Investire in maniera significativa per diffondere un’adeguata cultura della privacy e della sicurezza. Trasformandole da voci di costo a risorse aziendali e convincendo i consumatori che le imprese che investono maggiormente sulla protezione dei dati meritano di più la loro fiducia. Lo afferma Guido Scorza, avvocato e componente del Garante per la protezione dei dati personali, che a Le Fonti Legal ha illustrato le maggiori criticità emerse nel corso della Pandemia, che ha rappresentato un vero e proprio stress test in termini di applicabilità della disciplina in materia di protezione dei dati personali. Una prova che non si verificava dai tempi dell’attacco alle torri gemelle di New York, secondo Scorza, e quindi da vent’anni. Il GDPR, da parte sua, ha costituito un importante baluardo a difesa della privacy, ma soprattutto, secondo Scorza, ha il grande merito di aver posto il tema della protezione dei dati personali come un tema centrale nell’agenda pubblica e privata.
Quali sono le maggiori criticità emerse nel corso della Pandemia per quanto riguarda l’attività di protezione dei dati particolari, ovvero dei dati personali individuati dal GDPR da parte del mondo imprenditoriale e finanziario?
La Pandemia ha rappresentato uno stress test in termini di applicabilità della disciplina in materia di protezione dei dati personali, uno stress test, in ambito pubblico e privato, comparabile, probabilmente, solo con quello già vissuto – da una disciplina, tuttavia, ancora in uno stato embrionale – ai tempi della tragedia delle torri gemelle del 2001.
All’epoca si trattava di diritto alla sicurezza versus diritto alla protezione dei dati personali e oggi si tratta di diritto alla salute e alla ripresa delle attività produttive versus diritto alla privacy. Ieri si diceva: la sicurezza prima di tutto.
Oggi si dice, con la stessa insistenza: la salute e la ripartenza prima di tutto.
In un caso e nell’altro si corre il rischio di vivere e far vivere il diritto alla protezione dei dati personali come sacrificabile in ragione del perseguimento di altri diritti. Ma si tratta di una rappresentazione da rifuggire e di un antagonismo che non esiste. Non esistono diritti tiranni, né diritti tiranni hanno cittadinanza nel nostro Stato di diritto.
Questa contrapposizione è – ed è stata – probabilmente una delle maggiori criticità registrata nel periodo della pandemia e che continuiamo a registrare.
In che modo le imprese si possono tutelare dalla violazione dei dati particolari? Gli strumenti a disposizione si stanno rivelando adeguati?
Le disposizioni in materia di protezione dei dati personali tutelano, come è noto, più che le imprese, le persone, ovviamente anche nell’ambito dell’attività lavorativa o d’impresa. In questo contesto direi che la nuova disciplina introdotta con il GDPR costituisce un quadro normativo idoneo a garantire sufficiente protezione dei dati personali, inclusi quelli particolari.
Ovviamente l’innovazione tecnologica pone continuamente nuove sfide più sul versante dell’applicazione delle regole vigenti che sul fronte della produzione di nuove regole.
Il vero problema è quello dell’assenza di un’adeguata cultura della protezione dei dati personali e della sicurezza anche in ambito aziendale. Si sbaglia e si espongono a rischio i dati personali più per ignoranza dei problemi e per mancanza di sensibilità alla privacy che per malizia.
Sono trascorsi oltre tre anni dall’entrata in vigore del GDPR. Si può fare un bilancio sull’efficacia della normativa europea e sulla sua applicazione?
I bilanci sono sempre difficili e lo sono ancora di più quando, come in questo caso, implicano una valutazione su una disciplina attraverso la quale si è avviata un’autentica rivoluzione copernicana nell’approccio alla protezione dei dati personali e scritta una pagina – a prescindere dal giudizio che se ne potrà dare tra qualche anno – epocale e globale della storia della privacy nella sua dimensione commerciale, culturale e democratica.
E, tuttavia, se si deve azzardare un bilancio esso deve, probabilmente, essere positivo.
L’Europa con il GDPR ha imposto la propria eccezione cultural giuridica in fatto di protezione dei dati personali al mondo intero quando ispirando analoghe iniziative normative quando imponendo direttamente l’applicazione delle disposizioni del GDPR per effetto del nuovo criterio del Paese di destinazione del servizio.
Nella sostanza il GDPR, in una manciata di anni, è diventato una sorta di lex mercatoria del nuovo mercato dei dati.
A livello nazionale ed europeo, d’altra parte, il GDPR, anche a prescindere dai meriti diretti connessi alla sua applicazione che, forse, è presto per misurare ha il grande merito di aver posto il tema della protezione dei dati personali come un tema centrale nell’agenda pubblica e privata, un tema con il quale confrontarsi nel deliberare policy pubbliche così come nel progettare e implementare iniziative commerciali e imprenditoriali.
Quali sono gli scenari futuri in materia di sicurezza informatica e protezione dei dati particolari? Servono ulteriori interventi normativi?
È, naturalmente, indispensabile completare il quadro della disciplina sulla protezione dei dati personali con la disciplina in materia di privacy e comunicazioni elettroniche: l’ormai atteso da anni Regolamento e-privacy.
Sotto altri profili, probabilmente, più che pensare a nuove regole bisognerebbe impegnarsi ad assicurare in maniera sempre più efficace quelle che ci sono e soprattutto investire in maniera significativa per diffondere un’adeguata cultura della privacy e della sicurezza e trasformare entrambe da voci di costo a risorse aziendali, convincendo i consumatori che le aziende che se ne preoccupano di più sono quelle che meritano di più la loro fiducia.