Teresella Consonni
Primi segnali di cambiamento: parametro di legittimità per l’applicazione e l’interpretazione di qualunque norma riguardante la protezione dei dati personali il GDPR sta producendo i primi effetti visibili. Il commento di Teresella Consonni.
I primi effetti del Regolamento General Data Protection Regulation-GDPR o Regolamento generale sulla protezione dei dati personali ovvero Regolamento Europeo 2016/679, entrato in vigore il 25 maggio 2018 nei 28 Paesi Ue, si stanno già palesando, con situazioni forse inattese da parte del mercato e degli operatori.
Diverse società americane, attive nei media, sembra preferiscano rinunciare al bacino di mercato della Ue piuttosto di scegliere di adeguarsi alle nuove regole sulla data protection richieste dal GDPR: circa un terzo dei primi 100 quotidiani statunitensi ha scelto di bloccare gli utenti europei (fonte: NiemenLab). 1.000 siti di news, inoltre, sono diventati ormai inaccessibili per utenti europei e per americani in viaggio in Europa.
Testate statunitensi come il New York Daily News, il Chicago Tribune e il Los Angeles Times non sono più consultabili da Roma, da Parigi, da Berlino o da Londra. Anche alcuni dei maggiori gruppi editoriali oltre oceano, infatti, hanno scelto di non allinearsi al nuovo Regolamento della Unione europea e così molti siti d’informazione restano inaccessibili per gli europei o per gli americani in viaggio in Europa.
Per quanto riguarda i siti di news europei si è ridotto in modo sostanziale il numero di cookie utilizzati senza il consenso degli utenti dopo che il Regolamento generale sulla protezione dei dati personali è diventato a ogni titolo effettivo alla fine dello scorso maggio.
Una ricerca del Reuters Institute for the Study of Journalism della Università di Oxford, che ha censito oltre 200 siti di notizie europei ad aprile e poi a luglio 2018 – dopo la piena applicazione del nuovo Regolamento GDPR – dimostra che il numero di cookie di terze parti presenti sui siti di informazione si è ridotto del 22 per cento, con una discesa significativa per i cookie pubblicitari e di marketing (-14%) e dei social media (-9%). In diminuzione anche il numero di siti che ospitano contenuti di social media, come i bottoni di condivisione di Facebook e Twitter (-7%). Secondo i ricercatori della Università di Oxford è la dimostrazione che alcuni media stanno rispondendo al nuovo Regolamento Ue, ottenendo il consenso degli utenti per il tracciamento condotto da soggetti terzi attraverso i loro siti, oppure stanno tagliando il numero dei cookie.
Per quanto riguarda i siti italiani, il numero di cookie di terze parti è diminuito del 32%, più della media Ue. Il calo non colpisce però i maggiori fornitori di servizi di tracciamento degli utenti, come Google, Facebook e Amazon: la maggior parte dei siti europei, infatti, ha smesso di usare cookie di servizi meno noti.
Va ricordato che i cookie sono file depositati nei computer dai siti e possono servire per il loro funzionamento ma anche per tracciare la navigazione degli utenti in modo da potere inviare messaggi pubblicitari mirati. Il GDPR ha modificato la disciplina sui cookie, soprattutto nella parte relativa al consenso. Secondo le nuove regole del Regolamento Ue, il consenso deve essere espresso tramite un “atto positivo” attraverso il quale un utente esprime la propria intenzione: libera, specifica, informata e inequivocabile di accettare il trattamento dei propri dati personali. In pratica questo atto equivale a scegliere di selezionare una specifica impostazione tecnica tra le opzioni del browser sull’accettazione o sul diniego dei cookies. Uno dei nuovi obblighi imposti prevede, infatti, di adottare in merito meccanismi di opt-out per potere revocare il consenso perciò ogni sito web dovrebbe predisporre un meccanismo per ottenere un consenso informato e attivo e fornire anche un metodo per la revoca del consenso.
Alla entrata in vigore del Regolamento generale sulla protezione dei dati personali, diversi editori si sono dotati di CMP – Consent Management Platform: piattaforme create proprio per raccogliere e gestire con maggiore facilità i consensi degli utenti all’uso dei propri dati per scopi pubblicitari. Questo tipo di strumentazione ha dimostrato di essere in grado di portare maggiore profitto a chi ha fatto per tempo la scelta di adeguarsi alla nuova normativa.
