Corporate data protection e regolamento europeo: opportunità di business ed ottimizzazione dei costi | Altalex

La normativa in materia data protection traente origine dal recente regolamento europeo 679/2016 non offre soltanto un’articolata disciplina giuridica da applicarsi uniformemente entro il 2018 in tutti gli Stati membri, in essa si rinviene altresì una interessante focalizzazione  verso quei gruppi imprenditoriali titolari del trattamento dati affinché, a favore di essi, vengano adeguatamente garantite opportunità di business connesse alla circolazione dei dati senza che alterazioni del gioco della concorrenza o rallentamenti nei traffici commerciali possano costituire pregiudizio ai ricavi di esercizio. L’attenta osservanza del regolamento, coniugata ad un adeguato sistema di gestione privacy, è estremamente importante poiché da studi di settore è emerso che le aziende che più fatturano e capitalizzano sono quelle che trattano in modo evoluto i dati personali, merce “preziosa” di scambio con indubbio valore intrinseco (“nuovo petrolio” per le aziende è la definizione adottata da alcuni analisti). Inoltre, diciamolo chiaramente: una efficace corporate data protection è indispendabile per la protezione del know how aziendale.

Fonte di opportunità di business, attuali o potenziali, è la fornitura di servizi in cloud. La tecnologia cloud computing (in tutte le sue tipologie DaaS, Saas, HaaS, PaaS o IaaS) pone questioni giuridiche scaturenti dalla localizzazione geografica dei dati  ed in merito alla sicurezza da assicurare ad essi. Sarà quindi utile, al fine di tutelarsi dai rischi originati dal carattere multitenancy del cloud computing, il rispetto di quelle condizioni legittimanti l’esercizio data transfer previste nel reg. 679/2016e l’inserzione nei regolamenti contrattuali di specifiche clausole e condizioni (ad esempio quelle elaborate direttamente dalla Commissione europea). La corretta adozione di tali sistemi di tutela sarà strumentale alla salvaguardia dei ricavi legati al paradigma del cloud poiché consentirà il trasferimento dati verso server farms di un Paese terzo pur in mancanza di un giudizio di adeguatezza da parte della Commissione (trasferimento verso Paese terzo che potrebbe, però, garantire ad una realtà aziendale convenienza economica).

L’attenzione del regolamento europeo ai traffici commerciali è manifestata, altresì, laddove disciplina il rapporto tra data protection e tecnologia orientata alla profilazione marketing. Infatti, pur non essendo consentita l’attività di profilazione in caso di opposizione da parte dell’interessato, essa viene comunque ammessa in presenza di rilevanti esigenze finanziarie ed economiche nonchè durante fasi precontrattuali o contrattuali strumentali alla conclusione di un negozio giuridico; condizione necessaria sarà – così come previsto dal reg. 679/2016 – che la profilazione degli utenti avvenga con criteri di messa in sicurezza dei dati nonché con criteri di minimizzazione, rettifica e correzione dei fattori di errore.

Il business legato alla gestione dati è, in sede regolamentare, assicurato ai gruppi imprenditoriali sia in termini intra che extra gruppo. Nel primo caso, il gruppo con sedi aziendali in più Stati – anche non UE – deve dotarsi di Binding Corporate Rules per il trasferimento dati (tali norme vincolanti d’impresa valgono ovviamente per tutte le sedi aziendali); nel secondo caso, invece, il gruppo aziendale potrà trasferire dati ad altro gruppo o imprenditore attraverso l’istituto della portabilità dei dati, attuabile sia su base consensuale che contrattuale.

La duttilità del regolamento rispetto alle esigenze aziendali è ulteriormente assicurata attraverso la possibilità, in esso prevista, di poter intervenire in talune materie attraverso la contrattazione collettiva, la legislazione nazionale o la regolamentazione negoziale. A titolo esemplificativo si pensi al tema dei sistemi di monitoraggio sul posto di lavoro (funzionali ad un aumento di produttività) o ad attività di data transfer nell’ambito di un gruppo di imprese o di uno stesso gruppo aziendale.

