I pericoli di un avvio con regole incomplete
Il principio di accountability domina tutto il disegno normativo e impone al titolare di valutare, trattamento per trattamento, le misure da adottare per minimizzare i rischi e massimizzare la sicurezza.
Si collocano qui la privacy by design e by default, che impongono di pensare alla protezione dei dati fin dalla progettazione dei processi. Sta qui anche la valutazione di rischio, essenziale per definire in concreto le misure da adottare.
Per favorire lo sviluppo dell’economia digitale si amplia moltissimo la possibilità di trattare
dati anche non raccolti presso gli interessati, a
condizione però di dare a essi una informativa adeguata, chiara, comprensibile a tutti.
Si arricchiscono i diritti degli interessati in coerenza con le nuove tecnologie, sempre più legate anche all’Intelligenza artificiale. Si pensi alla portabilità dei dati, alla riformulazione del diritto alla cancellazione (cosiddetto diritto all’oblio), all’introduzione dei diritti di opposizione e limitazione dei trattamenti e, soprattutto, al diritto di conoscere la logica delle decisioni automatizzate relative a persone fisiche.
Aumenta il ruolo delle Autorità, non solo per le sanzioni previste quanto, e soprattutto, per il potere di dettare linee guida e provvedimenti prescrittivi finalizzati a proteggere i trattamenti e a far crescere la fiducia nel digitale.
Anche l’obbligo di tempestiva denuncia della perdita dei dati (data breaches), ha il fine di consentire alle Autorità di intervenire subito, non tanto per “punire” quanto per capire cosa è accaduto, e come impedire che il fenomeno si ripeta.
Le stesse sanzioni, che tanto spaventano per i massimi molto elevati, dovranno essere applicate in base al principio di adeguatezza, valutando caso per caso. Lo scopo non è sanzionare, ma rafforzare la fiducia dei cittadini.
Insomma, il Gdpr è una rivoluzione epocale, strettamente connessa alla scommessa sullo sviluppo dell’economia digitale come esigenza vitale per il futuro della Ue.
Con la piena applicazione del Regolamento il legislatore nazionale perde sovranità sulla materia. Restano solo limitati
settori in cui, ferma la normativa europea e gli obblighi dei titolari e responsabili, è possibile dettare norme specifiche.
Questo riguarda l’informazione, l’accesso ai dati della Pubblica amministrazione, il diritto del lavoro, la statistica, la ricerca scientifica e storica, l’archivistica, eventuali specificazioni per i trattamenti per ragione di salute e sanità.
Inoltre ciascuno Stato potrà decidere se introdurre casi di sanzioni penali, e a che età i minori possano accedere ai servizi della società dell’informazione senza autorizzazione parentale, scegliendo in un range tra i 16 e i 13 anni.
Dunque, con o senza nuovi interventi legislativi, dal 25 maggio il vecchio Codice italiano di protezione dei dati personali dovrà essere disapplicato, salvo che per le poche materie richiamate.
Il Parlamento ha delegato il Governo ad adottare un apposito decreto legislativo di adeguamento al Gdpr.
Il ministro di Giustizia ha istituito la Commissione Finocchiaro, che ha elaborato uno schema di decreto chiaro, semplice, facilmente comprensibile da tutti, adatto anche a facilitare il compito delle piccole e medie imprese. I lavori della Commissione sono terminati a metà marzo. Il Consiglio dei ministri ha adottato uno schema di decreto delegato il 21 marzo, ma non è ancora noto il testo deliberato.
Da allora un silenzio interrotto solo da boatos, che fanno temere il
rischio di far diventare complicato quello che la Commissione aveva cercato di rendere il più possibile semplice e chiaro.
È urgente che lo schema adottato il 21 marzo, quale che esso sia, venga trasmesso alle Commissioni parlamentari per il previsto parere, e al Garante, che peraltro ha sempre partecipato ai lavori della Commissione Finocchiaro.
È essenziale non far scadere la delega. La nuova normativa, sia essa un’amplissima novella del vecchio Codice o un decreto delegato integralmente sostitutivo di quello, deve entrare in vigore entro il 25 maggio.
Gli operatori, le imprese, la Pa e, soprattutto, i cittadini hanno il diritto
che dal 25 maggio sia possibile dare piena e integrale attuazione al
Gdpr anche grazie a una legge di adeguamento, semplice, chiara, facile da capire e applicare.
Guai se, per ragioni solo formali o di mal riposto prestigio, si obbligasse chi è tenuto a rispettare queste norme, a folli esercizi di analisi giuridica tra una normativa europea estremamente innovativa e un vecchio Codice, in larghissima parte non più applicabile e comunque, anche per le parti tuttora di competenza nazionale, ispirato a una visione della tutela dei dati personali vecchia e superata.