Tempo di lettura stimato: 7'
L’UE sta diventando il regolatore globale dei dati personali. Lo abbiamo visto con le ultime novità sulle Standard Contractual Clauses e i cookies, solo per fare due degli esempi più recenti.
È chiaro ormai che le norme comunitarie - i regolamenti e le direttive, e primo fra tutti il GDPR - stanno definendo lo standard mondiale in materia di protezione dei dati. Ma come nascono queste norme?
Chi è che decide cosa devono contenere i regolamenti e le direttive con cui più o meno tutti facciamo i conti ogni giorno?
Chi li pensa? Quali istituzioni sono preposte a fare questo e qual è il loro peso?
Ne ho parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, insieme al Dottor Innocenzo Genna, giurista specializzato in strategie, public affair e regolamentazione europea.
Qui trovi solo un estratto. Il resto è sulla Raise!
Capire il contesto, per capire come e perché nascono direttive e regolamenti (e non solo quelli!)
Non parliamo di compliance, ma apriamo la visione - che spesso è limitata a quello che facciamo tutti i giorni -, perché va bene essere conformi, ma se guardiamo solo a quello, siamo come lo struzzo che tiene la testa sotto la sabbia e si concentra su quello che vede lì dentro e basta.
Fuori c’è un contesto.
La compliance lavora all'interno di un contesto sociale, politico, di regolamenti, di leggi e di evoluzioni. È importante capire il quadro, così possiamo sapere da dove siamo partiti e dove stiamo arrivando.
"Ce lo chiede l'Europa…”
Partiamo dal fatto che il tema dei dati è al centro dell'Agenda Europea. E non parliamo solo di dati personali. Sappiamo che il contesto europeo, in questo momento, sta trattando il tema protezione dati personali e privacy e c’è un dibattito che è ancora in corso.
Capire come funzionano le istituzioni, ci serve per avere una chiave di lettura di tutto questo, in particolare quando si leggono certe notizie sui giornali, cose tipo “Ce lo chiede l’Europa”.
Perché, cosa succede di solito?
Succede che, quando c’è una nuova norma, una direttiva, un parere, una linea guida – quello che vuoi – a livello UE, la stampa e i giornali semplificano e dipingono l’Unione Europea come se fosse un grande scatolone di cui non sappiamo niente.
Sembra quasi un soggetto staccato dal resto, che emana norme di cui non abbiamo il controllo, per complicarci la vita.
Il quadro istituzionale europeo invece è complesso (basta pensare a come si è arrivati al GDPR). È importante capire quale istituzione ci sta chiedendo la tal cosa e in quale contesto, prima di semplificare tutto dicendo "Ce lo chiede l'Europa..."
Privacy e Data Protection nella UE: una panoramica veloce sulle istituzioni principali
Fai presto a dire istituzioni europee. Ma sai quali sono? Sai quali decidono?
Facciamo un quadro veloce.
Le istituzioni fondamentali dell’UE sono:
- il Parlamento,
- il Consiglio dell'UE,
- e la Commissione europea,
- a cui si aggiunge anche il Consiglio Europeo
Lo so, si rischia di fare confusione con i due consigli, ma andiamo avanti.
Partiamo dai primi e poi vediamo il resto.
Parlamento europeo, Consiglio dell’UE e Commissione
Il Parlamento viene eletto ogni 5 anni e lo eleggiamo direttamente noi cittadini dell’Unione Europea.
Il Consiglio dell’UE invece non è eletto, ma è formato dai rappresentanti dei governi, cioè dai ministri dei governi degli Stati membri che si riuniscono “per materia”.
Ti faccio un esempio: si parla di agricoltura? Allora si riuniscono i vari ministri dell’agricoltura (quello italiano, quello tedesco, quello francese e così via).
Si parla di economia? Allora si riuniscono i ministri dell’economia e via dicendo.
Bene. Parlamento europeo e Consiglio dell’UE hanno più o meno la stessa posizione, perché sono i due organi legislativi dell’Unione Europea.
La Commissione europea invece è l'organo esecutivo - pensalo un po’ come se fosse un "insieme di ministeri" - ed è un soggetto molto forte, perché concentra su di sé tutta l'iniziativa legislativa.
Quando a Bruxelles c’è qualcosa di nuovo, sappi che parte dalla Commissione.
Chiaro?
Bene.
Poi però ci sono altre istituzioni. C'è il Consiglio Europeo, di cui abbiamo sentito parlare parecchio, di recente, a causa dello scandalo della sedia a Istanbul, e altre autorità, più o meno note, che hanno un nuovo peso, soprattutto quando si parla di dati personali.
Consiglio Europeo (che non è il Consiglio dell’UE)
Il Consiglio Europeo non è il Consiglio dell'Unione Europea. Lo abbiamo detto.
