Privacy weekly | Il guest post di Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali. Un viaggio intorno al mondo su tutela della privacy e digitale
Il 25 maggio di quest’anno il GDPR ha compiuto cinque anni di “piena applicabilità” (è in vigore ormai da sette). E, diciamoci la verità, funziona, convince – almeno i più in Europa e fuori dall’Europa – ha permesso, sin qui, di governare il presente e il futuro prossimo della società dei dati. Non avessimo avuto una legge sulla protezione dei dati personali uniforme non avremmo mai avuto il green pass o, almeno, non saremmo riusciti a progettarne e implementarne il funzionamento in un paio di settimane. E se non avessimo avuto il GDPR, l’Europa si sarebbe trovata priva di qualsivoglia riferimento regolamentare capace di governare, anche se solo in forma embrionale, i primi passi dell’intelligenza artificiale, degli algoritmi e dei robot.
I meriti del GDPR
È stato grazie al GDPR – qualcuno, naturalmente e legittimamente, penserà per colpa del GDPR – se si è riusciti a orientare lo sviluppo delle intelligenze artificiali generative verso uno sviluppo più rispettoso dei diritti delle persone, a suggerire al legislatore europeo l’opportunità di tener conto di questo genere di algoritmi nel dettare le nuove regole dell’AI Act e, al tempo stesso, a sollevare, nella dimensione internazionale, alcune questioni sulle quali si possono avere opinioni diverse ma non si può discutere meritino di essere affrontate. E, per la verità, sulla bandiera del GDPR, in questi cinque anni, avrebbero potuto essere appuntate un buon numero di altre medaglie e onorificenze. Ma, ovviamente, non è tutto oro quello che luccica, non ci sono rose senza spine, niente e nessuno è perfetto, si può sempre fare meglio, tutto e tutti invecchiamo, ecc. ecc. E il GDPR non si sottrae a questa regola. Nessuna sorpresa, quindi, se, proprio nella settimana che ci stiamo appena gettando alle spalle la Commissione europea ha presentato una proposta che, pur senza modificarne la sostanza, ha l’obiettivo dichiarato di fare tesoro dell’esperienza sin qui maturata nella sua applicazione e di provare a rendere l’applicazione delle sue regole più semplice, più efficace e più effettiva. Questo, soprattutto, in relazione a una casistica che, nel corso dei primi anni di applicazione si è dimostrata piuttosto ricorrente: quella nella quale un trattamento di dati personali che finisce, in un modo o nell’altro, sotto la lente delle Autorità di protezione ha un impatto significativo in più Stati membri. In questi primi cinque anni, infatti, sono stati trattati oltre 2000 casi con un impatto transfrontaliero di quelli che impongono, già ai sensi delle regole vigenti, ai Garanti europei di collaborare e cooperare e sono state adottate sanzioni talvolta multimilionarie o addirittura miliardarie. Le cose sono andate bene. Il livello di dialogo, la voglia di lavorare assieme, le attitudini alla cooperazione sono stati elevati. Ma sarebbe da ipocriti negare che un po’ perché si è compresa strada facendo la portata delle previsioni del GDPR che, naturalmente, nessuno aveva mai applicato e un po’ perché mettere d’accordo ventisette Autorità indipendenti di altrettanti Paesi su questioni giuridiche talvolta complessissime e che stimolano sensibilità cultural-giuridiche meno uniformi del testo delle regole da applicare non è cosa facile, ci sono, certamente, amplissimi margini di miglioramento. Far meglio, insomma, nella collaborazione e cooperazione intra-europea in materia di applicazione del GDPR è certamente possibile. Ed è esattamente questa la prospettiva nella quale la proposta della Commissione europea presentata questa settimana interviene sul GDPR.
Un tagliando per il GDPR
La proposta è quella di un primo tagliando a un sistema di regole che funziona ma che avendo uno dei suoi punti di forza proprio nel suo essere una legge europea uniforme può e deve funzionare nel modo migliore possibile anche e soprattutto sul versante dell’applicazione efficace, effettiva e soprattutto uniforme. Così, questa settimana la Commissione Europea ha annunciato la proposta di razionalizzare la cooperazione tra le Autorità di protezione dei dati nei procedimenti transfrontalieri, attraverso un Regolamento che stabilisca norme procedurali supplementari relative all’applicazione del GPDR. Ciò, nell’ottica di facilitare il lavoro delle Autorità che applicano il GDPR nei casi in cui si rende necessario cooperare. Una delle disposizioni chiave del nuovo regolamento va, ad esempio, proprio in questa direzione, ed è l’introduzione dell’obbligo per l’autorità di protezione dei dati che, sulla base delle regole già vigenti, si ritrova ad agire da capofila in un procedimento di matrice transfrontaliera – essendo quella ove il titolare del trattamento ha il suo stabilimento europeo principale – di inviare alle altre autorità interessate una “sintesi delle questioni chiave”. Questo documento dovrà contenere i principali elementi dell’istruttoria in corso e le opinioni dell’autorità capofila sul caso, consentendo alle altre Autorità interessate di esprimersi già in una fase “precoce” del procedimento. Tale misura mira a ridurre i contrasti e a favorire il consenso tra le autorità già nelle prime fasi dell’indagine. Le nuove norme proposte avranno, altresì, un impatto significativo sia sulle persone fisiche che sulle imprese. Per le persone fisiche, la proposta specifica quali informazioni devono essere fornite quando viene presentato un reclamo, assicurando il loro adeguato coinvolgimento nel processo decisionale. Per le imprese, l’idea è quella di garantire una maggiore chiarezza sui loro diritti di difesa quando un’autorità di protezione dei dati conduce un’indagine su una possibile violazione del GDPR. Inoltre, viene prevista espressamente anche la possibilità di addivenire ad accordi (amicable settlement) per risolvere le controversie e semplificare la gestione del contenzioso. Ora la proposta della Commissione sarà sottoposta a un’approfondita valutazione e dovrà essere adottata dal Parlamento europeo e dal Consiglio prima di diventare effettiva. Il prossimo passo sarà, quindi, l’esame e la discussione della proposta da parte delle altre istituzioni europee. Si riuscirà a completare questo primo tagliando prima dell’ormai prossima fine della legislatura europea? Questa è una delle principali domande che sembra opportuno porsi. Un tagliando – e, anzi, forse più di uno – sarebbe certamente opportuno perché, cinque anni, nella stagione della vita del mondo che stiamo vivendo, con i tempi del progresso tecnologico che si calcolano in settimane, sono tantissimi, persino per il più illuminato dei sistemi regolamentari.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.
