Gdpr, bello e impossibile
Quasi impossibile rispettare il Gdpr al 100%, ma le imprese devono cercare in buona fede la strada migliore per rispettare la privacy. Così Secondo Sabbioni, Data Protection Officer dal 2012 del Parlamento europeo, per il quale la collaborazione tra istituzioni e operatori economici è la chiave del successo delle norme sulla protezione dei dati, che non mancano, però, di chiaroscuri.
A un quarto di secolo dall'inizio dell'era italiana della privacy (l'8 maggio 1997 entrava in vigore il grosso della legge 675/1996, la prima legge sulla riservatezza) è tempo di fare il punto della situazione. Ma in una prospettiva europea.
Per fare ciò ItaliaOggi ha incontrato Sabbioni, che è un osservatore privilegiato, avendo visto nascere il Gdpr (General data protection regulation)nelle stanze di Strasburgo. Con il Gdpr (operativo dal 2018), infatti, la disciplina della protezione dei dati è tendenzialmente unica in tutta l'Ue e non si può stimare il futuro della applicazione della privacy se non abbracciando tutto il Vecchio Continente.
A Sabbioni chiediamo, dunque, un punto di vista sull'attualità e sui possibili sviluppi del Gdpr.
Domanda: Il Gdpr è riuscito a unire l'Europa nella protezione dei dati?
Risposta: Penso solo in parte. Ricordo che nelle fasi di stesura del Gdpr una delle principali critiche sosteneva che era una direttiva camuffata ed, in effetti. ci sono materie in cui il singolo stato può fare la differenza. Ci sono disposizioni del Regolamento che rinviano alla legislazione dei singoli stati. Probabilmente l'esempio più clamoroso riguarda l'età per l'espressione del consenso da parte dei minori. In effetti fin da quando è entrato in vigore, è stato chiaro che il Gdpr lascia molti spazi di manovra alle autonomie nazionali.
Domanda: Un quadro con molte ombre, si potrebbe dire.
Risposta: Si, ma anche con molte cose positive. La cultura della privacy è cresciuta moltissimo dopo il Gdpr. La privacy è diventata più visibile. Le imprese se ne preoccupano di più, magari anche solo per gestire costi indotti. Il Gdpr ha, poi, avuto il grosso merito di essere il grimaldello per cominciare a obbligare le big five o Gafam (Google, Amazon, Facebook, Apple, e Microsoft), a rispettare la privacy dei cittadini europei e a pagare il giusto contributo fiscale sui lauti guadagni che derivano dal suo trattamento. Il Gdpr ha squarciato un velo e scoperchiato questo settore. Certo ci sono, ovviamente, situazioni in cui manca la consapevolezza, ma coltivo la speranza che il diritto alla privacy possa in un futuro non lontano essere trattato alla pari del diritto alla salute o alla sicurezza.
(Nella foto: Secondo Sabbioni, Data Protection Officer del Parlamento Europeo)
Domanda: In generale, però, si continua ad andare in ordine sparso?
Risposta: È un dato oggettivo che in questi quattro anni di operatività è emerso che l'applicazione del Gdpr non è uniforme in tutta l'Unione europea. Ci sono alcuni stati in cui ormai la disciplina del Gdpr è quasi completamente integrata, come la Germania, e altri in cui la sensibilità è ai minimi termini. La cultura della protezione dei dati è ancora molto diversa nei paesi dell'Unione.
Domanda: Ma allora cosa bisogna pensare di questo Gdpr?
Risposta: Il Gdpr è stata un'ottima cosa. Avere un regolamento direttamente applicabile ha avuto un effetto trainante della privacy. A chi dice che ormai è vecchio posso rispondere che è ancora utile e, probabilmente, il suo più grosso merito è stato di avere codificato un approccio basato sul rischio, così da permettere agli operatori economici di scriversi la regola adeguata al proprio rischio.
Domanda: Eppure non manca chi critica il Gdpr proprio perché lascia spazio a incertezze nell'interpretazione e nell'attuazione. È ancora uno strumento utile?
Risposta: Il Gdpr ha successo ed è ancora utile se tutti fanno il loro dovere. Ci vogliono Garanti che danno risposte concrete, elaborano modelli, formulari e template. Ci vogliono, dall'altro lato, operatori economici che si dotano di esperti preparati e in grado di rapportarsi con le autorità. A questo proposito, ritengo che responsabilizzare gli operatori affinché elaborino regole per la propria organizzazione nel rispetto dei principi del Gdpr è lungimirante, perché in un testo rigido non si può tenere conto degli sviluppi della tecnologia e dell'intelligenza artificiale. È il singolo operatore che deve interrogarsi, fare un esame di coscienza ed assumere le scelte di tutela degli interessati.
Domanda: Imprese ed operatori avrebbero bisogno di essere un po' più aiutati.
Risposta: Sono d'accordo che ci vorrebbero linee guida delle autorità garanti, che non devono limitarsi a mere parafrasi delle norme di principio, ma, al contrario, diano risposte concrete e rapide agli operatori. Ma sono anche convinto che bisogna avere pazienza e che bisogna ragionare su tempi lunghi. Nel frattempo gli operatori devono agire con buona fede, anche perché è quasi impossibile osservare al 100% l'impianto normativo, soprattutto dopo la sentenza della Corte di Giustizia europea “Schrems II”. Residua sempre un margine di rischio giuridico. L'importante è dimostrare come si è arrivati a un certo risultato e giustificare tutti i passaggi.
(Intervista di Antonio Ciccia Messina, fonte Italia Oggi)
