto i lavori ricordando tre aspetti fondamentali: – la vocazione transnazionale del GDPR alla luce dell’art.3 che prevede un principio di applicazione territoriale esteso a tutti i soggetti, anche non stabiliti nella UE, che trattano dati di interessati UE; – il ruolo di raccordo e continuità tra passato e futuro della privacy, tra ordinamento interno e comunitario del nuovo Codice della Privacy, novellato dal D.Lgs. 101/18 entrato in vigore il 19 settembre scorso, enfatizzando in particolate il nuovo penetrante principio di accountability che segna il passaggio dalla responsabilità ex post alla responsabilizzazione ex ante, diligente attività di compliance privacy che deve essere non solo adeguata ma anche provata; – la natura di nuovo modello normativo, nuovo legal benchmark globale del GDPR: per una volta nella storia delle nuove tecnologie e della sua regolamentazione normativa è la vecchia Europa a tracciare la strada nei rapporti transatlantici con gli Stati Uniti.

Su quest’ultimo fondamentale profilo il Prof. Avv. Emilio Tosi dichiara: “Dal 25 maggio 2018 – data di piena applicazione del General Data Protection Regulation della UE – il mondo sta lentamente cambiando: in meglio, parrebbe, ad avviso di chi scrive, almeno per quanto riguarda la tutela della riservatezza e della protezione dei dati personali.

Il GDPR sta diventando, infatti – è diventato potremmo forse già dire – un legal benchmark globale: dopo Giappone, Canada, Brasile e Singapore, tra i primi ad essersi allineati al nuovo standard normativo globale sulla falsariga di quanto stabilito dal nuovo quadro regolatorio comunitario, anche negli Stati Uniti si va consolidando il consenso politico per la definizione di nuove regole – non solo a livello statale ma soprattutto federale – protettive per gli utilizzatori di servizi e prodotti digitali che utilizzano dati personali.

Il processo di armonizzazione globale è stato indubbiamente accelerato – ancor prima della piena applicazione del GDPR – lo scorso 10 aprile in occasione dell’audizione al Congresso degli Stati Uniti a Capitol Hill, Washington che ha interessato Mr. Zuckenberg – il CEO di Facebook: audizione in merito allo scandalo globale di Cambridge Analytica che ha evidenziato la carenza di regole idonee a tutelare i cittadini dall’abuso dei loro dati da parte di soggetti non autorizzati dagli interessati.

Per una volta nel contesto della regolamentazione digitale è la vecchia Europa a indicare la strada, in questo caso con riferimento alla data protection, agli Stati Uniti , in particolare alla californiana Silicon Valley sede dei grandi player globali, gli Over The Top digitali: Google, Apple, Facebook, Amazon per citare i principali.

Anche negli Stati Uniti si va consolidando il consenso politico per nuove regole protettive per gli utenti digitali e i tempi sono maturi per una legge federale sulla privacy sul modello del GDPR UE”.

Legge federale evocata e caldeggiata anche da Tim Cook in occasione della 40ma Conferenza Internazionale delle Autorità di Data Protection e Privacy – che riunisce le Autorità di 115 Stati – quest’anno a Bruxelles coordinata dal Garante EU Buttarelli; il CEO di Apple – novello paladino della privacy ed inatteso estimatore del GDPR – dichiara: “At Apple, we believe privacy is a fundamental human right” Certo il percoso per una piena tutela della privacy a livello globale è appena iniziato e la strada irta di ostacoli: da ultimo, solo per citare alcuni fatti significativi, il furto dei token di Facebook, il bug di Google plus e l’annuncio della sua chiusura, infine, le denunce “Contro questi abusi” – osserva giustamente il Garante italiano Soro, sempre attento anche al contesto internazionale e non solo comunitatio, in una recente intervista rilasciata a AGl 13 ottobre 2018 – “il nuovo Regolamento europeo rappresenta oggi un formidabile strumento per costringere gli Over The Top a gestire con maggiore trasparenza i dati personali dei loro utenti, a proteggerli con misure adeguate e a limitare in un perimetro chiaro gli usi che di questi dati essi possono fare.

Prova ne sia il fatto che – proprio in base alle disposizioni del Regolamento – nel recente gravissimo caso di data breach che ha coinvolto 50 milioni di utenti, Facebook si sia affrettata a darne – come doveroso- immediata comunicazione al pubblico e alle autorità di protezione dati.”

Non a caso il Garante Soro ha intitolato la Sua Relazione annuale del 10 luglio 2018 Proteggere i dati per governare la complessità rilevando, fra l’altro, che: “non possono essere i protocolli informatici o le condizioni generali di contratto, unilateralmente stabilite dai big tech, il codice normativo del digitale, su cui fondare diritti e doveri, nel contesto in cui più di ogni altro si dispiega la nostra esistenza. (…) Fake news, hate speech, cyberbullismo, eterna memoria della rete, ma anche minacce cibernetiche, algoritmi predittivi, uso massivo dei big data, persuasione occulta e social engineering funzionale ad attacchi informatici.

Questi ultimi in Italia, nel solo mese di maggio, hanno toccato la soglia di 140 al giorno. Dal 25 maggio sono aumentate di oltre il 500% le comunicazioni di data breach al Garante, che hanno interessato, assieme a quelli notificati a partire da marzo, oltre 330.000 persone”.

Il Prof. Avv. Emilio Tosi non ha mancato, infine, di evidenziare l’importanza dell’art.154-bis comma 4 nuovo Codice Privacy: “Tale norma è fondamentale perché attribuisce al Garante l’innovativo potere di venire incontro alle esigenze di semplificazione delle micro, piccole e medie imprese – che costituiscono il tessuto portante dell’economia del nostro Paese – come definite dalla raccomandazione 2003/361/CE, evidentemente nel rispetto delle disposizioni del Regolamento e del nuovo Codice Privacy, promuovendo l’adozione di linee guida con modalità semplificate di adempimento degli obblighi del titolare del trattamento.

L’impianto complessivo del GDPR tradisce una struttura complessa, ispirata alle articolate organizzaizioni delle grandi imprese, nazionali e multinazionali, in cui si può agevolmente osservare il principio di segregation of duties fra le varie figure soggettive della filiera privacy (Titolare, Responsabile, DPO) e si possono investire ingenti budget e risorse umane all’adempimento dei nuovi precetti sia sotto il profilo organizzativo che della sicurezza dei dati.

Occorre, invece, si ribadisce, fermi restando i principi fondamentali introdotti dal GDPR, semplificare significativamente gli adempimenti richiesti dal nuovo quadro normativo in relazione a micro, piccole imprese e studi professionali, distinguendo con nettezza tra chi tratta dati esclusivamente per svolgere la propria attività professionale o d’impresa nell’ambito di rapporti contrattuali di fornitura di servizi e beni, rispetto a chi svolge un attività d’impresa che coincide con lo sfruttamento commerciale dei dati raccolti”.

Social Network, Cloud Computing, Internet of Things, Smartphone e Big Data sono solo alcune delle principali “temibili” variabili socio-economiche e tecnologiche che occorre disciplinare in modo equilibrato, bilanciando contrapposti interessi. Nell’economia digitale basata sul data mining – in cui il “nuovo petrolio” è costituito dallo sfruttamento massivo dei dati – è ancora possibile un’effettiva ed efficace tutela di tale fondamentale diritto della persona.

La tutela della privacy e la protezione dei dati personali nella società dell’informazione e della data economy non sono, dunque, un ossimoro dei tempi moderni ma costituiscono una vera e propria sfida regolatoria che grazie al modello globale offerto dal GDPR è ora possibile vincere.