NEWS

La comunicazione della Commissione ex art.97 e quelle importanti questioni sul Gdpr da riesaminare

L'art. 97 è una delle disposizioni meno citate del Regolamento UE 2016/679 e tuttavia ha una sua rilevanza nella misura in cui formalizza un principio importante (ribadito dall'art. 98 per gli altri atti legislativi dell'Unione in materia di protezione dei dati), anche se scontato: il Regolamento non è le Tavole della Legge di Mosè e nel corso del tempo potrebbe essere inciso da modifiche.

Avvocato Paolo Marini

 (Nella foto: Paolo Marini, Avvocato in Firenze, consulente di imprese e autore in materia di protezione dati)

La disamina della Commissione, in base al par. 2 della disposizione, concerne in particolare l'applicazione e il funzionamento delle norme del capo V (trasferimento dei dati extra-UE) e del capo VII (cooperazione e coerenza). Tuttavia è evidente che la valutazione debba essere intesa/rivolta all'intera cornice normativa, come dimostrano l'inciso contenuto nel paragrafo 2 (“.., in particolare, ..”) e, indirettamente, il paragrafo 5 (“... la Commissione presenta opportune proposte di modifica del presente regolamento tenuto conto, (...), degli sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione”).

La tempistica assegnata dalla norma tradisce la mentalità del rigido pianificatore. Se la prima relazione era stata prevista entro il 25 maggio 2020, le successive avranno una cadenza quadriennale. Rapportata al complicato meccanismo legislativo comunitario ed in quanto funzionale anche ad eventuali modifiche del Regolamento, la tempistica della valutazione e del riesame potrà sembrare adeguata, quasi incalzante, ma si può affermare altrettanto se si considera la velocità con cui il mondo si evolve e cambia?

La comunicazione del Giugno 2020 - Con documento del 24 giugno 2020, la Commissione ha formalizzato la propria comunicazione al Parlamento europeo e al Consiglio, con il titolo “La protezione dei dati come pilastro dell'autonomia dei cittadini e dell'approccio dell'UE alla transizione digitale: due anni di applicazione del regolamento generale sulla protezione dei dati”.

La relazione mette in evidenza le difficoltà sinora incontrate e prospetta possibili soluzioni ma non si lancia in conclusioni definitive: è come se la disciplina del Regolamento fosse (e restasse) un enorme cantiere aperto, ciò essendo d'altronde confermato da tutto ciò che si è prodotto e continua a prodursi al di sotto del suo livello. Il riferimento è non solo agli interventi legislativi degli Stati negli spazi consentiti, ma anche alla effusione di linee guida (Comitato) e di provvedimenti (autorità di controllo).

Per la Commissione la bilancia (o il bilancio, pur provvisorio) pende in ogni caso dalla parte giusta: “secondo l'opinione generale, due anni dopo l'inizio della sua applicazione il regolamento generale sulla protezione dei dati ha conseguito con successo i propri obiettivi di rafforzare la protezione del diritto delle persone fisiche alla protezione dei dati personali e di garantire la libera circolazione dei dati personali all'interno dell'UE”.

Ad un certo punto la riflessione si volge alle PMI, alle loro difficoltà di adeguamento, alle iniziative di ausilio assunte da alcune autorità di controllo (pagg. 10-11), con una esortazione a prendere in considerazione ulteriori iniziative per agevolare l'applicazione del Regolamento. E tuttavia, se è vero che “secondo l'approccio basato sul rischio, non sarebbe opportuno prevedere deroghe in base alle dimensioni degli operatori, poiché le loro dimensioni non costituiscono di per sé un'indicazione dei rischi che il trattamento dei dati personali che essi intraprendono possa comportare per le persone fisiche”, non si può neppure dare per assodato il fatto che la difficoltà nella applicazione del Regolamento non aumenti al crescere della dimensione e della complessità delle organizzazioni.

Quello che si vuole affermare, in soldoni, è che la semplificazione – anzi, la semplicità (a parte la diversità semantica, il termine 'semplificazione' suscita regolarmente preoccupazione più che sollievo, perché l'esperienza ci consegna interventi concretamente non risolutivi e comunque inidonei al conseguimento dell'obiettivo che affermavano di perseguire)! – è o sarebbe sacrosanta. Per tutti.

