Regole privacy UE, adeguarsi è possibile (e necessario): grazie ai codici di condotta

Il Regolamento europeo sulla protezione dei dati (GDPR) costituisce indubbiamente, sotto molti aspetti, un passo in avanti rispetto alle vigenti normative sulla Privacy, figlie della direttiva UE del 1995.

Guarda più alla sostanza che alla forma, si concentra sulle finalità e lascia più libertà sulle modalità con cui quelle finalità devono essere perseguite. A questo proposito si sono, in effetti, spese molte parole sull’approccio basato sulla accountability del Titolare – tradotta in italiano con il termine responsabilità che però esprime solo parzialmente il concetto – in contrapposizione all’approccio “compilativo” a cui siamo abituati.

D’altra parte, difficilmente un ambito in costante vorticosa trasformazione può essere normato con prescrizioni rigide, fatalmente legate a una stagione e a un contesto tecnologico ben definiti e conseguentemente destinate a diventare obsolete assai velocemente.

Tabella 1- Imprese per classe di addetti in Italia

Tutto giusto. Il risultato netto, però, è che, per il Titolare che intenda porsi l’obiettivo della compliance, la sfida diventa più complessa. Non è solo un problema di costi quanto, soprattutto, un problema di spessore organizzativo e di cultura aziendale di cui disporre per potersi assumere il grado, rilevante, di accountability richiesto dal GDPR: un tema che non può essere superato del tutto neanche con il ricorso a consulenti esterni competentissimi. Se si guarda la Tabella 1, infatti, il quadro del contesto italiano appare subito problematico: le aziende con più di 250 addetti sono lo 0,08% del totale: 3602 soggetti. Se poi si dovesse suddividere questo sottoinsieme per classi a grana più fine, si scoprirebbe, verosimilmente, che la grande maggioranza di queste 3602 imprese si colloca fra 250 e 500 addetti. Un’analoga analisi per il settore pubblico porta alle stesse conclusioni (vedi Tabella 2): dei quasi 8000 comuni d’Italia, solo 520 superano i ventimila abitanti e solo 12 (0,15%) i 250 mila. Se poi si estende l’analisi alle scuole che da quest’anno utilizzano registri elettronici accessibili direttamente anche dalle famiglie, alle strutture sanitarie di diverso tipo le conclusioni non possono che essere le stesse e raccontare l’estrema frammentazione del tessuto sociale ed economico del Paese.

Tabella 2 Comuni per classi di popolazione

E’ allora lecito domandarsi quanti di questi titolari saranno in grado, realisticamente, di farsi carico dell’applicazione del regolamento. Verosimilmente, senza interventi ulteriori, è ragionevole prevedere che il GDPR sarà una questione che riguarderà solo le grandissime imprese (lo 0,01%?) e, prevalentemente, in alcuni settori: banche, telecomunicazioni, sanità. Poi, i grandi enti centrali della PA, le Regioni e una estrema minoranza di grandi Comuni. E’ accettabile? Ci sono alternative percorribili per cambiare, almeno in parte questa prospettiva?

Indubbiamente, la suddetta prospettiva corrisponde all’esperienza dell’applicazione del Codice Privacy vigente e, dunque, si potrebbe sostenere che non cambia niente, inutile farsene un cruccio. Il problema è che, rispetto a tredici anni, fa è cambiato tutto il contesto al contorno. Allora non si parlava di cloud né di big data, l’I-phone era ancora nascosto nelle strategie di Cupertino, Facebook, Whatsapp, Dropbox sconosciuti; le auto non avevano a bordo scatole che tracciano i comportamenti del guidatore e i percorsi che fa, non c’erano braccialetti o orologi in grado di rilevare e condividere i nostri battiti cardiaci o la pressione del sangue e così via. Il grado di interconnessione dell’economia e della società, tra ieri e oggi, non è confrontabile.

Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati. E’ l’intera infrastruttura interconnessa di 4.442.452 imprese, degli ottomila Comuni, delle scuole e degli operatori della sanità che, seppur con gradi ed intensità anche molto diversi, deve essere posta in sicurezza e garantire la protezione dei dati. Il legislatore ne era, evidentemente consapevole e il GDPR si pone esplicitamente questo problema, indicando qualche strada per venirne a capo. Una di queste porta a due articoli – 40 e 41 – facilmente trascurabili nella vastità del regolamento ma rilevanti: prevedono la possibilità di redigere dei Codici di Condotta, specializzati per settori omogenei di impresa, che descrivano il modo in cui le aziende del settore devono agire per essere conformi.

La Pubblica Amministrazione non è citata espressamente tra i target dagli articoli citati ma il modello attuativo può ben applicarsi anche a quel contesto, pur con gli opportuni aggiustamenti. Approfondiamo innanzitutto quanto riguarda le imprese. L’articolo 40 del GDPR prevede che i Codici di condotta siano sviluppati dalle associazioni di categoria che rappresentano gli specifici settori di impresa e siano quindi approvati dal Garante nazionale, se di rilevanza solo nazionale, da quello europeo se di validità continentale.

Il problema è che, rispetto a tredici anni, fa è cambiato tutto il contesto al contorno. Allora non si parlava di cloud né di big data, l’I-phone era ancora nascosto nelle strategie di Cupertino, Facebook, Whatsapp, Dropbox sconosciuti; le auto non avevano a bordo scatole che tracciano i comportamenti del guidatore e i percorsi che fa, non c’erano braccialetti o orologi in grado di rilevare e condividere i nostri battiti cardiaci o la pressione del sangue e così via. Il grado di interconnessione dell’economia e della società, tra ieri e oggi, non è confrontabile. Nel contesto attuale e in quello di un futuro prevedibile non è più sostenibile che sicurezza e tutela dei dati personali siano un affare per pochi perché il loro trattamento coinvolge, di fatto, molti soggetti, grandi e piccoli, in Italia, in Europa e nel mondo. Non c’è una relazione che leghi la dimensione aziendale con la quantità e la criticità dei dati trattati.

E’ l’intera infrastruttura interconnessa di 4.442.452 imprese, degli ottomila Comuni, delle scuole e degli operatori della sanità che, seppur con gradi ed intensità anche molto diversi, deve essere posta in sicurezza e garantire la protezione dei dati. Il legislatore ne era, evidentemente consapevole e il GDPR si pone esplicitamente questo problema, indicando qualche strada per venirne a capo. Una di queste porta a due articoli – 40 e 41 – facilmente trascurabili nella vastità del regolamento ma rilevanti: prevedono la possibilità di redigere dei Codici di Condotta, specializzati per settori omogenei di impresa, che descrivano il modo in cui le aziende del settore devono agire per essere conformi. La Pubblica Amministrazione non è citata espressamente tra i target dagli articoli citati ma il modello attuativo può ben applicarsi anche a quel contesto, pur con gli opportuni aggiustamenti. Approfondiamo innanzitutto quanto riguarda le imprese. L’articolo 40 del GDPR prevede che i Codici di condotta siano sviluppati dalle associazioni di categoria che rappresentano gli specifici settori di impresa e siano quindi approvati dal Garante nazionale, se di rilevanza solo nazionale, da quello europeo se di validità continentale. L’adesione ad un Codice di Condotta approvato costituisce, in buona sostanza, un esimente rispetto alla conformità alla norma. Molti articoli del GDPR, infatti, contengono un comma dedicato a sancire proprio questo aspetto. Un esempio, relativo alla responsabilità del Titolare, è riportato in Figura 1 ma commi analoghi sono presenti in altri 9 articoli e il tema è ripreso in sei “considerando”. L’effettiva applicazione del Codice di Condotta, da parte del Titolare è sottoposta a verifica da parte di soggetti qualificati e accreditati dal Garante. Il contenuto del Codice di Condotta può riguardare tutti gli articoli rilevanti: dalla informativa e dalla raccolta del consenso fino alla sicurezza, al trasferimento di dati all’estero e alle procedure stragiudiziali per la composizione delle controversie. Per un Titolare, aderire al codice di condotta redatto per la categoria di operatori a cui appartiene, presenta diversi vantaggi:

