Privacy, nuove opportunità per gli avvocati italiani

II
Lunedì 29 Agosto 2016
STUDI & CARRIERE
Per effetto della recente regolamentazione europea che ha rivisto alcuni adempimenti
Privacy, nuove opportunità
per gli avvocati italiani
Pagine a cura
di MARIA CHIARA FURLÒ
tecnologie attuali non esistevano e Internet era ancora ai
suoi albori. Ora cambieranl nuovo «pacchetto pro- no molte cose, per le aziende
tezione dati» è stato che dovranno adeguarsi a una
da poco approvato dal nuova normativa, per i GaranPa r l a m e n t o e u r o p e o ti nazionali che dovranno sem(pubblicato nella Guce del pre più collaborare tra di loro,
4 maggio scorso, e definiti- ma anche per gli avvocati che
vamente applicabile in via – se adeguatamente preparati
diretta in tutti i paesi Ue – potrebbero avere diverse occasioni di lavoro
a partire dal 25
in più.
maggio 2018,
L’approvazione
quando dovrà
del Regolamento
essere garantie della Direttiva
to il perfetto al«rappresentano
lineamento fra
per l’Unione un
la normativa
traguardo imnazionale e le
portante, atteso
disposizioni del
da tempo. Ma si
Regolamento) e
pongono anche
ha l’obiettivo di
come una sfida
garantire magsia per le Augiori opportutorità Garanti
n i t à e tutele
sia per imprese,
per cittadini
soggetti pubblie imprese. La
Antonello Soro
ci, liberi profesnormativa eusionisti chiamati
ropea in materia
di privacy aveva bisogno di ad un ruolo di grande rilievo
essere aggiornata, (risaliva e responsabilità nel garantire
agli anni 90), cioè ad un’epo- un sempre più elevato grado di
ca in cui molte delle nuove tutela delle persone che vivono
I
cepimento);
citerei anche
tra le novità
la responsabilità diretta
che in alcuni
casi viene attribuita ai responsabili del
trattamento:
fino ad oggi
quest’ultimi
rispondevano solo nei
confronti del
Giangiacomo Olivi
Massimo Maggiore
titolare del
trattamento
per
cui
agiscono».
Le novità
un
sistema
a
base
normatiQuali sono le novità
va unitaria, ossia il Regola- sono molte ma Maggiore ne
Il Regolamento si occupa mento. «Vengono ampliati i cita soprattutto altre due: la
esattamente della stessa ma- diritti degli interessati, ri- centralizzazione dell’enforteria (la protezione dei dati conoscendo espressamente cement della legge in capo
personali) oggetto della vi- la specificità di Internet (ad ad una «lead authority» tra
gente normativa. «Tuttavia esempio il diritto all’oblio) e i 28 garanti nazionali, ossia
molte sono le novità», dice correlativamente maggiori quella in cui il titolare nella
Massimo Maggiore dello obblighi sono posti a carico Ue abbia la sua sede prinstudio Maschietto Mag- delle imprese titolari o re- cipale, nonché il sensibile
giore Besseghini spiegan- sponsabili del trattamento; incremento delle sanzioni
do che in primo luogo si pas- viene riconosciuto il ruolo per il caso di violazione
sa da un sistema basato su essenziale della «Privacy by della norma. Il Regolamen28 normative privacy nazio- design» (ossia di tecnologie to comunque prevede delle
nali armonizzate sulla base che devono essere privacy salvaguardie a favore delle
di direttive comunitarie, ad friendly sin dal loro con- piccole e medie imprese, che
e operano nell’Unione».
Questo il commento di
Antonello Soro, presidente dell’Autorità Garante per la protezione
dei dati personali che ha
anche spiegato come si
tratti di un percorso che
va verso una più ampia
tutela, soprattutto nel
mondo digitale e che
vedrà l’Autorità italiana
impegnata in un dialogo
costante con tutti gli attori in campo e con le altre authority europee.
