Cosa cambia da oggi con l'arrivo del GDPR. Parla Maurizio Mensi

L’Italia ha ancora qualche difficoltà con il Gdpr, la cui​ ​entrata in vigore è prevista oggi. ​E sebbene non sia corretto definire queste nuove norme rivoluzionarie, sono tanti i cambiamenti introdotti, con i quali imprese e istituzioni devono fare i conti. A spiegarlo in una conversazione con Cyber Affairs è Maurizio Mensi, professore alla Sna e alla Luiss Guido Carli e responsabile del @LawLab Luiss, che ​illustra le innovazioni contenute nel nuovo Regolamento Ue sulla Privacy, anche alla luce della sua esperienza ​presso il Servizio giuridico della Commissione europea​.​

Professor Mensi, che cosa cambia da oggi con l’entrata in vigore del Gdpr?

Il Gdpr è un regolamento generale in materia di protezione dei dati personali, destinato a costituire per i prossimi anni una sorta di testo unico di riferimento. Non è rivoluzionario, ma apporta ​rilevanti innovazioni rispetto alla direttiva 46 del 1995, di cui riprende gran parte de​l contenuto. In quanto regolamento non necessita di trasposizione e persegue l’obiettivo di armonizzare ​le regole vigenti, riducendo così i margini di manovra degli Stati membri, per consentire a cittadini ed imprese di ​disporre di un corpus uniforme di regole a livello europeo.

Basterà a contrastare abusi nei confronti dei dati degli utenti, come quelli visti nel recente caso Cambridge Analytica?

Il regolamento è il tassello principale di un mosaico articolato e composito, di cui fa parte la direttiva “enforcement”, relativa allo scambio di dati tra forze di polizia​,​ e la direttiva Pnr sui dati dei passeggeri aerei. A tutto ciò si aggiunge l’importante direttiva Nis in tema di cybersicurezza, anch’essa del 2016, che riguarda i fornitori di servizi digitali e gli operatori di servizi essenziali ​(Ose), trasposta in Italia qualche giorno fa​​. Insomma, ​ci troviamo nel bel mezzo di un cantiere normativo, a livello internazionale (con la revisione della convenzione del Consiglio d’Europa n. 108 del 1981 sul trattamento automatizzato dei dati personali), europeo (si attende a breve ​l’adozione anche del regolamento cosiddetto e-privacy ​in tema di comunicazioni elettroniche, ​destinato a sostituire la direttiva 58 del 2002) e nazionale.

Ma torniamo al Gdpr. Cosa ne pensa dei tempi nei quali è stato concepito?

La sua proposta risale al gennaio 2012. Approvato nel 2016, in realtà è già entrato in vigore, ma la sua applicazione è stata differita di due anni. Per certi aspetti nasce già datato, quanto meno per alcune sue previsioni.

Lo considera al passo coi tempi, dunque, o già obsoleto nei contenuti?

Il regolamento risponde all’esigenza di tener conto delle innovazioni tecnologiche, punta sulla responsabilizzazione dei vari attori coinvolti, rafforza i diritti dei cittadini/utenti, impone alle imprese di rivedere struttura organizzativa e modalità gestionali (il che si traduce in maggiore efficienza), rafforza il dispositivo sanzionatorio. Inoltre ha il grosso merito di rendere evidente lo stretto collegamento fra protezione dei dati personali e cyber sicurezza, due facce della stessa medaglia.

Ha citato la cyber security. Qual è il legame tra quest’altro tema così urgente e il Gdpr?

Al suo interno, l’articolo 32 è l’unica previsione che tratta espressamente di cyber security, ma la necessità di assicurare che ​le reti ed i sistemi su cui circolano i dati personali siano sicuri è il filo rosso conduttore di tutto il regolamento.

Quali sono, per le imprese, i vantaggi e quali i rischi derivanti dal nuovo Regolamento?

Vedo solo vantaggi per le imprese, a breve e lungo termine proprio perché – come dicevo – rispettarne le previsioni si traduce ​a​​​nche i​n maggiore efficienza.
Il testo individua e precisa una serie di diritti e doveri per utenti e imprese, i quali diventeranno sempre più consapevoli della necessità di gestire in modo responsabile i dati e attivarsi in caso di violazioni, con strumenti efficaci e di rapido utilizzo, abilitando al riguardo le autorità nazionali con importanti strumenti di intervento. Anche se gli obblighi previsti non riguardano tutte le imprese (è il caso, per esempio, della nomina del responsabile della protezione dei dati), quanto più l’impresa sarà in grado di dimostrare di aver adottato ​i meccanismi e ​le ​cautele ​ivi previste per proteggere i dati personali degli interessati, ​tanto meglio potrà difendersi in sede sanzionatoria. Occorre al riguardo ricordare che​,​ ​in caso di violazione, ​oltre a sanzioni rilevanti le imprese sono esposte ​sempre più ​alla richiesta di risarcimento dei danni patrimoniali e morali, a cui si aggiunge​ poi l’eventuale danno reputazionale. Tutto ciò spingerà certamente le imprese ad adeguarsi ​in fretta ​al nuovo sistema. Il regolamento, inoltre riprende, affinandolo, il meccanismo relativo allo scambio transfrontaliero di dati già previsto dall’art. 25 della direttiva 46 del 1995. Tale aspetto è di particolare importanza, come ben testimonia la vicenda relativa alla sentenza Schrems del 2015 e l’accordo ​sul Privacy Shield ​con gli Stati Uniti ​del 2016.

Il Gdpr pare segnare un cambiamento nell’approccio dell’Ue su questi temi. Non più prescrittivo, ma di indicazione, il che favorisce un aggiornamento continuo delle norme, necessario vista la velocità di quanto accade nel cyber spazio. Servono però grandi responsabilità e sensibilità culturale per stare al passo con le innovazioni. Pensa che i tempi siano maturi per un cambiamento simile?

La sensibilità su questi argomenti è massima: l’Ue sa perfettamente che un attore competitivo nel sistema internazionale deve disporre di un ​assetto normativo accurato e aggiornato, che si tratti di privacy o cyber security​. In questo​,​ il sistema anglosassone di Common Law basato sul precedente ​giurisprudenziale ​è risultato certamente più efficace, almeno finora.

L’Italia è ancora in ritardo nel recepimento del decreto privacy. Che cosa rischia il nostro Paese?

Il regolamento è già entrato in vigore da circa due anni, ancorché diventi applicabile soltanto a partire da oggi. Questo significa che ​tutti ​gli Stati membri hanno avuto due anni per ad​eguare il proprio sistema normativo e purtroppo noi siamo un po’ in ritardo.
Nell’ottobre del 2017 il nostro Parlamento ha approvato una legge delega per allineare​, ​con ​uno o più ​decret​i​ legislativ​i​ il codice privacy ​del 2003 ​e, con esso, l’intero sistema normativo nazionale ai contenuti del regolamento. Questo tuttavia non è ancora avvenuto, lo schema del decreto legislativo è ancora in corso di elaborazione e questo pone problemi rilevanti a partire da domani. Ciò comporta infatti la necessità di verificare caso per caso, in via interpretativa, quali previsioni del codice privacy sopravvivono e quali invece devono intendersi tacitamente abrogate.

Che tempi prevede?

L’intervento di attuazione è atteso per fine giugno, con la conseguenza che ancora per qualche settimana avremo a che fare con un codice privacy non aggiornato. ​In pratica ​ogni impresa s​arà tenuta ​per qualche tempo ​ad applicare le regole del regolamento ​dovendo continuare a considerare anche le norme del codice della privacy