1. Introduzione
Il Regolamento UE 2016/679 (c.d. GDPR) è stato redatto con lo scopo di armonizzare la disciplina normativa dell’Unione Europea sul trattamento e sulla protezione dei dati personali, secondo un’impostazione almeno in via di ipotesi capace di dare risposta alle esigenze della c.d. era digitale, contribuendo a rafforzare, da un lato, la tutela dei diritti delle persone e, dall’altro, lo sviluppo delle nuove forme di economia.
La scelta del legislatore europeo è quella di concedere, in materia, maggiori misure di tutela agli interessati attraverso l’adozione di un sistema di c.d. enforced self-regulation: tale approccio, che poggia sul principio di accountability, è stato utilizzato inter alia al fine di (i) incoraggiare i titolari del trattamento di dati personali ad adottare misure tecniche ed organizzative più efficaci per garantire la protezione di tali dati, e (ii) rafforzare un processo virtuoso tra i titolari stessi nello svolgimento della loro attività di trattamento dei dati.
2. Self-regulation e responsabilità
Al fine dell’esame che si conduce è necessario, in via preliminare, comprendere – e così a monte definire – la nozione di self-regulation nel GDPR. Questa può essere individuata come la possibilità per gli operatori economici di adottare in autonomia delle linee-guida per regolare la propria attività: ne sono un esempio l’art. 24 del citato Regolamento, oltre che la previsione di sistemi come l’elaborazione di codici di condotta o di binding corporate rules, tipici del modello di self-regulation.
La regolamentazione in esame è enforced: il Regolamento dispone infatti che i titolari godono di libertà di scelta su modalità e strumenti con i quali trattare e proteggere i dati, in base alla loro organizzazione, ma sempre in ottemperanza ai princìpi generali, all’esercizio dei diritti dell’interessato, al controllo delle relative Autorità, e comunque in conformità con tutte le altre disposizioni (anche nazionali) vigenti, pena onerosissime sanzioni pecuniarie.
A tal fine è stata necessaria l’introduzione del principio di accountability[1], secondo il quale il titolare è il primo “responsabile” del trattamento: in altri termini, il titolare deve essere in grado di dimostrare di aver valutato e quindi adottato misure tecniche, organizzative, patrimoniali, giuridiche, per il rispetto dei diritti e la sicurezza dei dati in ogni singola fase del trattamento[2].
In conclusione, il principio di accountability è l’elemento necessario alla enforced self-regulation per rendere più efficaci le misure adottate dai titolari del trattamento e garantire maggiore protezione dei dati personali.
3. Self-regulation, mercato ed enforcement
A valle di quanto sopra, risulta interessante considerare quali siano le ragioni per cui il legislatore europeo abbia scelto questo sistema piuttosto che uno basato unicamente sul mercato (v. infra), una self-regulation pura o un sistema di sola enforcement. Un inquadramento della questione, quantomeno per sommi capi, pare più che mai opportuno.
In un modello basato unicamente sul mercato, gli interessi delle società volti a proteggere la privacy dei consumatori sarebbero di natura puramente finanziaria[3] e di conseguenza parrebbe messa “in secondo piano” l’esigenza di tutela e difesa del cliente. Vero è, tuttavia, che i clienti sono incentivati a scegliere una società cui affidare i propri dati in base alle privacy policies e, ovviamente, tendono a evitare società che “subiscono” (quantomeno per carenza di adeguate procedure) frequenti violazioni di dati o non garantiscono adeguati standard di sicurezza[4]. Su quest’ultimo punto, il recente caso di Facebook e Cambridge Analytica[5] è esemplificativo (anche alla luce dell’andamento sul mercato azionario del celebre social network subito in seguito dello scandalo).
La privacy può essere quindi un fattore che induce il consumatore ad operare una scelta di mercato a favore di una società piuttosto che un’altra: ciò comporta che una società possa anche aumentare i profitti migliorando la propria reputazione sulla protezione dei dati personali (basti pensare al più evidente esempio delle banche svizzere).