NICOLA BERNARDI, FEDERPRIVACY
La normativa precedente risaliva all’era ante-Internet
I
l nuovo regolamento Ue ha
principalmente due obiettivi»,
spiega ad Affari Legali, Nicola Bernardi, presidente di
Federprivacy: «il primo, è quello di
rendere la normativa sulla protezione dei dati personali adeguata
alla nostra era tecnologica, in cui
enormi flussi di dati personali vengono trattati attraverso strumenti
informatici, dato che l’attuale testo in materia emanato dall’Unione
Europea risaliva ormai al lontano
1995, un’epoca in cui internet era
agli albori, e i trattamenti dei dati
avvenivano perlopiù in forma cartacea. Il secondo obiettivo del Regolamento, è quello di rafforzare
le tutele e i diritti degli utenti per
creare quel clima di fiducia che è
necessario per far decollare il Mercato Unico Digitale.
Domanda. Il provvedimento
ha seguito un iter molto lungo,
con oltre 4 mila emendamenti
che per mesi hanno ingolfato il
Parlamento, come mai è stato
bloccato per così tanto tempo?
Quali sono i nodi più sensibili
che affronta?
Risposta. Non deve sorprendere che il Regolamento sia stato oggetto di lungo ed accesso dibattito,
perché secondo le stime della Commissione Europea il Mercato Unico
Digitale potrà apportare fino a 415
miliardi di euro all’anno all’economia dell’area Ue, e l’altissima posta
in gioco ha fatto perciò registrare
un’intensa attività di ostruzionismo da parte delle lobby america-
ne dei colossi di internet mirata a
dissuadere l’Unione Europea dal
portare a termine la riforma sulla
protezione dei dati, o quantomeno
a cercare un compromesso per ammorbidirla. Riguardo a questo, uno
dei principali nodi critici è senz’altro il campo di applicazione del
Regolamento: mentre con la vecchia normativa le multinazionali
straniere che operano nel mercato
online verso clienti dell’area Ue potevano applicare le loro regole, con il
nuovo Regolamento Europeo saranno invece le aziende straniere a doversi conformare alla nostra legge,
permettendo agli utenti europei di
poter contare su maggiori garanzie
e tutela sui loro dati personali.
D. Col nuovo regolamento viene introdotta la figura del «Data
protection officer». Cosa farà e
quali aziende dovranno dotarsene? Questo ruolo potrebbe
essere ricoperto da un avvocato
esperto di privacy?
R. Saranno tenute a nominare
un responsabile della protezione
dei dati, tutte le pubbliche amministrazioni, e le altre autorità e organismi del settore pubblico, che in
Italia sono più di 20.000. Rientrano però in tale obbligo anche tutte
quelle imprese o organizzazioni le
quali trattano su larga scala dati
sensibili, giudiziari, o che richiedono il monitoraggio regolare e sistematico degli interessati, come nel
caso della profilazione degli utenti.
Secondo le stime di Federprivacy,
saranno quindi oltre 45.000 le or-
VkVSIyMjVm9sb0Vhc3lSZWFkZXJfQW5zYSMjI0VDTy4zIyMjSXRhbGlhIE9nZ2kgU2V0dGUjIyMyOS0wOC0yMDE2IyMjMjAxNi0wOC0yOVQwOTozMToxM1ojIyNWRVI=
ganizzazioni che dovranno dotarsi
del cosiddetto «data protection officer», figura che avrà la responsabilità di vigilare che l’azienda rispetti
effettivamente le regole, dando se
richiesto la consulenza necessaria
per adeguarsi, e fungere da punto di contatto sia con gli interessati che con il Garante. Avvocati
e giuristi d’impresa esperti della
materia sono sicuramente avvantaggiati nel poter ricoprire
questo ruolo, ma occorre
completare il profilo con
adeguati skills informatici e trasversali sul modello dei privacy officer
dei paesi anglosassoni,
che possiedono anche
una visione aziendale
inclinata a supportare
le strategie del management nella gestione
dei dati.
D. Chi trarrà vantaggio da questo nuovo regolamento e chi
Nicola
invece sarà più controllato e rischierà
multe più salate?
