Il nuovo regolamento privacy e la sua applicazione nel settore pubblico e privato

16 Dicembre 2016

Seminario presso la sala conferenze della Fondazione Lelio e Lisli Basso

Il 24 maggio 2016 è entrato in vigore il nuovo Regolamento europeo (Reg. 2016/679), il quale si propone di disciplinare, sul piano europeo, la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione dei dati medesimi. Le nuove disposizioni pongono i cittadini al centro del sistema, riconoscendo loro nuovi diritti e offrendo loro un maggior controllo sull’utilizzo dei dati.
Le pubbliche amministrazione e le imprese dovranno adeguarsi alle nuove regole sulla protezione dei dati personali. Il seminario vuole contribuire, dunque, ad avviare una concreta riflessione sui problemi di interpretazione e di applicazione pratica delle nuove disposizioni, coinvolgendo le autorità pubbliche, i professionisti, le imprese.

Scarica le relazioni qui. 

La privacy alla vigilia di una “rivoluzione copernicana”

Qualunque discorso possa farsi sulla dignità incontra il tema della gestione dei dati, tra chi ne detiene il diritto e chi ne alloca la titolarità. Il diritto alla privacy è la materia in cui la scelta sulla distribuzione del potere è fondamentale e dove la logica proprietaria deve cedere il passo alla logica non-proprietaria.
La strada da seguire, nei suddetti termini, è stata indicata dal Prof. Rodotà nel proprio intervento al Seminario sul nuovo Regolamento privacy (Reg. n. 2016/679), dello scorso 16 dicembre, tenutosi presso la sala conferenze della Fondazione Lelio e Lisli Basso – Issoco. L’occasione è stata delle più propizie per contribuire a sviluppare una concreta riflessione intorno alle problematiche di interpretazione e di applicazione delle nuove disposizioni che coinvolgeranno autorità pubbliche, professionisti e imprese.
A parere dell’illustre ospite, il punto di partenza deve essere inevitabilmente la dialettica tra logica proprietaria e logica non-proprietaria (ergo, dei diritti della persona). Sebbene la logica proprietaria sia molto forte e risponda a interessi senz’altro meritevoli, la logica non-proprietaria deve prevalere. Mentre in passato si pensava che la dignità fosse un concetto inafferrabile, oggi il sistema si è evoluto, coerentemente con il diritto internazionale europeo che mette al centro di tutto la persona (v. Carta dei Diritti Fondamentali dell’Unione Europea).
A seguito del Professore, è intervenuto, direttamente da Bruxelles, il Garante europeo della protezione dei dati Giovanni Buttarelli il quale, dopo aver sentenziato che “stiamo diventando tutti delle stringhe“, ha tracciato quelli che sono i compiti che spetteranno ai diversi soggetti coinvolti dall’entrata in vigore del Regolamento, prevista per il 25 maggio 2018. I Titolari del trattamento saranno chiamati ad effettuare una valutazione sull’impatto dei rischi nell’ottica di una maggiore responsabilizzazione (c.d. accountability, cfr. in tal senso art. 24 del Regolamento); le singole Autorità di controllo (DPA), di concerto con l’European Data Protection Board (EDPB), dovranno aumentare il livello di cooperazione sul piano internazionale, in quanto fondamentale per la effettiva realizzazione di quella che è stata definita una “rivoluzione copernicana“. I Parlamenti nazionali (specialmente quello italiano) dovranno correggere il tiro della disciplina attualmente vigente in vista dell’entrata in vigore del Regolamento. Infine – ha concluso Buttarelli – un monito deve rivolgersi certamente agli interessati, affinché non si facciano trovare “distratti” rispetto alle nuove regole in tema di privacy.
La sfida alla quale si assiste si gioca sul campo dell’applicazione del Regolamento: secondo Vanna Palumbo, Dirigente del Garante privacy, infatti, sarà necessaria una “reingegnerizzazione dei processi“, nell’ambito di un sistema di c.d. “we win“, per cui o vinciamo tutti o non vince nessuno, che vedrà come protagonista assoluto la nuova figura del Data Protection Officer (DPO) e che dovrà tendere a un aggiornamento tecnologico, a un rafforzamento dei principi e – ha ribadito la Dirigente – alla “reingegnerizzazione” delle prerogative in capo alle singole Autorità nazionali.
Ha parlato di “destino ineluttabile” Francesco Modafferi, Dirigente del Dipartimento libertà pubbliche e sanità del Garante, riferendosi alla vita sempre più connessa che coinvolge tutti: nel suo intervento ha sottolineato come in virtù della nuova disciplina si assisterà ad un tendenziale riequilibrio tra pubblico e privato, in quanto le società private, attraverso il meccanismo della esternalizzazione, entreranno in possesso dei c.d. “big data“. In un tale contesto, bisognerà andare oltre le regole e le formule giuridiche conosciute (come, ad esempio, il mero bollino rosso) e rendere, invece, realmente consapevole l’interessato di cosa si fa con i suoi dati, raggiungendo in tal modo il vero scopo dell’informativa.
Nei vari interventi è emerso, inoltre, un elemento da non sottovalutare: nell’ottica dell’internazionalizzazione della protezione dei dati personali il Regolamento già prevede dei margini di flessibilità, permettendo alle diverse legislazioni nazionali di allinearsi, considerato che le nuove disposizioni in esso contenute non sono perfettamente sovrapponibili con la normativa attualmente vigente in tema di privacy nei diversi ordinamenti degli Stati membri (in tal senso cfr. considerando nn. 8,9,10,11 del Regolamento).
Al Seminario ha partecipato, poi, la Guardia di Finanza, in persona del Colonnello Menegazzo, Comandante del Nucleo Privacy, che si occupa dell’attività ispettiva e di controllo del trattamento dei dati. Alla luce della nuova normativa, cresce il livello di responsabilizzazione richiesto alle aziende nel trattamento dei dati personali: cambiando le modalità di manipolazione dei dati, cambia anche il modo di fare ispezione. Il trattamento dei dati tenderà sempre più verso la “profilazione” e pertanto anche le sanzioni dovranno essere proporzionate e dissuasive, implicando una maggiore ingerenza ispettiva nell’attività di trattamento dei dati personali da parte dell’azienda, per la sicurezza di tutti (cfr. considerando nn. 6-7 del Regolamento).
Degno di nota, infine, l’intervento di Emilio De Capitani, Presidente del FREE (Fundamental Rights European Group), il quale ha sottolineato il ruolo d’innovazione e d’intervento preminente assunto negli ultimi anni dalla CGUE di Lussemburgo e dalla CEDU di Strasburgo. In particolare, ha citato alcune sentenze (v. sentenze CGUE Google Spain C-131/12; Digital Rights Ireland C-293/2012; caso Schrems c. Facebook C-362/14) che, in buona sostanza, rappresentano la chiave di volta del nuovo sistema: si accorda agli articoli 7 ed 8 della Carta dei diritti fondamentali dell’Unione Europea, rispettivamente riguardanti il rispetto della vita privata e familiare e la protezione dei dati di natura personale, preminenza rispetto ad altri diritti. Sul tema la giurisprudenza europea sembra essere rimasta sostanzialmente concorde, rinvenendo in entrambi gli articoli la fonte primaria da cui attingere per aggiornare ed estendere l’adeguatezza delle tutele del singolo e dei suoi diritti fondamentali. In tal senso deve essere letto, da ultimo, il c.d. “Umbrella Agreement“, che mette in atto un quadro globale di protezione dei dati tra UE e Stati Uniti. L’accordo migliora, in particolare, i diritti dei cittadini dell’UE di vedersi garantita la parità di trattamento con i cittadini degli Stati Uniti nei casi di ricorso giurisdizionale dinanzi ai tribunali degli Stati Uniti.
In conclusione, come ci insegna il Prof. Rodotà, non deve mai perdersi di vista che tutti noi abbiamo interessi che tendono a mettere da parte i diritti fondamentali e che sottostanno a logiche proprietarie. La sfida che ci si propone con il nuovo Regolamento privacy risiede precisamente nel non cedere a tali interessi e favorire, invece, interessi connessi a logiche non-proprietarie che mettano al centro del problema la persona.
Riuscire in questo intento, significherebbe compiere una vera e propria “rivoluzione copernicana“.

