Il punto sull’attuazione del GDPR nell’intervista all’avv. Luca Bolognini

Un bilancio agrodolce , così l’avv. Luca Bolognini, autore della casa editrice Giuffrè Francis Lefebvre per la quale ha recentemente curato la direzione del Codice della disciplina privacy”, descrive la situazione normativa italiana ad un anno dall’entrata in vigore del decreto legislativo n. 101/2018 di attuazione del Regolamento UE 2016/679, c.d. GDPR.

Che bilancio si può fare a un anno dall’entrata in vigore del decreto legislativo di adeguamento al GDPR? Come hanno reagito le imprese? E la pubblica amministrazione? La situazione sanzionatoria? Un bilancio agrodolce mancano ancora importanti pezzi di attuazione della normativa a livello italiano, e questo genera incertezza e disorientamento negli operatori pubblici e privati. Per il trattamento di dati giudiziari, siamo in attesa di un decreto del Ministro della Giustizia che dovrebbe togliere dall’impasse molti enti, che oggi devono gestire dati relativi a condanne penali o reati. Il Garante sta lavorando a provvedimenti generali e regole deontologiche di primaria importanza, penso al provvedimento relativo ai trattamenti di dati genetici, biometrici e relativi alla salute e alle regole deontologiche in materia di privacy e lavoro. In più, se le grandi imprese si sono mosse per tempo e hanno preso sul serio gli adempimenti GDPR, lo stesso non sembrerebbe potersi dire delle medio-piccole realtà, sia imprenditoriali sia istituzionali. Sta incidendo anche il fatto che l’Autorità Garante si trova in mesi di straordinaria prorogatio , in attesa dell’elezione del nuovo Collegio, con margini di manovra limitati questo, forse, sta facendo percepire la privacy e la protezione dei dati personali come una disciplina senza conseguenze effettive” anche in caso di non compliance niente di più sbagliato, come percezione, ma si sa che le regole non accompagnate da sanzioni esemplari rischiano di essere prese troppo alla leggera. Il problema è che, poi, le sanzioni arriveranno, e sarà un brutto risveglio per molti che credevano di cavarsela con qualche documento ciclostilato o designando DPO incompetenti o in palese conflitto d’interessi. Quali criticità sono emerse dall'applicazione pratica? Suggerimenti o indicazioni per migliorare la gestione e il trattamento dei dati personali? Le principali criticità risiedono nella vaghezza dei principi, nella difficoltà di capire concretamente come applicarli. Ma credo che, in fondo, anche le luci migliori possano essere rintracciate nei principi generali introdotti dal GDPR. Tutto si gioca intorno ai principi, in primis quelli di responsabilizzazione accountability e di protezione dei dati sin dalla progettazione data protection by design . In teoria, gli adempimenti privacy si potrebbero in buona parte affrontare anche solo applicando gli artt. 5 e 25 del GDPR, che sono delle checklist e dei metodi formidabili, cioè adeguando i trattamenti e la governance interna di aziende ed enti a quei criteri. Responsabilizzazione significa analisi del rischio, giustificazione delle misure adeguate di sicurezza e protezione dei dati e delle persone, documentazione di quanto fatto e capacità di dimostrarlo. By design significa pensarci prima, alla protezione dati e alla privacy, al momento della fissazione dei requisiti di progettazione. Poi ci sono criticità legate a dinamiche ed equilibri di potere interno ed esterno”, per aziende ed enti regolare il trattamento di dati personali, oggi, significa spesso mettere in discussione domini, aree di competenza interna, modelli di business. Questo comporta inevitabili resistenze. E' aumentato il livello di consapevolezza della protezione dei dati nei cittadini? A mio avviso, sì. La stampa e gli altri media hanno giocato un ruolo prezioso. Si è democratizzata” molto la consapevolezza dei rischi e anche dei rimedi. Oggi molta gente