Una ricerca internazionale è stata realizzata tra marzo/aprile e giugno/luglio 2018 da Mediavine (una società di monetizzazione) per controllare se l’uso delle piattaforme (Consent Management Platform) ha comportato effetti per gli editori su CPM (cioè costo per mille impression) e fill rate (ossia il livello di riempimento degli spazi pubblicitari). I dati raccolti hanno verificato che l’adeguamento al GDPR ha prodotto benefici economici per gli editori che hanno scelto di rendersi compliant al GDPR per la clientela residente nei 28 Paesi Ue. In base ai risultati della ricerca, infatti, chi ha introdotto una piattaforma per raccogliere con maggiore facilità i consensi degli utenti alla utilizzazione dei propri dati per scopi pubblicitari ha riscontrato un aumento del 9 per cento del costo per mille impression degli annunci, oltre una crescita del 5% nella occupazione degli spazi pubblicitari. Chi, invece, non ha ritenuto di introdurre una piattaforma CMP per il traffico in provenienza dall’Europa ha visto nel periodo in esame una diminuzione rispettivamente del 43% (CPM) e del 34% per il livello di riempimento degli spazi pubblicitari.
In particolare, la redditività è risultata più elevata. Infatti, la differenza a livello di costo per mille impression è significativa: l’adozione di una consent management platform ha fatto registrare – dopo l’entrata in vigore del GDPR – CPM medi il 52% più alti rispetto a chi non ha cambiato il proprio assetto in funzione del regolamento GDPR. Per quanto concerne il livello di riempimento degli spazi pubblicitari (o fill rate), i valori si sono rivelati più elevati del 39% rispetto agli editori che non hanno adottato le piattaforme per adeguarsi alle nuove normative europee.
È bene ricordare che il Regolamento Europeo 2016/679 si applica ai cittadini europei anche se le società che erogano i servizi sono ubicate in area non europea.
Queste informazioni, tra i primi segnali osservati dal mercato degli addetti ai lavori, dimostrano l’avvio di cambiamenti e di nuovi processi, destinati a incidere in modo significativo sui comportamenti degli operatori e dei consumatori utenti, in particolare modo nel web.
Il 4 settembre 2018 è stato pubblicato nella Gazzetta Ufficiale, il Decreto Legislativo n. 101 del 10 agosto 2018, con il quale l’ordinamento italiano ha proceduto all’attuazione del Regolamento UE 2016/679, noto con l’acronimo inglese di GDPR – General Data Protection Regulation e «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE». Il decreto ha sofferto di un prolungato e travagliato periodo di attesa, malgrado un arco temporale di oltre due anni concesso dal legislatore europeo a vantaggio degli stati membri in vista dell’adeguamento alla nuova disciplina prevista dal GDPR: emanato in aprile 2016 il regolamento, infatti, è entrato in vigore il 25 maggio 2018. La corrispondente legge delega – Legge di Delegazione Europea 2016/2017, n. 163/2017 – è entrata in vigore il 21 novembre 2017. E la Commissione Finocchiaro, nominata a fini coadiuvanti dal Ministro della Giustizia il 14 dicembre 2017 si è insediata il 4 gennaio 2018. Ai ritardi si sono aggiunte, a partire dal mese di marzo 2018, le difficoltà collegate alla investitura del nuovo governo.
Questo percorso difficoltoso fa capire la tecnica legislativa utilizzata per la redazione del decreto n. 101, che risulta assai complesso e articolato e si innesta su un terreno normativo davvero intricato. La Commissione intendeva invece abrogare e sostituire integralmente il “vecchio” Codice, così da realizzare l’obiettivo di attuare il nuovo Regolamento generale sulla protezione dei dati personali con una significativa semplificazione della normativa. Il Governo ha preferito scegliere la novellazione del Codice: una pratica invasiva, che potenzia la carenza di coerenza del sistema normativo. Infatti, la protezione dei dati personali è regolamentata, dal GDPR e dal Codice come riformato dal decreto n.101 e dalla Direttiva 2016/680 e dal corrispondente decreto attuativo n. 51/2018, che dettano la disciplina in tema di privacy rispetto alle attività di giustizia e polizia. Molte sono le difficoltà con le quali tutti gli interpreti e, soprattutto, professionisti e organizzazioni sono chiamati a confrontarsi dal 19 settembre 2018: la data in cui il decreto n.101 diviene ufficialmente operativo. La percezione nel mercato è di un crescente disagio rispetto a come operare nella quotidianità senza affrontare rallentamenti e difficoltà aggiuntive alle molteplici tensioni collegate alle esigenze di un mercato globale attraversato dalla trasformazione digitale.
Una certezza, pur nella complessità di lettura e d’interpretazione, resta tuttavia sovrana: la centralità del GDPR e del nuovo approccio conseguente alla entrata in vigore del nuovo Regolamento. Il GDPR, infatti, resta parametro di legittimità per applicazione e interpretazione di qualunque norma riguardante il mondo della protezione dei dati personali: singole disposizioni trovano applicazione finché sono conformi al GDPR e al suo intento.
