GDPR (General Data Protection Regulation) alla prova dei fatti. Quel delicato equilibrio tra protezione e circolazione dei dati nell’economia digitale
di Maria Carla Bellomia e Stefano Bruni
Regole che si adattino ai mutamenti della società, condivise a livello europeo.
Questi i punti centrali emersi nel corso della Conferenza internazionale sullo stato di applicazione del GDPR (il Regolamento europeo sulla protezione dei dati personali), tenutasi il 15 novembre al Centro Alti Studi del Ministero della Difesa.
Il Regolamento europeo sulla protezione dei dati personali è in vigore da circa un anno e mezzo (precisamente dal 25 maggio 2018) e da subito esso ha avuto il merito di rendere evidente il fatto che il trattamento dei dati personali non si limiti alla sola privacy. Capire a che punti si è giunti, in Italia e in Europa, è oggi dunque fondamentale.
Una serie di dati ed esperienze sono state rilevate grazie al progetto T4Data (ossia “Training For Data”), importante occasione di formazione delle Autorità di protezione dati e dei RPD degli organismi pubblici nell’applicazione del Regolamento e nella soluzione di eventuali questioni interpretative.
Il progetto nasceva dalla collaborazione tra le Autorità di 5 Paesi Ue: Bulgaria, Croazia, Italia, Polonia e Spagna; è coordinato dalla Fondazione “Lelio e Lisli Basso”, ed è stato finanziato con i fondi del Rights, Equality and Citizenship Programme dell’Unione europea (2014-2020).
T4Data ha sviluppato e messo a disposizione un ampio set di iniziative e strumenti dedicati ai RPD, con seminari sul territorio che hanno coinvolto centinaia di partecipanti in tutta Italia, un ciclo di webinar fruibili su una piattaforma dedicata e un puntuale manuale, in lingua italiana e inglese, utile per supportare l’applicazione del GDPR, inteso nel suo più ampio siginificato.
Si è fatto molto quindi. Ma cosa bisogna fare ancora?
Tra gli spunti più significativi emersi nel corso della Conferenza, ci sono alcuni suggerimenti avanzati dal garante per la protezione dei dati personali dell’Italia.
“La prima sfida per quanto riguarda la protezione dei dati personali e’ avere regole che possano rimanere valide anche di fronte ai cambiamenti della societa’“, ha detto Giuseppe Busia, segretario generale del Garante per la protezione dei dati personali. “L’unico modo per farlo e’ scrivere disposizioni di principio come si e’ fatto con il Gdpr“, ha aggiunto Busia osservando che “c’e’ una sfida culturale e cioe’ quella di armonizzare ulteriormente le norme emanate nei singoli Stati dell’Ue” in questa materia
Per capire a fondo la portata delle norme del GDPR, bisogna quindi allargare lo sguardo oltre i confini nazionali, per vedere se – e a che punto – il Regolamento europeo abbia trovato applicazione, ad un anno e mezzo di distanza dalla sua entrata in vigore, nel resto degli Stati membri dell’Ue a 27, in particolare per quanto riguarda le prospettive future e la tenuta delle previsioni regolamentari.
Il GDPR è infatti “figlio” del pacchetto normativo, di origine europea, sulla protezione dei dati personali, ed è nato proprio come risposta condivisa, a livello UE, alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica degli stessi Stati membri, allo scopo di garantire un sistema giuridico coerente e complessivamente armonizzato in materia di protezione dei dati nell’Unione europea.
La rivoluzione digitale è per sua stessa natura un fenomeno globale che di certo non può essere circoscritto al nostro Paese, ed è per questo che necessariamente si deve ragionare in termini comunitari. L’attuale contesto socio-economico richiede infatti una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione – anche transfrontaliera – dei loro dati personali, in un’ottica di bilanciamento con il principio comunitario di libera circolazione all’interno dell’UE. Ed il contesto normativo del GDPR ha come obiettivo primario proprio quello di intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dei dati personali.
Lo stesso sottosegretario alla Difesa Angelo Tofalo, intervenuto nel corso del dibattito, ha evidenziato come per raggiungere un adeguato livello di sicurezza dei dati personali non si possa prescindere dalla coesione sociale tra i diversi Paesi europei, che va quindi promossa.
Ma la coesione non basta se non è accompagnata dalla armonizzazione delle normative emanate in merito al GDPR, che risponde alla doppia esigenza, da un lato, di protezione dei dati dei singoli utenti e dall’altro della necessità di circolazione delle informazioni in un’economia digitale.
Il GDPR ha infatti consentito ai cittadini europei di essere più consapevoli dei loro diritti digitali: questo emerge con evidenza nel caso della disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla “responsabilizzazione” (accountability) che affida direttamente ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.
Per far questo, è indispensabile – come emerso anche nel corso del dibattito – che le autorità responsabili della privacy dei dati, individuate negli Stati membri dell’UE, dialoghino tra loro per mettere in luce le potenzialità e le criticità delle norme rispetto ai titolari e ai responsabili della protezione dei dati personali.
In conclusione, la sfida rimane quella di armonizzare ulteriormente le norme emanate dai singoli Stati europei in questa materia sulla base di disposizioni di principio: la prospettiva deve essere infatti quella di una tenuta duratura delle previsioni regolamentari rispetto ai continui cambiamenti del mondo del digitale e che coinvolga direttamente, a livello europeo, le Autorità garanti, i responsabili della protezione dei dati, le amministrazioni e le imprese.
La sicurezza e la protezione dei dati rappresentano un patrimonio comune europeo da proteggere e salvaguardare: se parleremo con una voce sola anche sul fronte della privacy, saremo più forti. E più protetti.