Le novità in materia di trasferimento dei dati - Particolare interesse rivestono le considerazioni della Commissione sulle disposizioni e soprattutto sugli strumenti per l'attuazione delle disposizioni del Capo V. Considerazioni che tradiscono un presentimento (v. pag. 13) che poi si rivelerà fondato, alla luce della sentenza del 16 luglio 2020 con cui la CGUE ha invalidato lo 'Scudo Privacy' e ha dettato delle vere e proprie linee guida per l'utilizzo delle clausole tipo. Peraltro non v'è chi non veda, in questa seconda pronuncia (dopo quella del 2015 sul 'Porto Sicuro'), una sorta di ulteriore sconfessione 'politica' dell'operato della Commissione da parte della Corte di Giustizia.

La sede della Commissione UE

In ogni caso, stando alla comunicazione, l'impegno della Commissione per agevolare il trasferimento dei dati extra-UE corre sulle seguenti direttrici:

- una “modernizzazione globale” delle clausole tipo, “al fine di aggiornarle alla luce del regolamento generale sulla protezione dei dati, in maniera da trattare tutti gli scenari di trasferimento pertinenti e rispecchiare meglio le pratiche commerciali moderne”, tenendo conto che “tali clausole rappresentano il meccanismo di trasferimento dei dati di gran lunga più diffuso, con migliaia di imprese europee che fanno affidamento su di esse al fine di fornire un'ampia gamma di servizi ai propri clienti, fornitori, partner e dipendenti”;

- un riesame delle decisioni di adeguatezza oggi in vigore, tutte variamente risalenti - eccezion fatta per quella che riguarda il Giappone, la cui entrata in vigore risale al febbraio 2019;

- un sostanziale rilancio dello strumento della decisione di adeguatezza (art. 45), tenuto conto del fatto che con essa si offre la maggiore semplificazione possibile all'esportatore di dati - “l'effetto di tale decisione è consentire la libera circolazione sicura dei dati personali verso il paese terzo in questione senza che l'esportatore dei dati debba fornire ulteriori garanzie o ottenere alcuna autorizzazione” - che coinvolge il Regno Unito (il vigente periodo transitorio di applicazione del diritto dell'Unione scade il 31 dicembre 2020), la Repubblica di Corea (il relativo processo di adeguatezza essendo in fase avanzata) e, con esiti un po' meno prossimi, vari Paesi dell'Asia e dell'America latina.

Sempre correlata al Capo V è l'esortazione al Comitato europeo per la protezione dei dati, in particolare, di chiarire “l'interazione tra le norme sui trasferimenti internazionali di dati (capo V) e l'ambito di applicazione territoriale (articolo 3) del regolamento generale sulla protezione dei dati”.

Né sono da trascurare le ulteriori esortazioni al Comitato nel senso di “garantire l'effettiva applicazione nei confronti degli operatori stabiliti in paesi terzi che rientrano nell'ambito di applicazione territoriale del regolamento generale sulla protezione dei dati, anche per quanto riguarda la nomina di un rappresentante, se del caso (articolo 27)”, di “ottimizzare la valutazione e l'eventuale approvazione di norme vincolanti d'impresa al fine di accelerare il processo”, di “completare i lavori sull'architettura, sulle procedure e sui criteri di valutazione per i codici di condotta e i meccanismi di certificazione come strumenti per i trasferimenti di dati”.

Un po' di sassi nello stagno - Fermo il restante contenuto della comunicazione (che include la preoccupazione circa il livello di frammentazione dovuto agli interventi legislativi degli Stati, in fase di valutazione - v. pag. 17 -, significative esortazioni agli Stati membri in direzione di una attuazione e integrazione del quadro giuridico, nonché al Comitato e alle varie autorità di controllo per contribuire alla uniforme applicazione, al chiarimento delle disposizioni di legge, al riesame degli orientamenti alla luce dell'esperienza e della giurisprudenza della CGUE, allo sviluppo di strumenti pratici per andare incontro, in particolare, alle “PMI a basso rischio”), completato l'esame di questo documento ci siamo domandati e ci domandiamo, davvero senza pregiudizio o intento polemico: è tutto qui?

Ci rendiamo conto che sia pretenzioso anche solo ipotizzare, a poco più di 4 anni dalla sua entrata in vigore (...), una riflessione istituzionale senza confini sul Regolamento 679/2016, considerato oltretutto che l'atteggiamento che ricorre è marcatamente eurocentrico e ferrea è l'idea che il suo testo contenga la disciplina di protezione dei dati migliore al mondo.

