Aggiornamento sulla legge francese

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Le ultime due righe del GDPR, che abroga l'articolo 94 della Direttiva 95/46/CE, ovvero il precedente testo di riferimento in materia di protezione dei dati, sono le seguenti: "Esso si applica a decorrere dal 25 maggio 2018. Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri". Non vi è quindi alcuna necessità di trascrizione in una legge a livello nazionale. Ciononostante, gli Stati sono invitati a farlo, il che corrisponde alla prassi di molti di loro. Là dove vediamo che l'Europa non è ancora una federazione, lungi da ciò.

La Francia ha quindi elaborato un progetto di legge (un testo sottoposto al Parlamento, unico detentore del potere legislativo, ma proposto dal governo) che recepisce le disposizioni del regolamento europeo sulla protezione dei dati personali (noto come "pacchetto europeo"). Questo testo, presentato a metà dicembre 2017 dalla Ministra della Giustizia Nicole Belloubet, è stato adottato il 13 febbraio 2018 dall'Assemblea Nazionale a larghissima maggioranza (505 voti a favore, 18 voti contrari e 24 astensioni). Per entrare in vigore, deve ancora essere approvato dal Senato, che lo esaminerà a partire dal 20 marzo (non conosciamo quindi il risultato al momento in cui scriviamo, a inizio marzo, ma non vi è motivo per cui i senatori debbano votare diversamente dai loro colleghi parlamentari su questo punto).

Ieri era in vigore la legge sulla protezione dei dati del 1978. Questa longevità dimostra l'intelligenza dei promotori di questa legge all'epoca (Internet non esisteva), anche se ora è obsoleta. La nuova legge sostituisce quindi quella del 1978, così come il GDPR sostituisce la direttiva del 1995 a livello europeo. Alle disposizioni del regolamento che abbiamo visto, aggiunge quelle di una direttiva applicabile ai fascicoli penali (che riguarderebbe in particolare il fascicolo nazionale delle impronte genetiche, quello delle divieti di accesso agli stadi o persino il trattamento dei casellari giudiziari).

"Ciò comporta uno snellimento delle formalità preliminari a favore di un processo di responsabilizzazione delle parti interessate e il rafforzamento dei diritti individuali. In cambio, i poteri della CNIL vengono rafforzati e le sanzioni previste vengono considerevolmente inasprite", ha affermato la signora Belloubet, riecheggiando la filosofia della normativa europea.

La legge va ancora oltre il GDPR su due punti: l'età della "maggiore età digitale" e le azioni collettive. Sul primo punto, ricordiamo che il GDPR la fissa a 16 anni, ma consente agli Stati di abbassarla a 13. La Francia ha scelto una posizione intermedia: "Un minore può acconsentire autonomamente al trattamento dei dati personali a partire dai 15 anni" (questa riduzione di un anno non è stata decisa dal governo, ma dagli stessi deputati, sotto forma di un emendamento alla bozza iniziale). Tra i 13 e i 15 anni è richiesto il consenso dei genitori. Al di sotto dei 13 anni, qualsiasi raccolta di dati è vietata. Ma come possono essere applicate tali disposizioni quando sappiamo che, secondo uno studio della CNIL del giugno 2017, il 63% dei ragazzi di età compresa tra 11 e 14 anni è iscritto a un social network, che 4 su 10 mentono sulla propria età e che le piattaforme o i social network stabiliscono le proprie regole (è possibile registrarsi su Facebook senza l'autorizzazione dei genitori a partire dai 13 anni)?

L'altro punto di forza della nuova legge sulla protezione dei dati è la possibilità di azioni collettive, già avviate dalle leggi del 2014 e del 2016, ma che questa volta consentirebbero il risarcimento dei danni di "natura materiale o morale", mentre finora venivano presi in considerazione solo i danni patrimoniali. Nonostante la difficoltà di attuazione di tale procedura, si tratta di un ulteriore strumento di pressione sulle aziende previsto dalla nuova legge francese.

Il testo francese, in conformità con il GDPR, che prevede eccezioni per gli ambiti legati alla sicurezza, mantiene l'autorizzazione preventiva per il trattamento dei "dati biometrici necessari all'identificazione o alla verifica dell'identità delle persone fisiche". Allo stesso modo, la normativa europea non si applica a una dozzina di cosiddetti file "di sovranità", come il file di allerta per la prevenzione della radicalizzazione di natura terroristica (FSPRT).

Un aspetto sorprendente della legge sembra essere stato poco menzionato: il disegno di legge autorizza il governo a riscrivere l'intera legge sulla protezione dei dati entro sei mesi, sotto forma di ordinanza (articolo 38 della Costituzione, il governo agisce in un ambito che è in particolare quello del Parlamento). Questa nuova legge sulla protezione dei dati avrebbe quindi una durata limitata? Non solo ciò sembra sorprendente, dato che il contenuto principale della legge è il recepimento di un importante regolamento europeo, concepito per durare. Ma inoltre, ci si chiede perché il Parlamento dovrebbe rinunciare al suo potere su una questione così fondamentale. Infine, come possiamo imporre alle aziende di conformarsi entro il 25 maggio 2018, se le regole del gioco cambieranno nei prossimi mesi?

Il raro consenso nel nostro Paese sulle nuove misure a favore della protezione dei dati non deve impedirci di ascoltare le critiche, quando provengono da persone con innegabile competenza in materia. Ci limitiamo a menzionarne due.

Il primo è di Yann Padova, ex segretario generale della CNIL, ora avvocato presso Baker McKenzie, che ha scritto su Les Échos il 29 gennaio: "Il nostro mondo sta vivendo un'ondata di dati, il cui volume raddoppia ogni ventiquattro mesi. Facilitare la loro analisi, cercare nuove correlazioni e favorire l'emergere di servizi innovativi: questa è la sfida dei Big Data oggi e dell'intelligenza artificiale domani. Rifiutando di sfruttare questa possibilità, il disegno di legge sceglie il conservatorismo. Considerati i punti di forza della nostra industria francese e della nostra scuola matematica, questa scelta è deplorevole. Dimostra ancora una volta la scarsa considerazione del legame tra innovazione, protezione dei dati e sviluppo industriale".

Il secondo è di Laurent Alexandre, specialista di intelligenza artificiale (tra le altre), le cui analisi illuminanti ci illuminano da anni sull'impatto delle tecnologie NBIC (nanotecnologie, biotecnologie, informatica, scienze cognitive) sulle nostre vite. Nella sua rubrica del 24 gennaio 2018, intitolata "La CNIL dovrebbe essere abolita?", scrive: "... l'IA trova correlazioni inaspettate tra i dati, che sembrano, a priori, poco interessanti. Qualsiasi restrizione alla raccolta dei dati ostacola certamente tutti gli operatori, ma soprattutto consente alle aziende cinesi o americane di prosperare senza la concorrenza europea". E ancora: "A Bruxelles, abbiamo bisogno di una Thatcher dei dati per guidare la guerra tecnologica. Su scala francese, dobbiamo rivoluzionare la CNIL, che è guidata da una squadra straordinaria, ma che persegue l'obiettivo sbagliato. Dobbiamo arricchire la sua missione integrando gli interessi tecnologici del nostro Paese".

Non è questa la sede per aprire un dibattito. Ma queste due sagge prospettive ci dimostrano che la legittima protezione dei dati personali non deve essere esercitata a scapito dell'innovazione e dello sviluppo economico, altrimenti saremo asserviti.