Cos’è allora? È l'insieme dei capi di Stato dei singoli Paesi (quindi non i singoli ministri), con la Presidente della Commissione Ursula von der Leyen e con l'Alto Rappresentante degli Affari Esteri.
È una sorta di organo sovraordinato, che dovrebbe avere una posizione più alta delle altre istituzioni, perché ha un potere di indirizzo politico.
Gossip! È per questo motivo che, a Istanbul, Michel (Presidente del Consiglio Europeo) non ha ceduto la sedia alla Presidente della Commissione Europea von der Leyen, ritenendo che lui fosse più alto in grado. E poi sappiamo com’è andata a finire…
Ora, lasciamo da parte l’etichetta e torniamo al contesto.
Abbiamo visto le istituzioni, vediamo adesso le varie autorità.
Le autorità: European Data Protection Supervisor, European Data Protection Board, BEREC e Corte europea
Di autorità che si occupano in qualche modo di dati personali, a livello UE, ce ne sono diverse. Te le elenco qui sotto per punti:
- l’EDPS (European Data Protection Supervisor), cioè il Garante europeo per la protezione dati personali.
È un'autorità indipendente, nominata congiuntamente da Parlamento e Consiglio, che ha attualmente un'esposizione che a volte è anche maggiore di quella che dovrebbe avere. Perché dovrebbe, prima di tutto, assicurare che la Data Protection venga attuata in maniera corretta dalle istituzioni europee nei confronti dei propri dipendenti o dei soggetti terzi (quindi un lavoro "un po' più amministrativo"). Però ha anche un ruolo di consigliere: cioè ogni volta che c'è una proposta legislativa, che può avere un impatto sulla protezione dei dati, dà un’opinione oppure lo fa quando c’è qualcosa di nuovo.
La visibilità dell’EDPS è cresciuta di recente, probabilmente perché il passato Presidente, Giovanni Buttarelli, gli ha dato una grande visibilità, grazie alla sua capacità personale. Quindi, è per questo che il Garante europeo è visto come un'autorità di regolazione della Data Protection, che però – chiariamoci - non è: è un organo che dà semplicemente delle opinioni e dei pareri.
Avendo ormai questo ruolo di prestigio, quando l’EDPS dà la sua opinione, si genera un po’ di “apprensione”.
- l'EDPB (European Data Protection Board) è un organo indipendente, che ha preso il posto di un organo precedente (il Working Group dell’articolo 29).
Cos’è? È un soggetto che mette insieme i regolatori europei della Data Protection, che insieme definiscono delle regole di implementazione, danno delle linee guida e dei pareri.
Parlando di GDPR, penso per esempio alle “Linee Guida per il trattamento dei dati personali nel targeting fatto con social media”, che ha stabilito la contitolarità tra i fornitori dei social e l’inserzionista (e su questo, ti consiglio di andare a leggere l’articolo per sapere cosa ne penso).
Quindi è un insieme di regolatori ed è per questo che è diverso dall’EDPS. In più non ha l’obiettivo di diventare un’agenzia (quindi è un soggetto che sta sopra i regolatori nazionali).
- il BEREC è l’equivalente nell’EDPB nel campo telecom. Anche questo è un insieme di regolatori, che preferiscono mantenere la loro autonomia. Si occupa di telecomunicazioni – quindi, se pensiamo all’Italia, possiamo vederlo come l’equivalente dell’Agicom – ma ormai sta espandendo le sue competenze. Si sta occupando sempre di più di dati (personali e non personali).
- Poi c’è la Corte europea, che possiamo immaginare come la Corte di cassazione e la Corte costituzionale messe insieme.
Non si limita solo giudicare se una norma europea è legittima o non è legittima, o se una norma nazionale è legittima oppure no rispetto a quella europea. Ma fa di più Quando c'è un caso di fondamentale importanza, prende delle posizioni e quindi, di fatto, pone dei principi che prevalgono anche sul diritto europeo.
Quindi diventa "un creatore di diritto".
Prendiamo il diritto all'oblio. Questo è un principio che la Corte, a un certo punto, ha prodotto. Non stava scritto chiaramente da nessuna parte che ci fosse, ma la Corte l'ha creata e il legislatore europeo si è adeguato e l'ha introdotto nel GDPR.
Quindi le norme europee da dove nascono?
È questo sistema istituzionale che, poi, crea le norme europee. L'iniziativa spetta alla Commissione, che fa le proposte di legge, ma gli input arrivano un po' dagli Stati membri, a volte dal Consiglio europeo, a volte dallo stesso Parlamento europeo.
Come avviene l’iter?
Cosa sono la procedura di codecisione e il Trilogo?
Le relazioni tra queste istituzioni e i loro poteri quali sono?
E il dopo Brexit? Gli equilibri sono cambiati… cosa succederà?
Trovi tutto questo e molto altro nel LIVE di Raise Academy “Comprendere i quadri normativi e il sistema istituzionale.”
Perché questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.