Ma è davvero così? Se anche è probabile che sia così, ciò deve escludere a priori che entrino in agenda alcuni aspetti spinosi delle disposizioni del Regolamento, che l'esperienza di oltre due anni di applicazione ha già messo in evidenza?
Nella consapevolezza della relatività di ogni punto di vista mettiamo in fila alcune - per il momento solo alcune - questioni ritenute di particolare rilevanza, in parte già affiorate, qua e là, nel confronto tra interpreti/esperti:

1) il contrasto tra il principio di atipicità delle misure codificato dall'art. 32 – per cui è il titolare che ha la responsabilità di individuare e adottare le “misure adeguate” - e le disposizioni del Regolamento che tipizzano alcuni obblighi/misure, in particolare quelle che impongono, al verificarsi di certe condizioni o nella sussistenza di alcuni presupposti, la tenuta di un registro dei trattamenti (art. 30), la valutazione di impatto sulla protezione dei dati (art. 35), la designazione di un RPD/DPO (art. 37);

2) (aggrava il contrasto) la natura stessa delle disposizioni sopra richiamate, le cui formulazioni talora non sono affatto chiare, esatte, cosicché – oltre alla produzione industriale di indirizzi e linee guida, strumenti regolarmente preziosi ma insufficienti (non possono recuperare alle disposizioni la qualità che non hanno) -, si generano difficoltà di tipo interpretativo/applicativo che possono indurre il titolare in errore, per esempio: a preferire, pur di malavoglia (...), un adempimento che potrebbe non essere dovuto, piuttosto che affrontare il rischio sanzionatorio; o, peggio, ad eseguire una valutazione (di non ricorrenza dell'obbligo) che sarà poi giudicata sbagliata e seguita da sanzione. Esemplare di certa genericità/vaghezza è il concetto di “larga scala”, che nessuno (con buona pace dello sforzo prodotto, per esempio, dal Gruppo art. 29, nella Linee Guida sui responsabili della protezione dei dati - rev. 01 del 5 aprile 2017) potrà mai tradurre in una indicazione precisa, inequivoca (genericità o non chiarezza che finisce, tra l'altro, per riversare una discrezionalità abnorme in capo alle autorità di controllo, certamente dalle stesse avvertita). Altro passaggio critico non può non rinvenirsi nella formulazione del paragrafo 5 dell'art. 30 - laddove si disciplina il campo di (non) applicazione dell'obbligo di tenuta del registro – su cui si confrontano ipotesi interpretative opposte, conducenti ad esiti altrettali;

3) la previsione di sanzioni amministrative 'fino ad un massimo di', con la correlata indeterminatezza. Sanzioni potenzialmente anche elevatissime, capaci di stroncare l'attività di una organizzazione, tali da mettere in difficoltà le stesse autorità di controllo chiamate ad applicarle, per il carico superlativo di responsabilità che esse sono chiamate ad assumere sulle proprie spalle. Né basti: c'è da considerare la loro particolare afflittività, che finisce per avvicinarle ontologicamente alle sanzioni penali, in un rapporto di strettissima parentela che pone un problema nei confronti dell'altra faccia della legislazione sanzionatoria, quella anche formalmente penale e aggiuntiva rilasciata ai singoli Stati;

4) la previsione di sanzioni amministrative anche a fronte di inadempimenti 'formali', cioè insuscettibili di generare conseguenze o pregiudizi in capo ai diritti e alle libertà delle persone fisiche (classico esempio: la mancata redazione e tenuta di un registro dei trattamenti). Da qui la riflessione potrebbe (il condizionale significa che si profila un di più ma basterebbe già il meno) prendere il largo verso una meta assai più ambiziosa: la diversa (forse superiore?) filosofia di un impianto normativo che espungesse da sé le sanzioni amministrative, per concentrare l'attenzione sul rafforzamento dei profili e delle procedure risarcitorie - sul piano dell'effettivo e tempestivo ristoro dei danni a coloro i cui diritti/libertà siano stati lesi o calpestati in concreto.

In definitiva, sarebbe desiderabile vedere quanto meno affermato il principio 'nessuna sanzione/senza lesione', che potrebbe aiutare a concepire l'adeguamento e l'accountability del titolare non come una via di fuga dal rischio sanzionatorio, ma come una opportunità di crescita culturale e di sviluppo delle relazioni dell'organizzazione con i suoi stakeholders.

Note Autore

Paolo Marini Paolo Marini

Avvocato in Firenze, consulente di imprese e autore di libri, commenti, note a sentenze e altri contributi, impegnato nei settori del diritto e della procedura civile, della normativa in materia di protezione dei dati personali e sulla responsabilità amministrativa degli enti e delle persone giuridiche.

Prev L’importanza di una compliance integrata legal-cybersecurity
Next Art. 32 del Gdpr: sicurezza da considerare a 360 gradi con i responsabili del trattamento

Privacy Day Forum: intervista a Secondo Sabbioni, DPO del Parlamento UE

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy