Consulenza o Preventivo Gratuito

Addetti alla privacy in azienda

del 16/11/2013
di: di Luigi Chiarello
Addetti alla privacy in azienda
Le imprese dovranno dotarsi di un Data profession officer, un responsabile della protezione dati personali. I colossi informatici invece avranno a che fare con nuove regole uniche europee, che porranno un argine (e sanzioni) alla loro impunibilità nel trattamento dati. Anche le p.a. dovranno rispettarne i limiti, Agenzia delle entrate inclusa. Nell'utilizzo dei dati, il grande fratello fiscale non potrà sfondare il recinto della lotta all'evasione. La commissione libertà civili, giustizia e affari interni dell'Europarlamento, competente nel merito, ha finalmente approvato un testo per il regolamento generale sulla protezione dei dati. I negoziati sono stati lunghi, con 90 compromessi raggiunti su oltre 4 mila emendamenti presentati. Adesso l'Europarlamento è in attesa della posizione del Consiglio per poter avviare i negoziati (detti «triloghi informali») e cercare di approvare il testo entro la fine di questa legislatura, cioè entro maggio. ItaliaOggi ha sentito in doppia intervista il relatore al provvedimento, il tedesco Jan Philip Albrecht (Verdi) che ha condotto un vero e proprio tour de force sul testo e Laura Comi (Ppe) relatore ombra per l'Italia, componente del team europarlamentare che lavora al tema.

Domanda. Perché cambiare norme consolidate e testate?

Laura Comi: Ci sono buone ragioni: innanzitutto il mondo è molto diverso da quello della prima metà degli anni 90. L'impianto attuale si regge principalmente su una direttiva del 1995, quando non era ancora prevedibile che Internet avesse lo sviluppo che ha avuto. Inoltre, nuove tecnologie o nuovi utilizzi della tecnologia sono emersi, e questo rende opportuna una revisione della normativa. Poi, nel frattempo, è stata approvata la Carta dei diritti fondamentali dell'Ue; il diritto alla privacy è stato inserito a pieno titolo, all'art. 8. Infine, l'armonizzazione della legislazione su questo tema è indispensabile quando si parla di mercato interno, visto che oggi una pmi italiana che riesce a vendere prodotti in Francia e Germania è soggetta a ben tre leggi diverse per disciplinare stessi comportamenti.

Jan Philip Albrecht: Non vogliamo cambiare l'impianto normativo generale che abbiamo dal 1995. Ma il Mercato Unico e le nuove tecnologie ci chiedono di metterci d'accordo su una normativa unica per poterla attuare in maniera corretta. Al momento le 28 diverse interpretazioni delle regole per la protezione dei dati sono uno svantaggio per i cittadini europei e per le imprese.

D. Da dove arrivano i nuovi attacchi alla privacy?

LC: Parlare di «attacchi» viene spontaneo viste le notizie di attualità, ma le Istituzioni europee lavorano su questo provvedimento già da anni: nel 2011 il Parlamento ha già inviato alla Commissione una Relazione di Iniziativa (un documento non legislativo di indirizzo politico, ndr) sul tema, la Commissione ha inviato in parlamento la sua proposta all'inizio del 2012, alcune commissioni parlamentari l'hanno esaminata, discussa e votata nel corso del 2012 e a inizio 2013, e la Commissione competente per merito sta finalizzando i negoziati per arrivare a un testo quanto più possibile condiviso dai gruppi politici. Ciò detto, resta il fatto che tutto il traffico dati generato prima che la direttiva attuale entrasse in vigore, adesso viene generato nel giro di pochi giorni. Immagino che un po' tutti ricordino i floppy disk, che fino all'inizio degli anni 90 erano il supporto più diffuso per la registrazione dati, e che contenevano 1,44 MB. Ora le chiavette USB da 1 GB (equivalenti a circa mille floppy disk) sono usate per il trasferimento dati e raramente per la mera archiviazione. Questo cambiamento nell'ordine di grandezza è la ragione principale per cui necessita una nuova disciplina.