R. Ne beneficeranno sicuramente le piccole imprese che non effettuano trattamenti di dati personali sensibili o in altri contesti che
presentano specifiche criticità. A
queste sono state infatti concesse
diverse semplificazioni, essendo
state esonerate da adempimenti
burocratici, valutazioni del rischio,
e non dovranno neppure dotarsi del
data protection officer. D’altra par-
te, possiamo individuare proprie
nei soggetti che saranno obbligati
a dotarsi del data protection officer in quelle che saranno maggiormente nel mirino del Garante della
Privacy, ovvero tutte le pubbliche
amministrazioni e tutte le aziende
che trattano dati sensibili su larga
scala, o che svolgono attività che
richiedono il monitoraggio regolare
e sistematico degli interessati.
D. Cosa cambierà
per gli avvocati che
si occupano di privacy? Più lavoro?
Se sì, di che tipo?
R. Agli avvocati e
agli altri professionisti che si occupano di
privacy si presentano
delle interessanti opportunità, in quanto
gli adempimenti del
nuovo Regolamento
sono molti e complessi, e le aziende
difficilmente potranBernardi
no cavarsela da sole,
per cui avranno necessità di consulenti esperti della
materia, e la prima persona a cui
chiederanno cosa devono fare per
adeguarsi sarà proprio il professionista di fiducia. Per avvocati
ed altri professionisti, ci saranno
quindi decine di migliaia di opportunità sia per svolgere attività di
consulenza specialistica, che per
ricoprire eventualmente il ruolo
di data protection officer.
© Riproduzione riservata
STUDI & CARRIERE
Lunedì 29 Agosto 2016
III
Per la compliance necessari professionisti competenti
non sono soggette a tutti gli fatto che la prestazione di mere controversie ed opere- sono convinti Italo De Feo però «il trend si è in parte
servizi e la circolazione dei rà sia come luogo di appello e Marco Leone dello stu- invertito, ma si è anche asobblighi.
«Il Regolamento si pro- dati oggi avviene a livello, rispetto a determinate pro- dio legale e tributario sistito all’illusione di poter
pone di favorire il miglior quanto meno, europeo. «Per nunce dei Garanti nazionali Cms, secondo i quali, data improvvisare questa mateequilibrio tra gli interes- agevolare il coordinamento, e sia come coordinatore in l’importanza del ruolo, le ria, credendo di poterla risolsi delle aziende e la tute- e anche per procedere nella talune procedure determi- aziende tenderanno ad as- vere con documenti riciclati
la dei diritti dei cittadini, elaborazione di linee guida nate. Inoltre, saranno sem- sumere persone o avvalersi su consenso e informativa e
ma è senza dubbio data comuni, è innanzi tutto pre- pre le autorità nazionali ad di consulenti muniti, oltre qualche policy sull’uso desubject-friendly». A dirlo è visto un nuovo organismo il essere chiamate eventual- che delle necessarie compe- gli strumenti elettronici in
Comitato euro- mente ad irrogare le sanzio- tenze, anche di idonee cer- azienda scopiazzata qua e
Giangiacomo
peo per la pro- ni che a differenza di quanto tificazioni, come ad esempio là. La disciplina della priOlivi, partner
tezione dei dati finora stabilito, arriveranno quelle rilasciate dalla Iapp vacy, come detto, è molto di
responsabile
che sostituirà a toccare fino ad un massimo (International Association più e di certo è qualcosa di
del dipartimenil Gruppo eu- di 20 milioni di euro oppu- of Privacy Professionals), la molto più complesso.
to IP&T di Dla
ropeo del Ga- re fi no ad un massimo del più grande ed
Piper che spieIn Italia,
ranti (Gruppo 4% del fatturato annuale di i m p o r t a n t e
ga come grazie
tuttavia, abarticolo 29).
al nuovo Regobiamo dei
gruppo calcolato su base glo- associazione
I l r e g o l a - bale», ha concluso Panetta.
lamento, oltre
al mondo di
grandi centri
mento preveai diritti già
professionisti
di eccellenza
de inoltre un Il Data protection offi cer,
riconosciuti in
della privacy.
