di Luigi Beccaria* |
A partire dal mese di marzo del 2018 ho visitato quasi cento aziende, sparse in tutta la Lombardia, per raccogliere tutti i dati idonei ad effettuare il lavoro di “privacy compliance” reso necessario dall’entrata in vigore, il celeberrimo 25 maggio, del Regolamento Europeo n. 679/2016, più comunemente conosciuto come Gdpr (Global Data Protection Regulation).
Ho esperito ogni tipo di realtà, aziendale, ma anche sociale, sedendo in sale riunioni con tavoli in cristallo aventi la stessa metratura di un monolocale, ma anche stando in piedi nel piano interrato di una macelleria, ponendo i questionari stazionando in mezzo agli insaccati in una cella frigorifera.
Mi sono state predisposte, dalla vasta platea di clienti di volta in volta conosciuti, carte astrologiche personalizzate, mi sono state offerte birre alle dieci del mattino (che, a scanso di equivoci sulla mia professionalità, mi preme segnalare che ho rifiutato), ho assistito a eruzioni colleriche in dialetto milanese (con tanto di pugni battuti sul tavolo) indirizzate all’Unione Europa, e una volta anche alla scoperta in tempo reale da parte di una dipendente di essere stata ripresa da una telecamera fin dal momento dell’assunzione, risalente a vent’anni prima (non sto scherzando; ma, ad ogni modo, la situazione è stata regolarizzata).
Gdpr: una giusta regolamentazione per la protezione dei dati
La grande eterogeneità di contesti e situazione viste, al di là degli episodi folkloristici, ritengo mi possa porre nella posizione di esprimere alcuni giudizi in ordine alla “nuova” normativa e al recepimento che nel concreto la stessa ha avuto nelle diverse realtà imprenditoriali (almeno, dal peculiare angolo visuale di cui dispongo, comunque circoscritto al territorio del Nord Italia, e in particolare a quel Nord Italia produttivo della piccola e media impresa, soprattutto di provincia, che sta vedendo, suo malgrado, concludere la “luna di miele” con la Lega, migrata verso una politica maggiormente improntata verso l’assistenzialismo in ossequio al “contratto di governo” stipulato con il Movimento 5 Stelle).
Una cosa importante che dopo un po’ ho capito è che le finalità di fondo del Regolamento sono corrette; comprenderlo è stato un processo complesso, ma mai quanto far sì che le aziende ne divenissero consapevoli e che non lo intendessero come l’ennesimo, costoso e incomprensibile, vincolo burocratico di provenienza sovranazionale.
Quello che ho capito è che informare le controparti contrattuali in ordine alla tipologia dei trattamenti e alle modalità in cui gli stessi avvengono, al lasso di tempo in cui i dati vengono conservati e alle categorie di soggetti che potranno prenderne visione, è giusto, così come lo è approntare delle forme di protezione per i dati personali di altri soggetti che vengono trattati in ambito aziendale.
Nel necessario contemperamento tra le esigenze efficientistiche proprie di qualsiasi impresa, che vorrebbero ridurre al minimo le scartoffie e le lungaggini burocratiche per concentrarsi esclusivamente sul “lavoro” strictu sensu (e che, nel tentativo di riuscirci, pagano profumatamente professionisti di ogni formazione e ambito), e la necessità che si potrebbe definire “di ordine pubblico” di regolamentare i rapporti tra le imprese nel senso della sicurezza e della protezione delle persone fisiche che materialmente operano nel loro alveo, trovo complessivamente giusto (anche se spesso, per mere finalità empatiche con la variegata platea dei miei committenti, ho dovuto negarlo) che si spenda una certa quantità di tempo e di denaro per ottemperare agli obblighi previsti dal Regolamento.
Trovo anche complessivamente giusto che in un’economia sempre più integrata, e che (anche se ciò non appare unanimemente condiviso a livello politico) vorrebbe individuare la costituzione di un player internazionale – quello europeo – capace di reggere il confronto con altri giganti quale quello russo, cinese o americano, si decida di dettare, in tema di protezione dei dati personali e dei relativi standard e best practices, una disciplina e dei criteri di idoneità improntati a un’uniformità generale.