Sul piano strettamente industriale, peculiari sono poi i nuovi istituti della “privacy by design” e della “privacy by default”. Con l’istituto “privacy by design”, il regolamento prescrive che l’imprenditore assicuri gli adempimenti data protection sin dalla fase di progettazione ed ingegnerizzazione dei prodotti, dei servizi, apps o di partecipazione ad appalti pubblici. La tematica della “privacy by design” investe con pervasività il segmento industriale delle applicazioni Internet of the things(Iot), attività destinata a continue evoluzioni con la tecnologia NB-Iot (Narrowband-Iot) e FTTH che porrano sfide, anche di tipo legale, per una corretta armonizzazione di tali tecnologie con la tutela della privacy ed un corretto utilizzo dei dati. Anche i progetti di smart cities sono interessati dall’istituto qui in esame poichè i sensori on line delle “città intelligenti” interagiranno con piattaforme di gestione dati sempre più sofisticate, chiaramente tale assunto vale anche per gli impianti integrati domotici di progetti smart home (si pensi alla fornitura di dispositivi connessi alla rete domestica) o per quelle automazioni industriali interconnesse caratterizzanti le smart factories; presupposto per tutto ciò è, dunque, l’adozione di adeguate misure tecnico-organizzative pena, in caso di inosservanza, l’applicazione di sanzioni pecuniarie fino a euro 10.000.000 o fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Misure efficaci potranno essere, ad esempio, quelle di pseudonimizzazione o mascheramento. Gli effetti della “privacy by design” sono rinvenibili anche analizzando gli articoli del reg. 679/2016 dedicati all’utilizzo di dati personali di minori a fini di marketing, ai servizi ad essi destinati o alla creazione di profili di personalità o utente (social networks): essi dovranno, in considerazione delle tecnologie disponibili, essere corredati da materiale informativo semplice e chiaro in merito alla prestazione del consenso (che potrà essere espresso da colui che esercita la potestà genitoriale). L’istituto della “privacy by default”, anch’esso di origine regolamentare ed in piena simbiosi con l’istituto della “privacy by design”, significa invece che la data protection deve diventare l’ ”impostazione predefinita” in ogni ambito e fase aziendale (da tenere ad esempio in conto già nello studio di un nuovo servizio, prodotto, software, hardware o nell’ambito di appalti pubblici). Specifiche forme di garanzie tecniche, legali e di sicurezza dovranno rappresentare la base protettiva, ad esempio, nella gestione dei Big Datae dei Data Center di importanti realtà aziendali. Denominatore comune dei due istituti appena affrontati, è poi il principio di accountability (cioè di responsabilizzazione) a carico dell’imprenditore in ogni fase del trattamento dati; le misure per dare estrinsecazione a tale principio vanno dall’obbligo di istruire adeguatamente i propri dipendenti all’adozione prudenziale, soprattutto in ottica difensiva, di clausole elaborate in seno alla Commissione Ue o all’autorità Garante (inseribili, ad esempio, nei contratti  tra titolare e responsabile del trattamento).

Volgendo ora l’attenzione al rapporto costi e corporate data protection, significativo è come il regolamento consenta, in presenza di progetti industriali trasversali a più imprese, che i titolari del trattamento possano procedere ad un’ unico data privacy impact assessment, consentendo quindi di ridurre gli oneri legati a questo importante adempimento. Sensibilità all’economia aziendale è rilevabile, inoltre, in relazione al diritto di rettifica dati riconosciuto all’interessato: il reg. EU, laddove tale adempimento comporti a carico dell’imprenditore costi o sforzi sproporzionati, consente a quest’ultimo di astenersi dall’esecuzione (fatta salva, comunque, la possibilità per l’interessato di ricevere informazione di eventuali destinatari cui i propri dati sono stati  comunicati). Valutazioni prognostiche in termini di fattibilità economica sono ammesse anche in relazione al diritto all’oblio (che tra l’altro è stato oggetto di positivizzazione proprio col reg. 679/2016): la valutazione in questo caso è estesa anche alla fattibilità tecnologica poichè il soddisfacimento di tale diritto può comportare attività complesse di rimozione di links, indicizzazioni sistematiche, copie, riproduzioni, ecc…