• Stefano Rodotà

• Giovanni Buttarelli – Garante europeo della protezione dei dati
  La tutela dei dati personali: Dalla direttiva 95 /46 al nuovo Regolamento

• Vanna Palumbo – Dirigente del Servizio relazioni istituzionali dell’Autorità Garante per la Protezione dei dati
  Le sfide dell’applicazione del nuovo Regolamento privacy

• Marco Menegazzo – Guardia di finanza
  L’attività ispettiva e di controllo del trattamento dei dati personali alla luce del nuovo Regolamento privacy

• Angelo Marcello Cardani – Presidente Autorità per le Garanzie nelle Telecomunicazioni
  Le implicazioni del nuovo Regolamento privacy nel settore delle Telecomunicazioni

• Francesco Modafferi – Dirigente Dipartimento libertà pubbliche e sanità dell’Autorità Garante per la Protezione dei dati
  Il ruolo della pubblica amministrazione nella protezione dei dati personali

• Fabio Di Resta – Presidente del Centro Europeo per la Privacy
  Compiti e responsabitlità del “data protection officer” nella tutela dei dati personali nella pubblica amministrazione e nelle imprese

• Emilio De Capitani – Presidente del FREE (Fundamental Rights European Group)
  Protezione dei dati nelle sentenze della Corte di Giustizia Europea