Di conseguenza, il nuovo approccio alla materia della privacy è quello di cui si fa espressione il GDPR e con il quale sono da leggere, interpretare e applicare le disposizioni nazionali dei 28 Paesi. Da un sistema individualistico della protezione, incentrato sulla regola del consenso e fatto proprio dalla versione precedente del Codice si passa così a un parametro che intende salvaguardare funzione sociale e dimensione collettiva del diritto alla protezione dei dati personali in funzione della natura ambivalente della informazione personale: dato d’identità personale e, insieme, elemento di mercato.Il GDPR è orientato alla tutela del dato personale e alla creazione di un unico mercato digitale europeo. Queste prime considerazioni potrebbero quindi rappresentare una base utile per chi debba interpretare il disordinato tessuto normativo relativo alla disciplina in tema di privacy con la inclusione del decreto n.101 che diviene effettivo dal 19 settembre 2018.
In futuro, l’Autorità Garante della protezione dei dati dovrà intervenire a fornire interpretazioni e, nella nuova impostazione normativa, la sua centralità è testimoniata dall’inserimento della investitura ad autorità di controllo già in quelle che sono state ribattezzate «Disposizioni generali», ovvero Titolo I della Parte I. Numerosi e delicati sono i compiti addossati al Garante. E il lavoro che spetta al Garante esige velocità per evitare la permanenza in vigore di vecchie norme del codice, magari divenute incompatibili con la nuova impostazione di cui è espressione il GDPR e forse anche per colmare eventuali lacune normative, provocate dalla perdita di vigore giuridico di alcune disposizioni preesistenti. Anche le cosiddette regole deontologiche sono dotate di una forza che trascende caratteristiche tipiche degli atti di soft law, dato che la loro violazione diviene causa di illegittimità del trattamento ex art. 2-quater del Codice, come introdotto dall’art. 1 del decreto di adeguamento.
Al momento il raccordo tra le varie fonti che compongono il mosaico normativo in essere sollecita vari dubbi per chi deve interpretare e contribuisce alla diffusa convinzione della oggettiva difficoltà per essere “GDPR compliant” da parte di professionisti e organizzazioni di ogni dimensione. Una difficoltà in cui molti tendono a rifugiarsi in luogo di adeguarsi alle normative ormai in vigore. Molti soggetti del mercato ancora oggi non assolvono gli obblighi dettati dal GDPR: non sono in linea con i requisiti del Regolamento per quanto riguarda metodi e procedure di archiviazione, trattamento, gestione e recupero dei dati e, in quanto inadempienti alla normativa ormai in vigore, sono passibili di pesanti sanzioni.
A partire dal 19 settembre 2018, data di entrata in vigore del decreto legislativo n. 101, la intera normativa italiana in materia di protezione dei dati deve essere interpretata e applicata alla luce del GDPR. L’entrata in vigore è immediata, integrale e senza alcun periodo di applicazione facilitante come ricorda al mercato in propri contributi destinati a fare chiarezza Franco Pizzetti, professore ordinario di Diritto Costituzionale della Facoltà di Giurisprudenza della Università di Torino. Il decreto n. 101 entra in vigore e deve essere applicato e fatto applicare come legge dell’ordinamento italiano: ha fine così il periodo di vacatio legis. E, anche se forse sarebbe stato utile prevedere un periodo di vacatio legis più lungo, per consentire di capire meglio e in modo approfondito una normativa complessa, così non è stato e non è stato stabilito alcun periodo di applicazione meno rigorosa delle disposizioni da parte della Autorità garante o di altri.
L’art. 22, comma 8 del decreto n.101 non ripete, infatti, le raccomandazioni fatte da Camera e Senato che consistevano in una previsione di rinvio di otto mesi della applicazione della normativa in materia di tutela dei dati personali da parte dell’Autorità garante, ma si limita invece a raccomandare al Garante, solo ai fini della applicazione di eventuali sanzioni, di tenere conto per otto mesi dalla entrata in vigore del decreto “della fase di prima applicazione delle norme sanzionatorie”. Pertanto, durante un periodo di otto mesi dalla entrata in vigore del decreto, il Garante – ai fini delle sanzioni amministrative – tiene conto “della prima fase di applicazione delle norme sanzionatorie”. Non si tratta quindi di una moratoria, ma di una indicazione di ragionevolezza indirizzata a chi vigila sul rispetto della legge. Considerata la complessità del quadro normato dal Regolamento e rifinito dalla legge delega questa sottolineatura è importante, specie per le organizzazioni, ma va ricordato che la ragionevolezza è limitata dalla compatibilità con il GDPR.
Il Garante dovrà anche individuare modalità semplificate di applicazione del Regolamento generale sulla protezione dei dati personali per piccole e medie imprese. E si attende l’intervento per valutarne la portata, in quanto le semplificazioni potrebbero insistere sulle modalità di adeguamento e non sugli obblighi. In ogni caso le organizzazioni – di ogni tipo e dimensione – potrebbero e dovrebbero avere già provveduto ad adeguarsi al GDPR, ormai in vigore a pieno titolo.
