Sembrano appartenere ad un’altra epoca le preoccupazioni che, il 25 maggio di due anni fa, accompagnarono lo scadere del termine per l’adeguamento al regolamento UE 2016/679 sul trattamento dei dati personali, ormai celebre come GDPR.
Vi fu, come sempre in questi casi, una corsa a procurarsi documenti (spesso inutili), attestazioni (in carenza di alcuna disciplina sulle certificazioni), magiche formule di esperti talvolta improvvisati.
Una risposta, insomma, vi fu, ma generalmente tradizionalista e cartacea.
Eppure, come è stato sottolineato nel volume “GDPR. Il nuovo regolamento privacy. Istruzioni per l’uso”*, il GDPR era ed è uno strumento per lavorare con i dati, e non contro di essi. È stato il modo in cui l’Europa ha cercato di riscontrare le esigenze di un mondo nuovo in cui le imprese USA e cinesi godevano di privilegi, nel trattare le identità delle persone, impensabili nel nostro continente, e comunque salvaguardare il rispetto dei diritti fondamentali degli individui.
L’occasione è stata colta a metà e non certo per colpa delle imprese. C’è stata, in Italia, la discutibile scelta di salvare una parte del vecchio Codice privacy, nobile strumento cresciuto sotto le cure di Stefano Rodotà, ma ormai facente parte di un’epoca lontana, con inevitabili problemi di coordinamento e di chiarezza del sistema.
I temi dell’accountability e della privacy by default e by design, che avrebbero dovuto essere i fari del nuovo sistema di protezione dei dati sono stati visti con sospetto, quasi che attribuire all’impresa la libertà e la responsabilità di trattare le informazioni fosse un rischio eccessivo per le persone (quando i grandi operatori gestiscono ormai moli immense di dati anche sensibili, immessi nei sistemi dagli interessati stessi).
Un esempio di quanto si dice è rappresentato anche dal trattamento dei dati particolari dei lavoratori in questo periodo emergenziale: nonostante il GDPR fornisse tutte le basi e i criteri per far sì che gli imprenditori raccogliessero le informazioni necessarie al mantenimento della sicurezza sul posto di lavoro, le prime indicazioni (anche da parte del garante) sono state eccessivamente prudenti (v. articolo).
La pressione data dalla grave situazione ha poi chiarito meglio l’esigenza di trovare un bilanciamento tra contrasto al Covid-19 e tutela della riservatezza, e ad oggi sono molte e molto chiare le indicazioni che il Garante fornisce in ordine al comportamento che i datori di lavoro devono tenere (v. articolo).
Passata che sarà l’emergenza, si tornerà, sperabilmente, a parlare di dati non come beni pericolosi da trattare come esplosivi, come fonte di guadagno, anche nell’ambito del recap, da tempo auspicato, della direttiva e-privacy 2002/58/CE.
Si tratterà di un altro step che, auspicabilmente, comporterà la fine di ogni approccio formalistico al tema in favore di un capovolgimento della prospettiva a favore del lato imprenditoriale del tema: ormai da tempo i giuristi più lungimiranti hanno indirizzato i loro studi sul “diritto a trattare i dati” anche per finalità economiche, grazie agli strumenti tecnologici a disposizione.
Un tale diritto non è certo ostacolato dal GDPR, anzi: in tale norma sta la struttura per fare sì che l’attività economica prosegua nel rispetto della persona umana, secondo i principi di liceità, correttezza, trasparenza, finalizzazione, minimizzazione e granularità del trattamento. Occorrerà usare tutte le potenzialità che tale norma prevede e concede.
Ci troviamo di fronte ad un nuovo step, estremamente sfidante. Spetterà al legislatore (europeo e nazionale) fornire il quadro perché esso possa portare ad una effettiva e concorrenziale ripresa dell’area euro.
Avv. Giuseppe Colaiacomo
*Si ricorda che Confindustria Radio Televisioni – CRTV sul tema del GDPR ha pubblicato anche il volume “GDPR l’adeguamento interno D.Lgs. 101/2018”), edito da Confindustria Radio Televisioni in collaborazione con la LUISS.