È bene precisare che il modello c.d. di mercato presenta tuttavia alcuni limiti: a titolo esemplificativo e non esaustivo, si pensi che più i consumatori effettuano delle scelte basate sulle preferenze delle privacy policies, più tale scelta (e dunque il mercato) influisce sulle scelte societarie, tenendo meno in considerazioni altri fattori (come quelli etici). Un secondo limite deriva dalla pubblicità delle attività delle società, poiché i consumatori possono scegliere la società che più si adatta alle loro preferenze e questo fa sì che le privacy policies siano sempre più adeguate alle preferenze dei consumatori[6].
Tale modello, inoltre, incontra ulteriori criticità, ad esempio dal punto di vista dei costi e degli sforzi che i consumatori devono affrontare per comprendere le privacy policies e per accertarsi che i titolari vi si adeguino realmente: ne consegue che l’inefficacia del controllo effettuato dai consumatori possa portare ad un abuso del trattamento dei dati. Se i consumatori sono incapaci di rilevare abusi e non riescono a comprendere le attività di trattamento dei dati, la reputazione delle aziende non ne risente e le società hanno un incentivo ad utilizzare le informazioni in modo scorretto[7]. Il GDPR, in questo senso, ha tentato di porvi rimedio con l’art. 12, con il quale dispone che "il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro" e con gli artt. 33-34, relativi alla comunicazione di data breach.
Un punto di vantaggio del mercato è che esso possiede una componente dinamica nella quale sia le preferenze dei consumatori sia le attività delle società possono evolversi nel tempo man mano che la consapevolezza dei problemi pertinenti la privacy aumenta (come sta accadendo ora con il GDPR).
3.1. Segue. Il modello di puroenforcement
Il modello di puro enforcement presenta una struttura diametralmente opposta, presupponendo che l’andamento del mercato sia totalmente inefficace nel proteggere la privacy poiché regolato interamente da disposizioni legislative.
Anche il modello di enforcement, tuttavia, presenta alcune criticità, quali a titolo esemplificativo e non esaustivo il lobbying e gli elevati costi che derivano dal necessario ricorso all’Autorità giudiziaria, oltreché in termini di compliance. Profilo, quest’ultimo, particolarmente delicato, posto che – come già osservato da alcuni commentatori – nel modello in esame tutte le società devono adeguarsi identicamente alla normativa di riferimento. Inoltre, le disposizioni legislative potrebbero consentire il trattamento di dati che i cittadini non vorrebbero o, viceversa, vietare il trattamento di dati a cui taluni acconsentirebbero[8]. Il modello di puro enforcement e la rigidità delle leggi inoltre potrebbero non “stare al passo” con i tempi: oggi, con il progresso delle nuove tecnologie, anche l’utilizzo dei dati è soggetto a rapidi cambiamenti, così come i sistemi per proteggerli.
3.2. Segue. L’ambito operativo e la self-regulation
Tanto i modelli che si basano unicamente sul mercato quanto quelli che si fondano sull’enforcement presentano problemi di natura operativa: un approccio per regolare la protezione dei dati attraverso la self-regulation invece può dare buoni risultati, specialmente se combinato con gli altri modelli, al fine di creare un sistema ibrido e funzionante. La self-regulation può permettere, infatti, di aumentare gli standard qualitativi delle società concorrenti nel mercato, ma anche la consapevolezza dell’importanza della data protection; può inoltre promuovere la reputazione delle società e creare un circolo virtuoso che va a beneficio dei cittadini.
Ai vantaggi che può offrire la self-regulation si affiancano, tuttavia, anche alcune problematiche di non minor spessore: la semplice self-regulation, infatti, può essere utile alle società titolari del trattamento ma danneggiare i consumatori, e per questo è importante prevedere che, per proteggere i dati personali, la self-regulation non sia creata da tali soggetti solo per i propri benefici, ma è opportuno creare un sistema sanzionatorio per tutelare i cittadini, un enforcement come è stato previsto con il GDPR.
Alla luce di queste considerazioni, la scelta del Legislatore Europeo è stata quella di una enforced self-regulation, sistema efficace che permetterebbe di trarre vantaggi da più modelli. Ad esempio, esso permette di rimanere al passo con i tempi dell’evoluzione tecnologica, consente ai titolari del trattamento di scegliere autonomamente come proteggere i dati personalie aumenta la loro capacità di fornire standard tecnici sempre più elevati, sempre ottemperando alle disposizioni vigenti ma utilizzando misure di sicurezza a loro discrezione.