ch e o f f r o n o
m e c c a n i s m o un ruolo nuovo
forza della pre«Ciò consenformaziodi assistenza anche per gli avvocati
cedente Direttitirà lo svine continua
reciproca e di
va, «gli interesluppo, anche
anche accoerenza nelsati potranno
creditata e
Col nuovo regolamento a livello acavere un più facertificata,
la produzione viene introdotta la figura del cademico, di
Caterina Flick
cile accesso e un
a manager
r e g o l a m e n - «Data protection offi cer» di nuove figure
maggior controllo
in house e a
tare locale e cui dovranno dotarsi gli enti professionadei propri dati e, in partico- nell’affrontare le questioni pubblici, ovvero gli enti pri- li legate al
professionilare potranno: decidere qua- concretamente poste dagli vati che trattano dati di na- mondo della
sti del libero
li dati potranno continuare interessati», ha aggiunto tura «delicata» o monitorano privacy e speforo, quindi
Luigi
Manna
ad essere trattati dopo un Flick, sottolineando che oc- su larga scala e in maniera c i f i c a m e n t e
il futuro può
certo periodo di tempo, sal- correrà in concreto indivi- sistematica gli individui. «Si riconosciute
promettere
vo che sussistano motivi le- duare l’Autorità Garante di tratta di un soggetto, dipen- dalla legge – continuano De bene», continua Panetta.
gittimi per conservarli, ad riferimento là dove è la sede dente o professionista ester- Feo e Leone.
«La serietà però di tutti i
no, esperto di
es. obblighi di legge (diritto d i s t a b i l i m e n «Il data protection officer meccanismi professionali
n o r m a t i v a dovrà essere obbligatoria- e di business che ruotano
all’oblio); trasferire più age- t o p r i n c i p a l e
e prassi in mente nominato dalle pub- attorno a questo mondo è
volmente i loro dati da un d e l l ’ i m p r e s a
m a t e r i a d i bliche amministrazioni e da funzione di un approccio
fornitore di servizi all’altro (c.d. One-Stopprivacy, con aziende la cui attività prin- che sia fortemente orientagrazie al riconoscimento in Shop) e che a
il compito di cipale implica il monitorag- to al business ma in manieloro favore del diritto alla questa dovraninformare e gio di individui o il tratta- ra etica, ricordando che la
portabilità (una svolta per i no fare rifericonsigliare il mento di dati sensibili su privacy, l’uso dei dati, è una
trattamenti nell’ambito dei mento le Autotitolare del larga scala, fermo restando leva imprescindibile per la
servizi offerti dall’Internet of rità degli altri
t r a t t a m e n - che i gruppi societari po- crescita sana di qualsiasi
Things!); ed essere informati paesi nel caso
to in merito tranno nominare un unico azienda, ma è anche presuptempestivamente in caso di di contenziosi
agli obblighi data protection officer per posto di libertà e di libero e
gravi violazioni dei propri p r o m o s s i d a
derivanti dal l’intero gruppo.
dati personali.
completo godimento dei diritpersone lì resiRegolamento,
Il Regolamento – secondo denti.
Questa nuova figura do- ti per ciascuno di noi».
di vigilare sul vrà essere coinvolta in tutDopo una prima fase di
Olivi – «garantisce un magIn altri terloro effettivo te le fasi dei trattamenti, acceso interesse e necessagior controllo nei confronti di mini: «la perRocco
Panetta
adempimen- monitorare il rispetto del rio adeguamento, secondo
titolari e responsabili coin- sona continua
to, di fornire Regolamento e fungere da Olivi, la maggiore uniformità
volti in trattamenti di dati a potersi rivol«particolari», che svolgono gere all’autorità del pae- valutazioni d’impatto sulla punto di contatto con gli regolamentare derivante dal
attività di monitoraggio e se dove risiede (principio protezione dei dati raccolti, interessati e le autorità nuovo Regolamento dovrebbe
profilazione degli interessati di prossimità) anche se la di interfacciarsi da un lato Garanti».
portare ad una riduzione nel
e che sono impegnate in trat- sede principale dell’impre- con gli interessati, dall’altro
medio periodo della necessità
di rivolgersci ad esperti pritamenti transfrontalieri».