È certamente vero che viviamo in un’epoca storica – almeno nel mondo occidentale, in cui quasi ogni momento della nostra vita viene condiviso sui social network – che sembra aver posto il concetto di “riservatezza” (qualcuno direbbe anche quello di pudore) in un ruolo estremamente subordinato.
Ma è altrettanto vero che il legislatore deve essere in grado di indicare la strada alla collettività dei consociati, e non solo assecondare supinamente le consuetudini correnti, cristallizzandole normativamente.
In questo senso, una normativa comune indirizzata a proteggere a ogni livello (conservazione cartacea e telematica dei documenti contenenti dati “particolari”; adempimento di obblighi informativi; definizione di policies e organigrammi aziendali finalizzati alla protezione dei dati personali trattati in ambito aziendale), il tutto responsabilizzando le imprese, ha sicuramente senso.
Difetti e difficoltà del Gdpr
Allora perché la ricezione del Gdpr si è rivelata così difficoltosa? Quali sono i difetti strutturali, a mero livello di redazione del testo legislativo, che lo rendono di difficile accoglimento a livello di opinio juris sive necessitatis?
Il primo difetto che rilevo è l’eccessiva vaghezza che connota molte delle previsioni del Regolamento (ad esempio, che significa “trattamenti su larga scala”? Perché non dare un parametro quantitativo predeterminato?), che, combinata con il possibilmente pesante – e anch’esso molto vago – apparato sanzionatorio previsto, rischia di configurarsi (o comunque di essere percepito) come un modo per “fare cassa”, senza in realtà porsi quale effettivo mezzo di tutela per degli interessi o dei diritti dei soggetti interessati (come, a un livello molto più basso ma con la medesima ratio, avviene in quei Comuni che installano degli autovelox con limiti di velocità molto bassi su strade prive di attraversamenti pedonali e di qualsivoglia rischio per l’incolumità dei pedoni).
Il secondo difetto, strettamente connesso al primo, risiede nel concreto rischio che si faccia un utilizzo distorto delle norme (anche e soprattutto in virtù dell’assenza di criteri stringenti per l’applicazione delle sanzioni) che finisca col penalizzare le piccole imprese (che trattano, sostanzialmente, solo i dati anagrafici di clienti e fornitori per ragioni connesse all’attività di fatturazione, e i dati “particolari” dei lavoratori subordinati), trascurando le violazioni, ben più gravi e palesi, dei colossi che effettuano quotidianamente attività di profilazione e di individuazione delle preferenze dei miliardi di utenti che frequentano i loro server, guadagnando profitti immensi per questo.
Tale attività viene spesso ignorata, e comunque, anche qualora fossero irrogate le sanzioni, le stesse risulterebbero comunque “convenienti” rispetto ai profitti derivanti dall’esercizio di dette attività (come peraltro è già avvenuto).
Viceversa, per una piccola impresa, che dal trattamento dei dati non ha assolutamente nulla da guadagnare, una sanzione costituirebbe un costo secco, e, stante la diversità di approcci dei vari consulenti privacy (nella “terra di nessuno” si sono lanciati avvocati, informatici, esperti di sicurezza, commercialisti, consulenti di ogni tipo, talvolta anche in forma associata), un’eventuale trascurabile lacuna in una delle (spesso vaghe) previsioni del Gdpr – cui magari non corrisponde nemmeno un danno significativo – può comportare una sanzione che non potrà che essere percepita come ingiusta.
Criteri precisi e rimodulazione delle sanzioni
Tirando le fila del discorso, direi che il Gdpr persegue dei principi corretti e, allo stato dell’arte, li persegue con modalità complessivamente condivisibili (pensiamo anche ai diritti alla portabilità, alla cancellazione dei dati, ecc.); dovrebbe però, a mio avviso, essere ripensato nel senso di creare una diversità di disciplina molto più accentuata in funzione del volume aziendale e della natura dell’attività esercitata, e definire dei criteri più precisi, e con una rimodulazione più ragionata delle sanzioni.
* Luigi Beccaria è partner di Studio Elit e collabora con l’Università degli Studi di Milano
e con l’Università Cattolica del Sacro Cuore
