Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.
Il telemarketing selvaggio non si ferma. Questo, innanzi tutto, perché condotte illecite ed elusive come “phone number spoofing” e “call me back” continuano senza sosta e sono squarci nella rete di protezione. La legge n. 5/2018, poi, divenuta operativa dalla fine di luglio 2022, è piena di disposizioni ambigue, con molte incognite privacy su aspetti importantissimi, potenzialmente strumentalizzabile da operatori aggressivi. Inoltre, manca ancora una autoregolamentazione da parte degli operatori del settore:
Il Gdpr mette le imprese con le spalle al muro: il fornitore non può difendersi dicendo di essersi limitato a eseguire le istruzioni del committente; il committente non può salvarsi dicendo di essersi affidato a un fornitore esperto.
Rischio valanga di telefonate commerciali sui cellulari. È l'effetto beffa che potrebbe derivare da una lettura delle norme sul nuovo registro delle opposizioni al telemarketing (RPO), che farà il suo debutto entro il 31 luglio 2022. La novità più esaltata delle disposizioni della legge 5/2018 potrebbe, dunque, trasformarsi in un boomerang per gli utenti, se non si disinnesca una interpretazione suggestiva, che sfrutta alcune incertezze nella formulazione delle norme.
La privacy non blocca la lotta alla criminalità. Certo stoppa le schedature di massa, ma la repressione dei reati ammette la conservazione mirata, in base a categorie di persone o per aree geografiche, dei tabulati telefonici e telematici. Lo ha confermato la Corte di Giustizia Ue, che, con la sentenza del 5 aprile 2022, resa nella causa C-140/20, ha ammesso anche la conservazione a tappeto degli indirizzi IP e dei dati identificativi degli utenti che acquistano Sim prepagate e, infine, la conservazione rapida (quick freeze) dei dati relativi al traffico e all'ubicazione.
Un solo codice di condotta privacy, 655 sanzioni e misure correttive, 352 pareri (in maggioranza ad autorità pubbliche): sono alcuni dei numeri che descrivono uno spaccato di quasi quattro anni di operatività del Gdpr (regolamento Ue sulla protezione dei dati n. 2016/679). Un bilancio è quasi d'obbligo in occasione della ricorrenza dei 25 anni di insediamento del Garante per la protezione dei dati, che ha aperto i battenti il 17 marzo 1997. Da allora molte cose sono cambiate:
Campanello di allarme per imprese e P.a.: devono scegliere un bravo Dpo (responsabile della protezione dei dati) e devono metterlo in condizione di lavorare. Altrimenti rischiano di pagare salate sanzioni amministrative per violazione della privacy. Come è successo a una serie di imprese ed enti lussemburghesi, puniti dal garante nazionale della privacy (Cnpd) con una lenzuolata di deliberazioni. Le sanzioni irrogate sono comprese nella fascia da 10 mila a 20 mila euro e seguono alla violazione degli articoli 37, 38 e 39 del regolamento Ue sulla protezione dei dati n. 2016/679, noto come Gdpr.
Nella cassetta degli attrezzi del Dpo trova posto un complesso armamentario documentale, una sorta di kit che copre ogni suo compito. Appena insediato distribuirà una scheda di rilevazione dati per capire lo stato dell'arte della privacy in quella impresa/ente e distribuirà una circolare iniziale con le sue linee di azione.
I Dpo invocano la legittima autodifesa. Sì, proprio così, i Dpo hanno bisogno di autodifendersi per riscoprire il loro posto nel grande quadro della privacy. Autodifendersi significa riscoprire le proprie identità, fare pace con se stessi e non cadere nella depressione da multipolarità congenita. La legittima autodifesa non è solo un diritto dei Dpo, ma anche un loro cogente dovere, così da compiere l’intero tracciato del circolo virtuoso: solo, con la legittima autodifesa, i Dpo potranno fare del bene a loro stessi e, contestualmente, ai titolari del trattamento. Al contrario, senza la reazione della legittima autodifesa i Dpo faranno del male a loro stessi e ai titolari del trattamento.
Cancellato il filtro del Garante della privacy sui trattamenti più rischiosi svolti dalle pubbliche amministrazioni. Eliminato, anche, il passaggio dal Garante per le p.a. che intendono comunicarsi dati per scopi istituzionali. È quanto prevede il decreto legge, approvato dal consiglio dei ministri il 7 ottobre scorso (cosiddetto «decreto capienze»), che rivoluziona la disciplina privacy per p.a., società controllate pubbliche e organismi di diritto pubblico. La manovra è completata con l'aggiunta del principio per cui le pubbliche amministrazioni e gli altri enti dell'orbita pubblica di per sé, senza bisogno di una legge o regolamento che descriva esattamente i trattamenti, possono trattare i dati necessari per i compiti di interesse pubblico e per l'esercizio di pubblici poteri.
Sdoganato il pagamento con dati di servizi digitali. Il dato personale è ammesso come valuta che si può usare per acquistare programmi, applicazioni, contenuti digitali. È quanto si desume dalla direttiva europea 2019/770, per la cui attuazione il governo, in data 29 luglio 2021, ha approvato, in via preliminare, uno schema di decreto legislativo, ora all'esame del parlamento. La direttiva e il decreto legislativo italiano di recepimento, che entrerà in vigore dal 1° gennaio 2022, hanno l'obiettivo di stendere la rete di protezione per il consumatore di contenuti e programmi digitali, ma, nel contempo, descrivono schemi contrattuali, in cui si inserisce il dato personale come strumento di pagamento.
