Lo sviluppo del mercato unico digitale passa dalla privacy

A distanza di pochi mesi dal Comunicato Stampa della Commissione Europea nel quale erano state definite le linee di intervento necessarie a realizzare un mercato unico dei contenuti digitali per l’Europa, il Parlamento Europeo rafforza gli step imposti alle parti coinvolte nella Risoluzione del 19 gennaio 2016, intitolata “Verso un atto sul mercato unico digitale”.

La Risoluzione affronta, con uno sguardo al prossimo futuro, gli aspetti di maggior impatto, i quali rivestono il ruolo di fattori propositivi alla creazione di un mercato unico digitale, ovvero, come spesso accade, costituiscono un forte rallentamento a tale risultato.

Il Parlamento Europeo ha, infatti, riportato nel corpo del documento recenti statistiche, secondo le quali solo l’1,7% delle imprese stabilite in Unione Europea fanno uso di tecnologie digitali avanzate, a fronte di una previsione di crescita stimata dalla Commissione che supera i 100 miliardi USD.

I temi caldi

Nessuna inversione di tendenza rispetto all’orientamento manifestato dalla Commissione europea ad inizio estate: i temi caldi sono legati alla necessità di una regolamentazione unica del commercio elettronico transfrontaliero, attraverso l’armonizzazione del quadro giuridico che disciplina le transazioni online per l’acquisto di contenuti digitali nonché ad una modernizzazione dell’attuale quadro relativo al diritto d’autore per adeguarlo all’era digitale.

Tanti altri i suggerimenti che vengono lanciati dal Parlamento, tra cui a titolo esemplificativo la valutazione inerente l’idoneità delle norme nel settore delle telecomunicazioni, un maggiore coordinamento fiscale mediante la riduzione sensibile degli onere e ostacoli legati all’IVA. Per quello che qui interessa, a differenza della Commissione il Parlamento europeo sembra porre maggiore enfasi nel sottolineare l’attenzione delle Parti coinvolte nel processo di armonizzazione della normativa in materia di protezione dei dati personali.

Appare del tutto evidente che una disciplina unica a tutela del dato personale e delle informazioni avrà come conseguenza quella di eliminare le barriere tra gli Stati membri e favorire l’accesso al mercato delle imprese europee e delle start-up.

Questo, sulla base del presupposto che un’economia basata sui dati sia determinante ai fini della crescita economica. Le nuove tecnologie dell’informazione e della comunicazione, come i megadati, le nuvole informatiche, l’internet delle cose possono offrire all’economia ed alla società, soprattutto quando siano integrate con altri settori (trasporti, logistica, servizi finanziari), sempre maggiori opportunità.

La privacy come occasione di sviluppo

In tale quadro, suggerisce la Risoluzione, è assolutamente necessario incrementare “la resilienza contro gli attacchi informatici, al fine di accrescere la consapevolezza dei rischi e la conoscenza dei processi di sicurezza, attraverso una maggiore garanzia offerta dalle imprese che dispongano quindi di livelli di base di sicurezza degli strumenti fin dalla loro progettazione”.

E’ chiaro il riferimento al concetto di privacy by design e privacy by default come introdotti dal Regolamento europeo per la Data Protection, atteso nella sua versione ufficiale nella prossima primavera.

La tutela del dato personale e delle informazioni oggetto di business rappresenta il primo passo nella creazione di un mercato unico dei contenuti digitali. In tale ottica il concetto di privacy by design impone agli stakeholders coinvolti di adottare soluzioni pratiche e funzionali al business intrapreso, i quali siano, fin dalla loro prima realizzazione, conformi ai principi ed alle norme individuate nel Regolamento. L’adozione di tale principio comporterà che i processi tecnico-legali intrapresi dalle imprese assicurino una diretta e completa compliance con la nuova legislazione europea.

Occorre dunque esaminare quelle che saranno – con un certo grado di certezza – le norme da rispettare, le quali contribuiranno a favorire il mercato unico digitale.

Si sottolinea come le istituzioni europee promotrici di tale documento hanno mantenuto una continuità nelle definizioni e nella struttura che a suo tempo era stata imposta con la Direttiva Ce/95/46 agli Stati membri.

I concetti chiave

Tra i concetti chiave, introdotti dal Regolamento, che dovranno guidare le imprese ad afrontare con entusiasmo le sfide del mercato unico digitale, fondamentali quelli di Privacy Impact Assessment e di Data Breach. Il primo rappresenta una valutazione concreta da effettuarsi per determinate tipologie di trattamento dei dati ( ad esempio: profilazione, geolocalizzazione) volta a definire i rischi e le misure tecniche di sicurezza adottate in relazione a detti trattamenti. Tale documento dovrà individuare, altresì, i soggetti coinvolti nella definizione del trattamento o, ancora, le funzioni aziendali da coinvolgere, qualora venga modificato l’assetto del trattamento (comparto IT, Marketing, HR). Tale valutazione dovrà essere preventiva risptto all’inizio del trattamento e rappresenta – di fatto – la messa in pratica dei principi di privacy by design e by default suindicati.

Ancora, il concetto di Data Breach ovvero della notificazione all’autorità di controllo inerente la violazione dei dati personali. In passato tale adempimento era previsto solo per determinate tipologie di dati personali (dati biometrici, ovvero in Italia per i fornitori di servizi di comunicazione elettronica accessibili al pubblico). Il nuovo testo del Regolamento ha esteso l’obbligo a tutti i soggetti titolari del trattamento dei dati personali, a meno che sia improbabile che una suddetta violazione rappresenti un rischio per i diritti e le libertà delle persone fisiche.

Un concreto aiuto alle funzioni aziendali coinvolte dall’applicazione del Regolamento verrà dal Data Protection Officer (DPO). Tale figura sarà introdotta in ipotesi specifiche previste dal Regolamento, ad esempio, qualora le attività principali del Titolare consistono in trattamenti che, per loro natura, campo di applicazione e/o finalità, richiedono il controllo regolare e sistematico degli interessati su larga scala.

Tale soggetto, che potrà essere interno alla struttura aziendale ovvero destinatario di un contratto di servizi, avrà – dunque – il compito di presiedere tutte le questioni inerenti la protezione dei dati personali, comprese le richieste eventualmente presentate dagli interessati cui i dati personali sono trattati.

Infine, le ipotesi di trasferimenti dei dati personali all’estero (al di fuori dell’Unione Europea) trovano, nel Regolamento, una disciplina specifica laddove si sancisce che le regole europee poste a tutela degli interessati ma, a parere di chi scrive, anche a garanzia del know-how aziendale dovranno applicarsi quando i dati raccolti siano trasferiti al di fuori del territorio europeo, tanto ad aziende partner straniere, legate da un contratto di services, che a società facenti parte di gruppi di imprese variamente dislocate nel mondo. Clausole contrattuali standard e Binding Corporate Rules diventano, in tal modo, le protagoniste della Sezione dedicata ai trasferimenti ed hanno lo scopo di assicurare e garantire il rispetto della normativa europea anche quando i dati siano diretti all’estero.

Tutti questi nuovi concetti diverranno applicabili al trascorrere di due anni dalla data di entrata in vigore del Regolamento, tempo congruo – secondo le istituzioni europee – per permettere alle imprese ed agli Stati membri di adeguarsi al nuovo assetto di regole. E tali soggetti non potranno che adeguarsi per evitare le sanzioni che scaturiranno da un mancato rispetto della normativa, fissate dal legislatore europeo fino alla soglia percentile del 4% commisurato al fatturato mondiale annuo del soggetto inadempiente.