Responsabilizzazione, flessibilità, armonizzazione europea: questi i cardini della nuove norme che dal 25 maggio sono entrate in vigore con il Regolamento Generale sul Trattamento dei Dati Personali (GDPR, UE N.2016/679) nell’intervento pubblicato da Soro nella giornata di entrata in vigore dello stesso. Il Garante ha sottolineato inoltre, fra le maggiori novità sottese a questo cambiamento di prospettiva: l’impostazione preventiva della tutela in un quadro di strategia aziendale complessiva, e la figura di garanzia del DPO. Si riportano alcuni estratti di interesse.
GDPR: inizio di un percorso. “Il nuovo quadro giuridico induce ciascuno degli operatori (Autorità, professionisti, aziende, amministrazioni, consumatori) a ripensare il proprio ruolo, a spingersi oltre la mera osservanza della norma, vissuta come adempimento burocratico. Si tratterà, naturalmente, di un mutamento che, proprio perché importante, non sarà istantaneo”.
“Esso si snoderà lungo un percorso che il Garante cercherà di guidare […] per consentire ad aziende e amministrazioni di stare al passo con l’innovazione e con le nuove sfide di un’economia fondata sui dati”.
UE, GDPR ma non solo. “Il pacchetto di riforme (regolamento generale di protezione dati assieme alla direttiva 680 sui trattamenti per fini di polizia e giustizia penale) rappresenta, infatti, la cornice normativa in cui si giocherà una delle sfide più importanti per i prossimi decenni: quella dell’effettività del diritto fondamentale alla protezione dei dati personali”.
Si ricorda anche che è in itinere alla UE un altro dossier collegato al GDPR relativo alla revisione della cosiddetta direttiva e-privacy, che riguarda il trattamento dei dati personali nel settore delle comunicazioni elettroniche: i temi di particolare rilievo per il settore radiotelevisivo includono, fra gli altri, il consenso mediante browser, il tracking, anche cross-device e l’accesso condizionato. CRTV non mancherà di presidiare questo ambito all’intero del gruppo di lavoro interno dedicato al tema.
Estensione a società estere e multinazionali digitali. “ll Regolamento potrà applicarsi anche a trattamenti svolti da aziende situate all’estero, che offrano servizi o profilino cittadini europei, includendo così nel suo raggio di azione anche i grandi attori dell’economia digitale che hanno sinora operato in un regime assai prossimo all’autodichia, in virtù della loro attrazione in ordinamenti più inclini a far prevalere le ragioni del mercato e della libera iniziativa economica sui diritti individuali”.
Semplificazione per PMI. “Un impegno essenziale sarà quello di bilanciare le esigenze di tutela con le istanze di semplificazione, che il legislatore nazionale valorizza, negli spazi concessigli, in particolare per le micro, piccole e medie imprese di cui è prevalentemente composto il nostro tessuto imprenditoriale, ammettendo in questo campo interventi semplificatori del Garante”.
Illiceità del trattamento e sanzioni. “A fronte di illiceità nel trattamento, il ventaglio delle misure suscettibili di adozione da parte del Garante si articola notevolmente: la sanzione amministrativa pecuniaria sarà applicata secondo l’approccio gradualistico previsto dalle nuove norme, laddove cioè le misure inibitorie e prescrittive non si ritengano sufficienti, soprattutto in termini preventivi”.
“Il modello risarcitorio segue il criterio (già noto al Codice) della responsabilità oggettiva – particolarmente garantista per il danneggiato – e comprende il danno patrimoniale e non”.
Aggiornamento con diritto alla portabilità e all’oblio. “Adeguando le norme alla realtà tecnologica, il diritto alla protezione dati risulta straordinariamente arricchito, anche di implicazioni nuove quali il diritto alla portabilità -che consente di ricomporre le tessere del mosaico del nostro io digitale, proteggendo anche la concorrenza da fenomeni di “lock-in” – e l’oblio: equilibrio tra storia individuale e memoria collettiva”.
DPO, centralità di ruolo e funzione. Nelle parole di Soro il Data Protection Officer (DPO) è la” figura da cui dipende la “scommessa” dell’accountability, la capacità cioè di fare della protezione dati non tanto un onere legale da assolvere quanto un elemento di vantaggio competitivo su cui puntare per reggere alle sfide di un mercato sempre più fondato sui dati, dei quali è quindi indispensabile assicurare protezione, qualità, esattezza, sicurezza”.
Del DPO il Garante sottolinea la funzione centrale, anzitutto sotto il profilo dell’organizzazione aziendale (strategie), da cui discende la necessità di non versare in condizioni di conflitto di interesse ,“concorrendo ad esempio (in ragione di funzioni ulteriori che ricopra), alla determinazione dei fini o delle modalità del trattamento”; e la funzione di garanzia rilevante “anche, per certi versi, sotto il profilo pubblicistico, nella misura in cui deve assicurare la tutela dei dati dei cittadini, fungendo da referente tanto per gli interessati quanto per il Garante”.
Responsabilizzazione (accountability). “L’ accountability rappresenta l’architrave della nuova disciplina” commenta Soro al punto che “la stessa violazione del principio di responsabilizzazione (anche nella forma dell’impossibilità di dimostrazione delle misure adottate per garantire un livello elevato di protezione) integra, al pari dell’inottemperanza agli altri principi, gli estremi di un autonomo illecito amministrativo, per il quale è prevista la sanzione più grave, sino a 20.000 euro o al 4% del fatturato annuo globale”.
Il Presidio di CRTV, GDPR ma non solo. CRTV ha aperto il cantiere di lavoro sull’adeguamento del settore al GDPR con una prima pubblicazione sulle linee interpretative del Regolamento e del suo rapporto con la disciplina vigente in Italia nelle more (e le pieghe) della normativa di adeguamento: primaria, lo schema di decreto legislativo di attuazione del regolamento, attualmente all’esame del Parlamento, Commissione Speciale per l’esame di atti del governo (AG22), sul quale Confindustria Radio Televisioni è stata audita in Senato; secondaria, i provvedimenti ad opera del Garante, previsti in varie aree fra cui i codici di condotta di settore.
Il principio di accountability, in funzione della sua flessibilità, potrebbe ispirare anche altre normative europee cruciali per il settore radiotelevisivo e audiovisivo più ampio – fra cui ad es. copyright, AVMS, e-privacy, fake news – purché legato a strumenti di garanzia della trasparenza, di condivisione e di monitoraggio dell’efficacia in un’ottica di level playing field . CRTV continuerà a battersi in tutte le sedi istituzionali, italiane ed UE, sull’urgenza di operare per ristabilire l’equità e per impedire che si creino nuovi vantaggi competitivi nelle aree di sviluppo per le multinazionali del web (es. intelligenza artificiale).