Focus sulla dimensione europea e sempre più anche “mondiale” della privacy, di cui è grande protagonista il GDPR. L’Autorità garante per la privacy italiana, presieduta da Antonello Soro, stamani ha presentato il report delle attività 2018; l’ultima relazione del suo settennato. Con questo appuntamento si è chiusa l’attività collegiale attuale, in attesa delle nuove nomine. L’occasione è stata anche utile per ripercorrere gli ultimi sette anni di lavoro del Garante, con alcuni punti fermi, che certo ci faranno compagnia nei prossimi anni.
Indice degli argomenti
Privacy sempre più europea (e mondiale)
Ovviamente, per la privacy il 2018 è stato un anno importante: a maggio dell’anno scorso è entrato in vigore il regolamento europeo GDPR.
Francesco Pizzetti, docente di Diritto Costituzionale ed ex presidente del Garante per la privacy commenta: “Direi che la relazione del presidente Soro ha chiarito che ormai la privacy è una materia di rilevanza europea e mondiale. Saggiamente l’autorità italiana non ha sottolineato future attività programmate nazionali, un po’ perché questa di oggi è l’ultima relazione del collegio un po’ perché il ruolo delle autorità nazionali è ancillare rispetto a una linea di regolazione dell’economia digitale che è necessariamente europea“.
Questa visione non riguarda solo la protezione dei dati, ma tutta la materia: “Nella prima parte della relazione, l’autorità è intervenuta sulla regolazione della concorrenza, parlando di antitrust by design e GDPR con estremi interesse e lungimiranza, facendo capire un segnale preciso: la protezione dei dati è l’architrave di un sistema regolatorio molto più ampio – prosegue Pizzetti – che coinvolge antitrust, tutela dei cittadini sotto il profilo del rapporto con AI, con un mondo in cui è necessario disvelarsi per ottenere servizi ma in cui è necessario garantire che i dati siano usati solo per quel dato servizio”.
L’accountability
Un importante aspetto sottolineato è quello “per cui la protezione dei dati non riguarda solo alcuni operatori, ma tutti quanti. Con la digitalizzazione siamo tutti chiamati a essere garanti di noi stessi e dei dati altrui che trattiamo – ha spiegato l’avvocato Rocco Panetta, country leader italiano dell’associazione IAPP -. La difficoltà e le sfide che il presidente Soro ha rimarcato durante la sua relazione devono essere raccolte da tutti gli stakeholder”.
Il governo sui dati richiede “la partecipazione di tutti gli attori, discorso che si riaggancia al tema dell’accountability argomento chiave del GDPR. Semplicemente, indica la necessità che tutti facciano la loro parte”, aggiunge Panetta.
Data Monetization
“Il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà“, ha relazionato il presidente Soro durante la seduta, parlando di un sottoproletariato del digitale “formato da quanti siano disposti a cedere con i propri dati la libertà, in cambio dei servizi offerti in rete solo apparentemente a prezzo zero”.
Per Panetta “questo è il punto più forte della relazione. Ogni anno spuntano mode, come i Big Data, l’IoT, la cyber Security, nel 2019 si parla molto di blockchain. Nei primi mesi di quest’anno però sta emergendo anche il fenomeno data monetization: mentre gli altri argomenti sono fenomeni tecnologici che trovano una loro descrizione nel GDPR, la data monetization è vietata dalla legge attuale. Soro l’ha ribadito”.
Il concetto è che “il dato è un valore fondamentale per la tutela dei diritti, non è una merce. Non si può pagare un individuo né con danaro o altra utilità per rinunciare a un pezzo della propria identità in rete per ottenere un servizio gratuito. Il dato personale si sottrae al mercato, è liberamente circolabile ma alle condizioni del GDPR. I nostri diritti fondamentali sono fuori dalla commerciabilità, sono intangibili”, precisa Panetta.
Le sanzioni
L’autorità italiana ha comunicato che le sanzioni amministrative riscosse nel 2018 ammontano a oltre 8 milioni 160 mila euro, segnando circa 115% in più rispetto al 2017. Multe che non riguardano il GDPR: “Sono frutto di sanzioni erogate sulla precedente normativa ma è un indice che evidenzia come il 2018 sia stato il più salato rispetto agli altri – commenta Panetta -. Il trend è in crescita, ci dobbiamo aspettare un salto di qualità rispetto alle sanzioni precedenti quando inizieranno ad arrivare quelle per violazioni al GDPR”.
Il Garante ha comunicato anche di aver effettuato nel 2018 centocinquanta ispezioni. Invece, le comunicazioni di notizie di reato all’autorità giudiziaria sono state 27, soprattutto per la mancata adozione delle misure minime di sicurezza a protezione dei dati e per l’illecito controllo a distanza dei lavoratori. Le violazioni amministrative contestate sono state invece 707, soprattutto per trattamento illecito dei dati, mancata adozione di misure di sicurezza, illeciti in materia di telemarketing, violazioni di banche dati e inadeguata informativa agli utenti sul trattamento dei loro dati. In questo ambito rientrano anche gli interventi in materia di cyber security, soprattutto per episodi di data breach.
Da sottolineare inoltre, al riguardo, che il 15 maggio si chiuderà la moratoria relativa ai primi 8 mesi dell’entrata in vigore del Codice novellato: questo potrebbe portare a un incremento di ispezioni e sanzioni.