JPA: Da alcuni anni abbiamo problemi con le «Internet companies» che vengono da fuori Europa e che non rispettano le regole per la protezione dei dati. Inoltre, aumentano i dati che possono essere usati per diversi fini. Bisogna assicurarsi che tutti rispettino le stesse regole e che i cittadini possano decidere quali dati fornire.

D. Le imprese saranno tutelate come le persone fisiche?

LC: La proposta non prevede una distinzione fra imprese e persone fisiche, ma fra «Interessati», «Responsabili del trattamento» e «Incaricati del trattamento». Gli interessati possono appartenere ad entrambe le categorie, ma nelle altre due ci sono per lo più imprese. Chiaramente non devono esserci soggetti deboli e soggetti forti, ma una precisa attribuzione di responsabilità e compiti. Se è una persona fisica a sbagliare, deve pagarne le conseguenze tanto quanto un'impresa. La tutela è rivolta a chi si comporta correttamente, qualunque sia la sua situazione.

JPA: Avere regole comuni sulla protezione dati rappresenta un'enorme riduzione del fardello burocratico sulle spalle delle imprese in Europa. Un regolamento europeo offre certezza legale sull'intero mercato e l'applicazione coerente porrà fine allo svantaggio competitivo di cui soffrono alcuni Paesi, specie nel mercato digitale.

D. Quale la ricaduta in termini di costo per le imprese e per le p.a. dell'obbligo di individuare un privacy officer? Ma non si doveva semplificare?

LC: La semplificazione c'è: si individua una figura professionale che, internamente o come consulente esterno, si occupa della corretta attuazione del regolamento. Tutti i cittadini/utenti/clienti avranno quindi un punto di riferimento unico, che sia in grado di fornire risposte alle domande relative al trattamento dati. Il vero problema è il costo, e su questo stiamo negoziando a muso duro perché riteniamo che, anche nell'obbligo di avere un Data protection officer, si debba usare un po' di buon senso: chiaramente l'imprenditore individuale non deve e non può essere esentato dal comportarsi bene, ma questo può essere fatto anche riducendo gli oneri nei casi che presentano meno rischi.

JPA: Quasi tutte le medie e grandi imprese hanno già oggi un privacy officer o un dipendente che si occupa del rispetto della normativa sulla protezione dei dati. Tutte queste imprese ci dicono che questo strumento rappresenta un fattore di successo e permette di risparmiare molti costi legati ai problemi di privacy. L'esperienza positiva con quegli Stati dove c'è già questo obbligo fa da guida alla proposta di Regolamento. Per le imprese più piccole, ci sono eccezioni e le ore di lavoro prestate da questa figura professionale devono essere proporzionate alle esigenze dell'impresa. Lo stesso vale per gli enti pubblici.

D. Come si accredita il privacy officer? Ci sarà un albo, esami? O ci si inventerà consulenti?

LC: Stiamo lavorando anche a questo aspetto. La proposta della Commissione parla genericamente di persona che sia in grado di svolgere il proprio ruolo, e lo definisce nel dettaglio. Io ritengo che già questo requisito comprenda una perfetta conoscenza della normativa applicabile e delle sue implicazioni pratiche, una certa esperienza con il trattamento dei dati, e la comprensione dei processi produttivi. Per il resto io credo nel mercato: se un'impresa ritiene che un professionista sia in grado di svolgere questo ruolo, deve poter scegliere quel professionista.

JPA: I requisiti generali per i data protection officer sono elencati nel Regolamento. I dettagli spetteranno alle imprese. Già oggi le Authority per la Protezione dati offrono corsi di formazione per i data protection officer.

D. Lo chiamate snellimento, ma le misure di sicurezza prevedono oneri gravosi.

LC: La semplificazione è un obiettivo. Purché non diventi un alibi per deregolamentare selvaggiamente! Il problema che ci poniamo oggi è quello di adeguare la legislazione a un mondo che è ormai cambiato. Se un'azienda ha cinque dipendenti, può anche avere una divisione informale dei compiti e procedure non troppo codificate; quando cresce e arriva a 300 dipendenti dovrà necessariamente strutturarsi in maniera più adeguata. Lo stesso vale per il trattamento dei dati: il recente balzo, in continua crescita, richiede regole più precise e meglio definite. Badi bene: regole ben scritte riducono i problemi ex post. Il sistema sarà più efficiente.