sa è altrove, senza che que- direttamente con il Garan- Più lavoro per gli
vacy, o almeno a non doversi
Sono previste infatti san- sto comporti alcuna lesione te», spiega Luigi Manna avvocati, ma devono
necessariamente rivolgere ad
zioni molte salate per i titola- dei suoi diritti. Le autorità dello studio legale Marti- essere preparati
ri del trattamento, che posso- di controllo locali continue- ni Manna aggiungendo che
un esperto privacy in ciascuno incorrere in sanzioni fino ranno inoltre ad avere una non crede ci siano ostacoli
In Italia, a differenza che na giurisdizione europea.
a 20 milioni di euro o fino al importante funzione consul- legislativi o deontologici in Uk, Germania, Francia
Tuttavia, continua l’avvo4% del loro fatturato globale tiva, in particolare nei
e Stati Uniti, cato di Dla Piper, «il lavoro
annuo. «La sanzione più ele- confronti del titolare
finora gli av- per gli esperti privacy è covata che era stata commina- del trattamento, con
vocati esperti munque destinato ad auta in passato dal nostro Ga- riferimento alle opedi privacy sono mentare: questo perché orrante era di circa un milione razioni di trattamento
ancora pochi. mai tutte le società si sono
(caso Google cars).
particolarmente com« C o n s i d e r a t a rese conto che i dati sono
In questo nuovo contesto plesse», ha spiegato
la vasta platea un asset fondamentale, e
lo scenario sanzionatorio Flick.
dei professio- un’attenta compliance dimuta radicalmente. Sarà
I poteri delle Autonisti del foro, è viene sempre più la strada
importante stabilire dei cri- rità Garanti – seconnulla la percen- obbligata per procedere con
teri attuativi omogenei, onde do Rocco Panetta,
tuale di avvo- un’attenta valorizzazione.
evitare che vengano applicati partner di Nctm Stucati specializ- Se poi pensiamo all’applidalle autorità nazionali cri- dio Legale – vengono
zati in privacy cazione dei principi della
teri interpretativi (e quin- invece «notevolmente
se paragonata privacy by design al mondo
di sanzioni) disomogenei. I rafforzati», sia nella
ai divorzisti, ai dell’Internet delle cose, alla
grandi conglomerati globali loro singolarità, sia
lavoristi, ai pe- cybersecurity e alle nuove
Italo
De
Feo
Marco
Leone
che trattano grandi quantità attraverso il nuovo ornalisti, o agli applicazioni, la privacy sarà
di dati rischiano di più, ma ganismo europeo che
esperti di altri sempre più un’area stratenon sono i soli a rischiare», viene ad essere creato.
allo svolgimento di questo settori anche più di nic- gica».
conclude Olivi.
Si tratta del cosiddetto ruolo da parte di un avvo- chia». Ricorda Rocco Panet© Riproduzione riservata
European Data Protection cato.
ta, che spiega come anche i
Il data protection officer grandi studi legali associaBoard (Edpb), che come
Cosa cambia
spiega Panetta «sarà for- dovrà chiaramente essere ti, abituati ad assistere le
per i garanti nazionali
Supplemento a cura
mato da rappresentanti dei un esperto della legge sul- aziende nei loro bisogni di
di ROBERTO MILIACCA
Riguardo al ruolo svolto 28 Garanti nazionali e che la privacy. «Tale ruolo potrà business e di compliance,
[email protected]
dai Garanti nazionali, nel andrà a sostituire l’attuale essere ricoperto tanto un di- abbiano molto trascurato
regolamento, secondo Ca- Gruppo dei Garanti che ave- pendente dell’impresa quan- questa materia nei venti
e GIANNI MACHEDA
terina Flick dello studio va ed ha solo poteri consul- to da un consulente esterno, anni di esercizio della [email protected]
come un avvocato esperto mativa vigente.
legale Nunziante Magro- tivi e di indirizzo.
Il nuovo Edpb i potrà diri- in materia di privacy». Ne
Da quattro o cinque anni,
ne, si è tenuto conto del
VkVSIyMjVm9sb0Vhc3lSZWFkZXJfQW5zYSMjI0VDTy4zIyMjSXRhbGlhIE9nZ2kgU2V0dGUjIyMyOS0wOC0yMDE2IyMjMjAxNi0wOC0yOVQwOTozMToxNFojIyNWRVI=