4. Conclusioni: il GDPR come regolamento relativo alla libera circolazione di dati personali
L’autoregolamentazione enforced del Regolamento, oltre ad aver sensibilizzato l’opinione pubblica sulla complessità del trattamento dei dati personali, ha creato più consapevolezza, nei cittadini e nelle società che trattano informazioni, sul fatto che i dati personali dovranno, da ora in poi, essere “gestiti” con migliori garanzie. A tal fine, il GDPR ha posto un preciso set di obblighi e responsabilità sui titolari del trattamento, con conseguenti ricadute positive anche in termini di “fiducia” dei cittadini nel funzionamento e nella trasparenza del sistema.
La fiducia, in particolare, è assai rilevante nel mercato online, poiché facilita il trasferimento di informazioni dei consumatori ai rivenditori: la poca chiarezza del mondo digitale inficia, di contro, negativamente i rapporti commerciale, invogliando il consumatore/interessato del trattamento ad evitare di fornire proprie informazioni personali al fine di eludere la possibilità che esse siano indebitamente utilizzate o "vendute".
A fronte delle considerazioni brevemente esposte, l’approccio di enforced self-regulation sembra essere un’adeguata soluzione sia per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, sia per libera circolazione di tali dati. Ferma restando, ovviamente, l’applicazione pratica che verrà fatta nel tempo dagli operatori intenti a confrontarsi con un sistema innovativo e non privo di criticità.
[1] Tale principio di responsabilità, a ben vedere, era già stato introdotto dalla Direttiva 1995/46 e dalla Direttiva 2009/136. Anche il Gruppo di Lavoro Articolo 29 (nel “Parere 3/2010 sul principio di responsabilità”) si era espresso sul principio di accountabilitysostenendo che lo sviluppo di nuove tecnologie e la costante globalizzazione dell’economia e della società avessero condotto ad una proliferazione di dati personali raccolti, selezionati, trasferiti o altrimenti conservati: i rischi connessi a tali dati, pertanto, si sarebbero moltiplicati e, conseguentemente all’aumento sia dei rischi sia del valore dei dati personali in sé, era necessario rafforzare il ruolo e la responsabilità dei titolari del trattamento.
[2] Il Regolamento, in particolare, include una serie di disposizioni (artt. 24, 25, 32, 35) che configurano strumenti necessari per incoraggiare i titolari del trattamento ad applicare misure appropriate ed efficaci per concretizzare la protezione dei dati, prevedendo nel principio di responsabilità un metodo per rafforzare il ruolo del titolare del trattamento e obbligarlo ad adottare misure adeguate alle specifiche circostanze. Già il Working Party Article 29, nel Parere 3/2010, affermava inoltre che l’idoneità delle misure dovrebbe essere decisa caso per caso: ad esempio l’elaborazione di politiche e procedure interne di attuazione dei princìpi (procedure per gestire le richieste di accesso) potrebbe costituire un esempio di misure appropriate solo per alcuni trattamenti di dati. Si osserva infatti che le misure specifiche da applicare «devono essere determinate in funzione dei fatti e delle circostanze di ciascun caso specifico, con particolare attenzione al rischio inerente al trattamento e al tipo di dati», con il rischio che «un approccio uguale per tutti avrebbe il solo effetto di costringere i titolari del trattamento all’interno di strutture inadatte e si rivelerebbe quindi fallimentare».
[3] Swire P. P., "Markets, Self-Regulation, and Government Enforcement in the Protection of Personal Information", in Privacy and Self-Regulation in the Information Age by the U.S. Department of Commerce, available athttp://ssrn.com/abstract=11472
[4] Swire P. P., op. cit.
[5] In breve, la vicenda ha visto coinvolta la società statunitense "Cambridge Analytica", il cui core business consiste nella raccolta di dati personali per creare profili psicologici di utenti, da usare per campagne di marketing specificamente impostate sui medesimi. Facebook, in tale contesto, è stato accusato di aver reso possibile la illegittima raccolta da parte di Cambridge Analytica di dati personali dal social network, nascondendo (o quantomeno sottovalutando) tale attività.
[6] Swire P. P., op. cit.
[7] Swire P. P., op. cit.
[8] Swire P. P., op. cit.