conosce l’esistenza dei propri diritti, dei pericoli insiti nel loro trattamento e nel fatto che esiste un’Autorità che può difendere da abusi. Possiamo sentirci tutti un po' più protetti o la riforma è rimasta sulla carta? Siamo un po’ più sicuri, ma la strada è ancora lunga e in salita tra qualche anno, vedremo i frutti di questa evoluzione. E la privacy e la protezione dei dati si riveleranno in tutta la loro potenza, come diritti della democrazia digitale, dell’Internet delle Cose e dell’Intelligenza Artificiale, e come baluardi a protezione degli effetti personali, anche fisici, guidati da elaborazioni immateriali di informazioni. Insomma, stiamo parlando di frontiere pionieristiche dei diritti e delle libertà fondamentali e inviolabili. A che punto è l'Europa rispetto agli altri paesi? Ci sono best practice a cui ispirarsi? L’Europa è avanti, ma rischia di rimanere indietro abbiamo introdotto principi e regole a massima protezione degli individui, ora la sfida è applicarle con proporzionalità e ragionevolezza. Una dose eccessiva di farmaco può uccidere il paziente, e un approccio integralista alla privacy può inibire mortalmente l’innovazione, la ricerca e lo sviluppo. Il ruolo del Data protection officer DPO come viene vissuto dai soggetti tenuti all'adempimento? E' una figura che è riuscita ad accreditarsi e ad essere considerato un mezzo per non avere rogne o viene mal sopportato solo come l'ennesimo obbligo burocratico? Purtroppo, molti DPO sono designati internamente in aperto contrasto con i requisiti di competenze e di assenza di conflitto d’interessi, che sono previsti dal GDPR. Assistiamo a nomine, quali DPO, di capi degli uffici risorse umane, legali, IT, cioè di persone con ruoli certamente incompatibili come chiarito ormai da tempo anche nelle Linee guida sul DPO rilasciate dal Gruppo di lavoro dei Garanti UE, oggi fatte proprie dal Comitato Europeo per la Protezione dei Dati. Per non parlare di contratti di servizio per DPO a ore” con tetti massimi di tempo, cioè modelli che violano frontalmente il requisito di indipendenza e autonomia del Responsabile della Protezione dei Dati, che si dovrebbe trovare vincolato a non svolgere più i propri compiti una volta raggiunto il limite di ore o giorni-uomo pattuito. Infine, se guardiamo ai budget irrisori dedicati da alcuni enti e imprese alla funzione del DPO, absit iniuria verbis una spesa sproporzionatamente ridotta per questi adempimenti dovrebbe essere considerata come un’auto-evidenza di non compliance. Vista la notizia di questi giorni sulla decisione della Corte UE, qual è la sua opinione in merito proprio alla luce di alcune delle osservazioni già emerse dalle sue risposte sulla tutela di diritti e delle libertà fondamentali che evidentemente trovano uno scoglio ancora insormontabile nella territorialità del diritto? Ad una prima lettura, la decisione risulta abbastanza contraddittoria e interpretabile. Da un lato, nel comunicato stampa ufficiale si dice che la normativa europea non impone in generale a Google di deindicizzare contenuti anche nelle versioni del motore di ricerca collocate fuori dalla UE. Dall’altro, nelle conclusioni del comunicato, si fa riferimento alla possibilità per le autorità UE di emanare provvedimenti mirati che ottengano comunque questo obiettivo. È come se la Corte dicesse che, in un secondo tempo, Google dovrà rispettare il diritto all’oblio anche fuori dall’Europa, in casi particolari e motivati anche se non c’è un obbligo di legge, la singola autorità potrà imporre che ciò accada con provvedimenti speciali. Se questo fosse il senso della sentenza, allora non mi parrebbe granché favorevole al motore di ricerca. E francamente mi chiedo come potrebbe, un’autorità europea, imporre davvero i propri poteri fuori dalla propria giurisdizione, in territori stranieri, con culture giuridiche e storie molto lontane dalle nostre.