1. La possibilità, per il tramite della propria associazione di categoria, di suddividere l’analisi delle esigenze fra molti operatori omogenei consente di ridurre in modo significativo i costi ed anche l’impatto sulla organizzazione aziendale.
2. E’ possibile sviluppare l’analisi con una profondità ed una qualità che non sarebbero giustificate in caso di interventi finalizzati ad un singolo operatore, anche se di grandi dimensioni.
3. Si riduce il rischio compliance, sia dovuto a sanzioni, sia derivante da cause civili, essendo l’adesione al codice un esimente riconosciuto dal GDPR e il codice stesso uno strumento approvato dall’autorità di controllo.
4. L’adesione al codice di condotta qualifica il Titolare nel suo rapporto con gli interessati, che siano dipendenti, partner o clienti finali.
5. Le politiche da attuare per la tutela dei dati personali sono molto simili a quelle destinate alla tutela dei dati aziendali: le best practices relative al GDPR e le tecnologie ad esse associate potranno essere applicate anche per la tutela degli asset informativi aziendali, riducendo il costo della messa in sicurezza di questi ultimi.

I codici di condotta, secondo il modello rappresentato in Figura 2 possono, dunque, indicare una strada da esplorare per consentire l’effettiva ed efficace attuazione del regolamento anche ad operatori che per dimensione o tipologia di business sarebbero altrimenti naturalmente indotti ad un comportamento elusivo o ad un adempimento solo formale e, in definitiva, inutile. La compliance sostenibile è, quindi, possibile.

Figura 2 – Codici di condotta

Perché questo accada è determinante il ruolo e l’iniziativa delle associazioni di impresa. A loro il regolamento assegna il potere di iniziativa, lasciando alle autorità di controllo il compito di incoraggiare e, poi, approvare il prodotto del lavoro delle associazioni. Anche questo è un dettaglio non secondario: i tempi di attuazione di questa nuova forma di soft law sono posti dal GDPR in mani private, sottratte ai vincoli burocratici ed ai limiti operativi dei soggetti pubblici. Per le associazioni si apre una nuova frontiera di attività a valore aggiunto che le proietta nel contesto attuale e nelle sfide che lo caratterizzano.

La compliance, come la sicurezza, è, in prima battuta, una attività pre-competitiva obbligatoria e, dunque, rientra a pieno titolo nella competenza delle associazioni di impresa. Ridurre i costi e, in generale, gli oneri della compliance per le PMI contribuirà a renderle competitive in un contesto globale in cui compliance e sicurezza saranno sempre più requisiti fondamentali per l’accesso al mercato, portando l’incidenza di questi costi sul fatturato a proporzioni più simili a quelle della grande impresa.

Per i tantissimi Comuni che non dispongono internamente di competenze specifiche questo approccio potrebbe consentire di cogliere contemporaneamente l’obiettivo di tutelare i dati personali dei cittadini e quello di contenere i costi. Per le scuole, che fino ad oggi hanno contenuto il problema della tutela dei dati personali nell’adeguamento di alcune prassi operative ma che non hanno nessuna capacità tecnica né risorse per dotarsene, i codici di condotta potrebbero essere l’unica via per non ignorare del tutto i rischi che la progressiva esposizione in rete della loro attività comporta. Naturalmente, molti aspetti rimangono da definire e molte incognite da risolvere. Prima di tutto bisognerà capire se sia possibile sviluppare un modello di business che risponda in modo economicamente sostenibile agli interessi di tutte le parti coinvolte: le associazioni, le imprese, i fornitori di servizi e tecnologie, le autorità di controllo. Sarà poi necessaria un’azione verso le imprese perché l’opportunità sia apprezzata e condivisa. Ad aiutare, in questa non semplice attività, ci saranno, da un lato l’accresciuta consapevolezza degli imprenditori della rilevanza di questi temi e, dall’altro, la contemporanea spinta di molte altre normative o standard industriali che si muovono nella stessa direzione del GDPR: da PSD2 a PCI-DSS. Su questi temi il 14 ottobre 2016 si è svolta a Roma una giornata di approfondimento promossa da Clusit ed Europrivacy.info con la partecipazione di molte associazioni d’impresa e del dipartimento realtà economiche e produttive dell’autorità Garante per la protezione dei dati personali di cui darò conto in un prossimo intervento.