L’analisi della nuova normativa data protection consente di osservare che, seppur vengano riconosciuti giustamente importanti diritti all’interessato, essi non possono comunque essere esercitati pretestuosamente sì da pregiudicare le esigenze di efficienza aziendale connesse a realtà industriali o commerciali. A titolo esemplificativo, si può citare il funzionamento del diritto di accesso: l’imprenditore ha facoltà di addebitare al richiedente i costi amministrativi oltre la prima copia rilasciata per evadere la richiesta; non solo: un’azienda non è tenuta a conservare dati oltre al tempo strettamente necessario alle esigenze del proprio business al solo fine di garantire ipotetiche future richieste di accesso ai dati da parte dell’interessato. Il reg. 679/2016 ammette difatti il diritto di accesso solo se esercitato ad intervalli ragionevoli e senza che vengano lesi i diritti e libertà economiche altrui.

Obiettivo centrale della normativa in esame, è dunque l’individuazione di un punto di equilibrio tra due fondamentali esigenze: da un lato garantire lo sviluppo economico ed il progresso tecnologico legato sempre più alla circolazione dei dati e delle informazioni e dall’altro garantire il diritto ad una consapevole data protection. La soluzione giuridica adottata nel reg. 679/2016 per raggiungere tale obiettivo è particolarmente acuta: consiste nel non configurare il diritto alla data protection quale diritto assoluto (pur conferendogli rango costituzione attraverso l’inserimento nella Carta dei diritti fondamentali dell’UE), in modo da rendere tale diritto compatibile con la tutela della speditezza dei traffici commerciali e contrattuali. A conferma di ciò, tra i vari “considerando” presenti nel regolamento, si enuncia che scopo della normativa è quello di armonizzare e uniformare la disciplina data protection tra gli Stati membri, al fine di evitare dinamiche che possano falsare il gioco della concorrenza (un esempio concreto: l’attività di profilazione on line, svolta in ambito commerciale, dovrà avvenire con i medesimi  criteri dai vari players ed a vigilare su tale attività inciderà l’attività del Comitato per la protezione dati che ne determinerà gli orientamenti).

Le prospettive future non escludono la possibilità di un eventuale inserimento a bilancio dei database quali veri e propri assets da contabilizzare. Anche l’assicurabilità dei rischi legati a casi di data breachrappresenterà una tematica da prendere in considerazione in termini di costi sostenibili. Last but not least, notevole rilievo nella contabilità dei costi imputabili alla corporate data protection è attribuibile alle eventuali sanzioni pecuniarie scaturenti a seguito del mancato rispetto dei vari adempimenti. Tali sanzioni possono arrivare sino al 4% del fatturato annuale totale dell’esercizio precedente dell’intero gruppo societario (si considera quindi il fatturato di tutte le sedi aziendali ovunque esse siano). Il regolamento prescrive che le sanzioni siano concrete e dissuasive. Sempre lo stesso reg. 679/2016 ammette, inoltre, ulteriori sanzioni penali irrogabili dai singoli Stati membri  consistenti nella sottrazione dei profitti aziendali ottenuti con trattamenti dati illeciti; ed ancora, laddove presenti più joint controllers, è prevista la solidarietà della responsabilità ed il conseguente esercizio del diritto di rivalsa in ordine alle obbligazioni risarcitorie.

Come difendersi dunque? Anzitutto sarà utile, per una efficace tutela del Gruppo, aderire a codici di condotta, meccanismi di certificazione ed a marchi e sigilli di protezione dati. I meccanismi di certificazione necessiteranno di rinnovi ma, considerato lo stretto legame tra data protection ed evoluzione tecnologica, gli oneri imputabili ai rinnovi delle certificazioni diventano ineluttabili. L’evoluzione tecnologica rende (ed ha reso) obsolete antecedenti modalità di trattamento e raccolta dati (si pensi alla complessità dei Big Data), dunque importante sarà altresì un costante aggiornamento tecnologico in ambito data protection cui associare specifico supporto legale, indispensabile nell’ambito dell’oramai inevitabile interdipendenza tra diritto e nuove tecnologie.

Sul tema si segnala:

(Altalex, 18 maggio 2017. Articolo di Antonio Lupiani)

2017-06-01T15:14:17+00:00 18 Maggio, 2017|Press|