JPA: Questo regolamento semplificherà enormemente e ridurrà i costi per le imprese. Creando un quadro normativo unico per la protezione dei dati in tutta Europa e costruendo la certezza legale, le imprese avranno bisogno di molta consulenza legale in meno. A differenza di alcuni fraintendimenti, le misure di questo regolamento seguono la legislazione esistente basata sulla direttiva del '95. Quindi anche nei dettagli non ci saranno più oneri.

D. Quali le tutele effettive in relazione ai trattamenti dati di motori di ricerca e social network? La fanno da padrone...

LC: I giganti del web sono indubbiamente tra i più interessati alla nuova normativa, visto che li colpisce direttamente. E posso dire che non hanno l'atteggiamento di chi sa di poterla fare da padrone: le Authority per la protezione dati, anche grazie agli strumenti che noi stiamo fornendo loro con questo regolamento, hanno poteri ispettivi e sanzionatori piuttosto elevati. La proposta della Commissione prevede sanzioni che arrivano fino al 2% del fatturato globale dell'impresa, in caso di violazione grave e reiterata di alcuni degli articoli del regolamento. E, soprattutto, uno degli obiettivi di questa normativa è dare al cliente/utente il potere di scegliere cosa condividere e con chi (principio della protezione dei dati «by design»), proprio per evitare che ci sia il predominio di una parte sull'altra. E stiamo vietando esplicitamente comportamenti scorretti benché oggi formalmente legali.

JPA: Lei sta dando per scontato che le più grandi imprese non seguono le leggi emanate da istituzioni democratiche? Sta dipingendo un quadro molto negativo, e a quel punto non varrebbe più la pena di legiferare. No, questo nuovo Regolamento sarà molto efficace, soprattutto in casi come quello di Google, che adesso non potrà più scegliere la legge più conveniente in Europa per cercare di ridurre l'impatto normativo. Con il nuovo regolamento, facciamo pressione sui giganti americani perché abbiamo un'attuazione coerente con forti sanzioni nel mercato europeo. Come le regole sulla concorrenza hanno già mostrato, questo è un modo molto efficace per regolare un mercato che nemmeno Google può ignorare.

D. Che fine farà il codice della privacy italiano?

LC: Il nuovo regolamento comporta l'abrogazione delle leggi nazionali che regolino le stesse questioni.

JPA: Le leggi nazionali definiranno solo i dettagli; ad esempio come i dati personali possano essere trattati dalle p.a. e per quali obiettivi. Ed è molto meglio della realtà esistente, in cui la legge italiana non è applicabile perché società come Facebook, Google e Amazon sono situate in altri Stati Ue come Irlanda e Lussemburgo.

D. Il regolamento inciderà sul grande fratello fiscale italiano?

LC: La p.a. non è esente dalla normativa. Tuttavia, le competenze dell'Ue non permettono di legiferare a tutto campo, e poiché le questioni fiscali sono competenza nazionale, il Parlamento europeo e il Consiglio dell'Unione europea non possono interferire. Comunque anche l'Agenzia delle entrate dovrà dotarsi di un Data protection officer, che, in collaborazione con l'Authority italiana, dovrà fare in modo che i dati siano utilizzati solo per la lotta all'evasione (o per gli altri obiettivi specificati) e che non ci siano usi impropri o rivelazioni all'esterno. Altrimenti, anche le p.a. potranno essere sanzionate.

JPA: La decisione sulle competenze delle autorità fiscali o altre autorità di attuazione della legge non è presa nella normativa sulla protezione dei dati ma nella normativa specifica di queste autorità. Il regolamento sulla protezione dei dati stabilisce solo i principi per il diritto fondamentale alla protezione dei dati - come la necessità e la proporzionalità di queste competenze - che il legislatore nazionale deve rispettare.

vota