Il legame tra diritto e arte e, in particolare, la capacità e l’idoneità del primo a comprendere e regolare la seconda rappresenta un tema “caldo”, costantemente al centro di accurate analisi da parte di giuristi e operatori del settore di riferimento.
La tensione esistente tra i due mondi non riguarda soltanto la molteplicità e la complessa evoluzione dei modi di espressione artistica con cui il diritto è chiamato a confrontarsi ma nasce, spesso, dalle “antitetiche” peculiarità che li contraddistingue: da un lato, una regolamentazione fondata su regole scritte; dall’altro lato, rapporti conservati sulla fiducia e la parola.
A prescindere dalle regole speciali dedicate al settore, le varie normative generali trovano nell’arte un ostacolo applicativo, in quanto vengono percepite come scollegate dalle specifiche del settore stesso e dalle sue esigenze.
Anche la normativa in materia di protezione dei dati non si sottrae alla questione, essendo spesso intesa come un insieme di adempimenti burocratici che rischia di rallentare il sistema che muove il mercato dell’arte e i suoi naturali processi; sistema che, come si sa, trova la propria pietra miliare nelle interazioni umane e che è, quindi, portato a guardare con diffidenza tutto ciò che possa minare la fluidità, l’immediatezza e, in un certo senso, l’informalità delle relazioni che danno vita alle varie organizzazioni che operano nell’arte e le alimentano (come le gallerie, le case d’aste, etc.).
Un mondo, quello dell’arte, che risulta agli occhi degli “estranei” come una sorta di circolo privato ed elitario, dove si incontrano solo coloro che ne fanno parte (artisti, direttori di musei, critici d’arte, galleristi, agenti e collezionisti) e i cui rapporti si evolvono secondo prassi dagli stessi condivise.
La chiave di volta del problema sta nel superare l’attuale approccio mentale e concepire la normativa sulla protezione dei dati come un mezzo di tutela di tali relazioni piuttosto che come elemento di intrusione e rallentamento delle stesse.
Con l’entrata in vigore del Regolamento (UE) 2016/679 (il “GDPR”), il legislatore ha voluto porre l’accento sulla portata della “nuova” normativa come mezzo di tutela dei diritti e libertà fondamentali delle persone, con particolare riferimento al diritto alla protezione dei dati personali.
Non si tratta, infatti, di proteggere il dato personale in sé, ma la persona fisica – cui il dato personale si riferisce – in tutte le sue possibili sfaccettature (cioè in considerazione del suo essere complessivo: come professionista, consumatore, etc.).
Trascinando queste premesse nel mondo dell’arte, dove la maggior parte dei collezionisti preferisce che il proprio acquisto non venga divulgato e che la propria collezione resti “segreta” e lontana da occhi indiscreti, emerge la fondamentale importanza che ricopre, per gli operatori del settore, l’osservanza della normativa in parola, non solo come obbligo di legge ma – diversamente da ciò che l’opinione comune pensa – come strumento di soddisfacimento proprio di quella riservatezza che il sistema richiede.
Pensiamo al quantitativo di dati personali che, di norma, una galleria o una casa d’asta si può trovare a raccogliere in merito a coloro che si rivolgono a tali realtà per acquistare le opere: dai dati comuni e bancari-finanziari (quali dati anagrafici, coordinate di contatto, IBAN, etc.) a quelli relativi a valutazioni di aspetti personali (come la passione/preferenza per un certo artista o epoca o corrente), fino a quelli definibili “particolari” (in quanto idonei a rivelare, ad esempio, le opinioni politiche, le convinzioni religiose, filosofiche o di altro genere o anche “solo” le esigenze alimentari nel caso di partecipazioni a eventi) e, ancora, i dettagli dell’opera acquistata (quotazione, valore e data di acquisto, evento/occasione in cui è stato effettuato l’acquisto, dati tecnici, autore, titolo, anno, tecnica, misure, etc.) o gli eventi cui il collezionista ha partecipato.
Proviamo, a questo punto, ad immaginare le conseguenze che potrebbero derivare dalla perdita o divulgazione illegittima di tali dati per un malfunzionamento della struttura informatica, per un errore nell’invio di e-mail, per la perdita o il furto di un dispositivo contenente una copia della banca-dati dei clienti o, ancora, per contratti di collaborazione con consulenti e fornitori completamente avulsi dall’indicazione di linee guida per la corretta gestione dei dati.
(Leggi anche -> Il Mercato dell’arte, la Cybersecurity e il caso Cubbit)
È evidente che il verificarsi di tali situazioni potrebbe comportare significative conseguenze sui diritti e le libertà dei collezionisti/clienti e, al contempo, ingenti danni economici e reputazionali per l’operatore stesso.
Infatti, una vulnerabilità nel sistema di protezione o gestione del database potrebbe agevolare un accesso abusivo da parte di malintenzionati i quali, una volta in possesso delle anagrafiche dei clienti, potrebbero utilizzare dati e informazioni per organizzare furti ai loro danni.
Più in generale, la diffusione illecita/non autorizzata di alcuni dati personali dei clienti potrebbe essere idonea a rilevare le loro capacità patrimoniali oppure le loro convinzioni morali e filosofiche, con conseguenti significative ripercussioni economiche e sociali.
