“Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”: di cosa si è discusso il 9 aprile 2019 presso la Sala Valente del Tribunale di Milano all’evento organizzato dall’Unione Giuristi per l’Impresa

Avv. Vincenzo Colarocco

Il 9 aprile 2019, presso la Sala Valente del Tribunale di Milano, si è tenuto l’evento organizzato da UGI – Unione Giuristi per l’Impresa, intitolato “Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”. Il Presidente di UGI, nonché General Counsel e Data Protection Officer del Gruppo Mondadori, Avv. Ugo Ettore Di Stefano, ha dato avvio ai lavori proponendo l’obiettivo di delineare, insieme ai relatori chiamati al confronto, l’attuale scenario dell’adeguamento al GDPR delle imprese italiane, tenuto conto di novità, sfide ed anche preoccupazioni. L’occasione è stata promotrice del nuovo “Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato”, a cura degli Avvocati Andrea d’Agostino, Luca R. Barlassina e Vincenzo Colarocco, con prefazione della Dott.ssa Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati personali, edito da Amazon ed il cui ricavato sarà in parte destinato alle vittime del cyberbullismo.

All’esito dell’introduzione dell’Avv. Ugo Ettore Di Stefano, è intervenuta proprio la Dott.ssa Iannini, ponendo l’accento sull’importanza del principio di accountability introdotto dal Regolamento e su come questo abbia profondamente inciso sulla consulenza in ambito privacy: l’Autorità garante ha ribadito come l’approccio alla normativa sia divenuto proattivo, propositivo ed anche creativo. È seguito l’intervento dell’Avv. Andrea d’Agostino, Vicepresidente di UGI, Senior Legal Counsel e Responsabile Privacy del Gruppo Mondadori, che ha raccontato l’esperienza dell’adeguamento del suo gruppo, in particolare soffermandosi sul tema della “sensibilizzazione” – più che “formazione” – delle figure interne all’azienda sul tema della privacy. L’adeguamento – ha spiegato d’Agostino – deve mettere al centro i lettori (i clienti, ndr), comprenderne le esigenze e soddisfarle nel pieno rispetto dei loro diritti, così come oggi riconosciuti. Non si tratta di una affannosa lotta alla più aderente soluzione alla fine della quale “ne rimarrà solo uno”, un po’ come se fossimo destinati al the last DPO: citando Guerre Stellari e facendo sapiente uso dell’ironia, d’Agostino puntualizza l’importanza del dialogo e della cooperazione tra la figura del Data Protection Officer e quella dell’Autorità di controllo. Dalla visione aziendale alla disciplina dei dati personali nel settore pubblico: il Dott. Francesco Modafferi dell’Autorità garante ha introdotto il tema del valore delle banche dati per le Pubbliche Amministrazioni e della gestione degli stessi, alla luce dell’evoluzione tecnologica. Francesco Modafferi si è soffermato sul ricorso agli algoritmi in ambito pubblico per l’elaborazione di determinate informazioni e sulle esigenze da questo scaturite: come assicurare la trasparenza della PA a fronte di un sistema “poco trasparente”? Il tema dell’impiego degli algoritmi non può non far sorgere interrogativi anche di responsabilità civile. Di Giangiacomo Olivi, partner di Dentons, l’intervento dedicato al rapporto tra GDPR e nuove tecnologie: la vera sfida, a fronte di una evidente obsolescenza programmata della tecnologia e della monetizzazione del dato, è costituita in realtà proprio dalla disciplina applicabile: le tecnologie vengono applicate a livello globale ma i singoli Stati continuano ad emanare normative differenti tra loro che non consentono un uso uniforme e condiviso dei servizi offerti dall’innovazione. Non poteva mancare un focus sui temi del marketing e della profilazione, curato dal Dott. Luca Natali dell’Autorità Garante. L’art. 130 del Codice Privacy, come novellato dal decreto di armonizzazione n. 101/2018, offre alternative basi giuridiche al trattamento dei dati per finalità di marketing, tenuto conto della concreta attività svolta: dal meccanismo dell’opt-in a quello dell’opt-out, tenendo ferma “la stella” dei diritti dell’interessato. La giornata è quindi proseguita con gli interventi pomeridiani: l’Avv. Di Stefano si è soffermato su alcune riflessioni di opportunità nello svolgimento dei compiti affidati al ruolo del DPO: ricorrente anche in quella sede il fondamentale dialogo con l’Autorità di controllo. Non solo: Di Stefano mette difronte ad un dato di fatto che è quello della fallibilità delle procedure, valorizzando l’attività di remediation da condurre ex post rispetto alla predisposizione delle stesse.

Dal ruolo del DPO a quello del consulente in ambito privacy: l’Avv. Stefano Previti, titolare dello Studio Previti Associazione Professionale, ha riflettuto sulle molteplici sfaccettature del consulente al giorno d’oggi. Il consulente, infatti, non può e non deve più limitarsi a dare stretta applicazione alla normativa, ma deve sviluppare peculiari skills, tra cui rientrano la competenza manageriale, la conoscenza in ambito informatico e l’attitudine alla formazione del personale, in questo modo rappresentandosi come una risorsa polivalente per il titolare del trattamento, capace di guidarlo anche nelle scelte di business. Per chiudere il cerchio sulle figure soggettive, sono intervenuti l’Avv. Gaetano Arnò, DPO di PricewaterhouseCoopers TLS e a seguire il Dott. Filiberto E. Brozzetti dell’Autorità di controllo, con un compiuto excursus sulle figure di titolare, responsabile esterno e sub-responsabile del trattamento e sulle criticità spesso rilevate nella gestione contrattuale di tali ruoli.

L’intensa giornata di GDPR si è conclusa con gli autorevoli interventi sul quadro sanzionatorio delineato dal Regolamento e sulle modalità ispettive in ambito privacy dell’Avv. Daniele Vecchi, Partner di Gianni, Origoni, Grippo, Cappelli & Partners, dell’Avv. Veronica Pinotti, Partner di White Case LLP e del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. L’Avv. Vecchi, ripercorrendo molteplici case study, ha sostenuto che se, da un lato, con il GDPR si è giunti finalmente ad una disciplina unitaria di matrice europea sul trattamento dei dati personali, dall’altro, sussistono ancora oggi evidenti lacune normative che lo stesso GDPR non è in grado di colmare, oltre a scenari problematici anche recenti, quale può rappresentarsi la disciplina dei dati personali a fronte di una ipotesi di Hard Brexit. Il tema della “patologia” della privacy, e dunque dei possibili accertamenti amministrativi e dell’irrogazione delle sanzioni, è stato affrontato attraverso due differenti (ma comunque non distanti) visioni: quella del consulente del titolare del trattamento, portata sul tavolo dall’esperienza dell’Avv. Pinotti, e quella del Colonnello Menegazzo, il quale si è fatto promotore di un atteggiamento condiviso di cooperazione e collaborazione nell’ottica del primario interesse della tutela degli interessati.

All’esito della giornata, si può dire che l’obiettivo primario, in apertura introdotto dall’Avv. Di Stefano, sia stato ampiamente raggiunto, e non solo: il confronto sul tema dell’adeguamento, in ambito privato ma anche pubblico, ha consentito di riflettere insieme su alcuni scenari ancora oggi dubbi e di ottenerne le soluzioni medio tempore con l’ausilio dell’Autorità di controllo, di analizzare in prospettiva i ruoli coinvolti nello stesso, di poter affermare, in definitiva, come tale processo sia destinato a divenire continuativo e mai a cristallizzarsi.