A circa un anno di distanza dal termine ultimo di applicazione necessaria del Regolamento (UE) 2016/679, quali riflessioni avanzano le imprese e i consulenti? E quale il punto di vista del Garante per la protezione dei dati personali? La necessità di confronto con l’autorità di controllo è stata infatti manifestata da numerose imprese del settore privato e si è tradotta in un appuntamento, dal titolo “La privacy nel settore privato”, promosso dall’Unione giuristi per l’impresa (Ugi), l’associazione nata lo scorso febbraio, con la partecipazione di Andrea D'Agostino, senior legal counsel e responsabile privacy, Ugo Ettore Di Stefano, general counsel e Dpo e Luca Barlassina, senior legal M&a counsel, di Mondadori. L’evento è stato patrocinato dallo stesso Garante per la protezione dei dati personali. L’incontro, svoltosi lo scorso 9 aprile nella sala valente del Tribunale di Milano, è stato realizzato con la collaborazione di Dentons, Gianni Origoni Grippo Cappelli, PwC TLS, Previti, White & Case.
L’aspetto sottovalutato
Durante il dibattito è emerso come sia passato in un certo senso inosservato agli operatori uno degli aspetti più importanti del Gdpr: l’aspetto cross-boarder che nel lungo periodo si rivelerà fra i più significativi. Il Gdpr consente infatti alle multinazionali di gestire i trattamenti di dati in un’ottica europea, e non più solo nazionale. «Si tratta della risposta ad un problema seriamente avvertito — ha commentato con TopLegal Daniele Vecchi, partner dello studio Gianni Origoni Grippo Cappelli —, la difficoltà, e talvolta l’impossibilità, di offrire il medesimo servizio in tutta la Ue, a causa delle diverse regole di privacy vigenti dei vari Paesi. Questo non solo comportava per le imprese costi aggiuntivi (poi inevitabilmente a carico dei clienti), a causa della necessità di modificare localmente, e maggiori rischi di contenzioso e sanzioni, ma anche per le imprese e i consumatori la difficoltà di ottenere servizi invece disponibili in altri Paesi, e per il “sistema Paese” l’impossibilità di avere servizi svolti localmente, con le società costrette a fuggire in paesi con legislazione o autorità “business friendly”». Il Gdpr ha affrontato il problema con diversi strumenti, in primo luogo introducendo una uniforme base legislativa, e poi con meccanismi nuovi quali il principio dello sportello unico, i meccanismi di coerenza e il principi di cooperazione fra le varie autorità nazionali. «È troppo presto — ha concluso Vecchi — per valutare l’effettiva efficacia di tali innovativi strumenti, ma il successo del Gdpr si valuterà anche da questo aspetto».
Controlli tra diritti e doveri
I lavori hanno altresì permesso di ascoltare i punti di vista di chi affianca i propri clienti nelle fasi ispettive e di chi, invece, conduce la fase ispettiva. Il Colonnello Marco Menegazzo della Guarda di Finanza (nucleo privacy) ha infatti affrontato il delicato tema delicato delle ispezioni dell’autorità di controllo e le sanzioni previste dal Regolamento (UE) 2016/679. Per le imprese, che hanno diritti e doversi nel corso delle ispezioni delle autorità di controllo, risulta fondamentale essere preparate a gestire in maniera appropriata queste situazioni, che, come ha messo in luce Veronica Pinotti, partner di White & Case, se non affrontate correttamente, possono avere conseguenze molto negative (per, sanzioni, disturbo della normale attività dell’impresa, compromissione del prosieguo dell’istruttoria avviata dall’autorità di controllo). «Il nuovo approccio orientato alla responsabilizzazione — ha spiegato a TopLegal Pinotti — impone alle imprese di rendere documentabili le scelte fatte in merito alle misure tecniche ed organizzative adottate ai fini dell’osservanza della nuova disciplina a tutela della privacy. Le autorità di controllo, incluso il Garante italiano, sono state dotate di maggiori risorse sia finanziarie che di personale, al fine di poter verificare la correttezza di tali scelte, ad esempio, mediante richieste d’informazioni o attività ispettiva improvvisa con l’intervento del nucleo specializzato per la privacy della Guardia di Finanza». Pinotti nel corso dell’intervento ho infatti anche analizzato tra i vari aspetti anche i poteri sempre più invasivi e con metodi digitali molto sofisticati di cui godono le autorità di controllo. L’obiettivo dell’impresa deve essere adottare le migliori pratiche per minimizzare i rischi e gestire in maniera efficiente queste situazioni esercitando al massimo il proprio diritto di difesa pur rispettando gli obblighi procedurali imposti dalle normative in vigore.
Il ruolo del Dpo
Tra gli altri temi trattati nel convegno, che si è articolato in due sessioni, una al mattino e una al pomeriggio, l’evoluzione dello scenario normativo e il ruolo della figura di Dpo (Data protection officer). Augusta Iannini, vice presidente del Garante per la Protezione dei Dati Personali, ha fornito il proprio punto di vista su come la “privacy” è cambiata negli ultimi anni e come l’autorità di controllo ha iniziato ad attrezzarsi per affrontare il nuovo modus pensandi et operandi che ruota attorno al principio dell’accountability. Partendo da questo principio Andrea d’Agostino ha in dicato come un gruppo d’imprese debba adeguarsi al nuovo contesto normativo ritenendolo un’opportunità per creare del valore aggiunto in azienda e non causa di nuovi costi. Tra costi e opportunità emerge la figura del Responsabile per la protezione dei dati (Data protection officer): Francesco Modafferi, dirigente del Garante per la protezione dei dati personali, ha spiegato i compiti e le caratteristiche di questo nuovo ruolo soffermandosi su cosa l’autorità di controllo si aspetta da quest’ultimo nello svolgimento delle proprie mansioni; Ugo Ettore Di Stefano ha parlato del ruolo di Dpo all’interno di un’azienda ed il giusto significato che quest’ultima debba attribuirgli.
I rapporti commerciali
Nel dibattito sono intervenuti anche Stefano Previti, partner di Previti, che ha ricordato su come la consulenza professionale in ambito privacy sia mutata parallelamente al contesto legislativo europeo. Giangiacomo Olivi, partner di Dentons, si è concentrato sul rapporto tra normativa sui dati personali e nuove tecnologie, anche con riferimento allo sviluppo di sistemi di intelligenza artificiale. Diversi interventi hanno affrontato il rapporto con il marketing. Luca Christian Natali, funzionario del dipartimento reti telematiche e marketing del Garante, si è soffermato sul concetto di libertà d’impresa e poteri dell’autorità di controllo nell’ambito delle operazioni di trattamento di dati personali per finalità di marketing e profilazione. Gaetano Arnò, partner di Pwc Tls, ha affrontato l’annoso tema del trattamento dei dati personali nei rapporti commerciali tra le imprese attraverso alcuni casi pratici e problematiche comuni. Tra le problematiche connesse ai rapporti commerciali Filiberto E. Brozzetti, consigliere giuridico di un membro del collegio del Garante, ha affrontato la questione degli outsourcer di servizi e del ruolo, ancor più delicato rispetto al passato, che il responsabile del trattamento ha assunto ai sensi dell’articolo 28 del Regolamento (UE) 2016/679.
TAGS
White & Case, Previti Associazione Professionale, Dentons, PwC TLS, Gianni & Origoni GaetanoArnò, VeronicaPinotti, GiangiacomoOlivi, StefanoPreviti, AndreaD'Agostino, Ugo EttoreDi Stefano, DanieleVecchi, LucaBarlassina Mondadori