Inutile dire che, in un simile scenario, verrebbe compromessa la fiducia che i clienti ripongono nell’operatore cui si sono rivolti e nella qualità dei servizi; ciò soprattutto se si considera l’esigenza di anonimato o, comunque, di massima riservatezza che da sempre connota il mondo dell’arte e i suoi attori.
Poiché la brand reputation è strettamente connessa alla capacità di un ente di garantire un’adeguata protezione dei dati personali che gli sono affidati, diventa fondamentale anche per gli operatori dell’arte verificare i propri sistemi e modelli organizzativi di sicurezza e prevenzione dal rischio di violazioni.
Il percorso di adeguamento alla privacy è, come sopra detto, un percorso che parte dall’attenzione alla persona cui i dati personali si riferiscono e che comporta una serie di accorgimenti strumentali a tale tutela e alla riduzione dei rischi che un certo trattamento può comportare; accorgimenti che si traducono nell’adozione contestuale di misure legali, tecniche e organizzative. Per minimizzare gli effetti di una violazione di dati, e proteggere i dati personali posseduti, occorre quantomeno:
- compiere una mappatura dei dati personali trattati, individuando le categorie di interessati, le tipologie di dati e la pertinenza dei dati personali raccolti rispetto alle finalità per cui vengono trattati;
- predisporre le opportune informative privacy con tutte le indicazioni richieste dall’art. 13 e 14 GDPR. Meritano particolare attenzione: l’individuazione della base giuridica che legittima il trattamento dei dati personali, i tempi di conservazione, l’indicazione – laddove ricorra tale eventualità – del trasferimento dei dati personali verso Paesi Extra UE, segnalando in tale caso le misure adottate per assicurare che detto trasferimento rispecchi i requisiti previsti dalla normativa, l’indicazione dei soggetti cui tali dati verranno comunicati e con i quali verranno condivisi (si pensi, per esempio, alla società esterna che si occupa del trasporto e della movimentazione dell’opera venduta);
- predisporre la connessa modulistica di richiesta di consenso per l’attività di raccolta e trattamento di dati personali (per, ad esempio, eventuali operazioni di marketing) e, al contempo, un meccanismo di verifica e aggiornamento della persistenza o meno del consenso precedentemente prestato.
Il fatto che un collezionista abbia usufruito della consulenza di un certo operatore non legittima di per sé quest’ultimo a usare i recapiti conosciuti nell’ambito della consulenza per trasmettere – senza criterio – comunicazioni promozionali e di aggiornamento della propria attività. Per tale iniziativa, occorre necessariamente individuare la corretta base giuridica che, a seconda dei casi, potrà individuarsi nel consenso del collezionista/cliente ovvero nel legittimo interesse dell’operatore a fidelizzare i propri clienti, inviando loro messaggi affini agli acquisti già effettuati o, comunque, alle preferenze artistiche da loro segnalate;
- regolare il rapporto con i professionisti e le società terze che forniscono all’operatore servizi la cui esecuzione implica il trattamento di dati personali, formalizzando in un apposito atto giuridico i ruoli (di responsabile o contitolari) e le responsabilità, comprese le regole per la nomina di sub-appaltatori/sub-responsabili;
- possedere tecnologie aggiornate ed efficienti;
- crittografare dati e dispositivi;
- definire i processi organizzativi per assicurare un corretto flusso del patrimonio informativo. In tale prospettiva, è utile all’operatore individuare, all’interno della propria realtà, ruoli e responsabilità circa il rispetto degli adempimenti privacy e fornire ai propri dipendenti e collaboratori le istruzioni per il corretto trattamento dei dati personali;
- gestire il controllo degli accessi al patrimonio informativo in forza di un principio di pertinenza, consentendo, quindi, l’accesso ai documenti e alle risorse ai soli utenti che ne hanno bisogno per svolgere i propri compiti;
- redigere e aggiornare con costanza il registro dei trattamenti, indicando le informazioni di cui all’art. 30 GDPR relative alle operazioni di trattamento svolte. Attraverso la compilazione del registro l’operatore può comprendere come i dati personali dei clienti siano gestiti, al fine di valutare i rischi e individuare le misure e azioni più opportune in caso di incidenti;
- effettuare una valutazione del rischio e compiere delle verifiche periodiche. È importante, sotto tale aspetto, identificare le risorse connesse alla rete come, ad esempio, una banca-dati contenente i dati dei clienti e le opere acquistate, identificare le minacce, interne ed esterne, accidentali o malevoli, e identificare le vulnerabilità del sistema;
- definire un piano di verifica periodica dei livelli di conformità individuati (prevedendo test, audit interni ed esterni, attività di monitoraggio delle modifiche interne all’organizzazione dell’operatore, di norme di settore, );
- adottare accordi di riservatezza.
Lo sviluppo di un percorso di adeguamento consapevole e mirato non deve essere inteso come un adempimento burocratico derivante da un obbligo di legge ma come un’occasione di analisi della propria realtà organizzativa e, quindi, di intervento migliorativo.
La predisposizione di un assetto di gestione dei dati personali efficace e concreto può, oltre naturalmente a mitigare il rischio di contenzioso e di sanzioni, comportare un vantaggio reputazionale e, diversamente dall’opinione ad oggi condivisa nel settore, agevolare la fidelizzazione dei clienti.
La garanzia di un’effettiva riservatezza non può prescindere dai principi della normativa e poggiarsi su una gestione “domestica” dei dati personali che rischia di creare solo una riservatezza effimera e priva di protezione.