Sono i cambiamenti più consistenti alle leggi sulla privacy dell’Unione europea in venti anni, quelli approvati ieri sera dai negoziatori della Commissione europea, del Parlamento europeo e dei rappresentanti degli Stati membri. La nuova normativa europea sulla data protection si avvia a prendere la sua forma definitiva; la formalizzazione del testo è attesa per inizio 2016, poi spetterà ai 28 Stati adattare le loro leggi nazionali entro due anni. “I dati personali fanno parte delle nostre vite in ogni momento, riguardano tutti, e noi abbiamo preso in considerazione gli interessi di tutti”, ha commentato Jan Philipp Albrecht, rapporteur del Parlamento sulla nuova norma.
La riforma Ue della Data protection, che “potenzierà il Digital Single Market“, come si legge sul sito della Commissione europea, consiste di due strumenti. Il primo è la General Data Protection Regulation, che permetterà alle persone di controllare meglio i propri dati personali; al tempo stesso “regole modernizzate e unificate permetteranno alle aziende di cogliere tutte le opportunità del Mercato unico digitale riducendo la burocrazia e aumentando la fiducia dei consumatori”, sottolinea la nota. C’è poi la Data Protection Directive per le forze di giustizia e di Polizia, per assicurare la protezione dei dati di vittime, testimoni e sospetti. Le regole vengono armonizzate in modo da facilitare la cooperazione tra forze dell’ordine dei diversi paesi Ue e potenziare la lotta al crimine e al terrorismo.
In sintesi, i consumatori avranno più controllo su come i loro dati sono raccolti, usati e conservati, ma le aziende che violano le regole rischiano multe davvero salate, commenta oggi il sito Politico.eu: fino al 4% del loro fatturato globale, per infrazioni gravi.
Le attuali norme europee sulla data protection risalgono al 1995; l’Europa lavora al nuovo pacchetto dal 2011, ma Parlamento e Consiglio si sono spesso trovati su posizioni molto distanti. Sulle sanzioni per le aziende che violano la normativa sulla privacy, per esempio, il Parlamento avrebbe voluto una multa fino al 5% del fatturato annuale globale, il Consiglio chiedeva di fermarsi al 2%. Il 4% è un compromesso che comunque lascia molto scontenta l’industria hi-tech.
“Legare le sanzioni alle revenue globali non ha senso”, ha commentato Alexander Whalen, senior policy manager di Digital Europe, che rappresenta l’industria tecnologica a Bruxelles. “Molte aziende stanno valutando i loro rischi, se vale la pena usare l’innovazione dei dati quando rischiano di pagare l’innovazione con pesanti sanzioni”.
Molto più soddisfatte le associazioni in difesa dei consumatori. “Quel che conta alla fine è che è stata fissata una soglia sufficientemente alta da avere un effetto deterrente sulle aziende che non prendono sul serio la protezione dei dati”, ha dichiarato David Martin, senior legal officer del Beuc.
La nuova legge prevede anche un ampliamento della responsabilità legale per le aziende. Oggi, solo chi controlla i dati è responsabile nella Ue di eventuali intrusioni e violazioni, ma la nuova normativa prevede che siano responsabili sia chi controlla sia chi processa i dati e che entrambi rispondano di eventuali danni. Per esempio, se un retailer assume una società in outsourcing per gestire i database con i dati dei suoi clienti, il retailer è chi “controlla” i dati, e la società terza chi li “processa”, ma entrambi sono legalmente responsabili.
Questo cambiamento renderà le aziende molto più accorte nello scegliere le società cui affidarsi per la gestione dei database, nota Martin: si vorranno accertare che i loro business partner siano al cento per cento affidabili. Tuttavia le imprese non la vedono così: “Questo aumenterà di molto la quantità di informazioni che vengono scambiate tra controller e processor, facendo non solo salire i costi di transazione sul mercato ma anche esponendo i dati e le imprese a maggiori rischi di sicurezza, intrusioni, spionaggio”, afferma Rene Summer, director of government and industry relations di Ericsson.
Tanti i punti controversi del nuovo pacchetto Ue sulla data protection per esempio, la normativa permette agli individui di chiedere che i loro dati personali vengano corretti se inaccurati, e amplia il diritto a richiedere la rimozione di informazioni irrilevanti o datate, il cosiddetto “diritto all’oblio“. Per esempio i consumatori potranno chiedere a un’azienda di non usare più i loro dati quando chiudono il loro account o potranno impedire alle società di marketing di costruire dei profili su di loro. Insomma, maggiore protezione per i cittadini ma un incubo per gli inserzionisti, come nota Sébastien Houzé, segretario generale della Federation of European Directive and Interactive Marketing.
Sull’età minima per iscriversi ai social network e servizi come Facebook, Gmail, Instagram o Snapchat – altro elemento molto discusso del pacchetto sulla data protection – la scelta spetterà ai singoli paesi Ue. La regola approvata da Commissione, Parlamento e Consiglio dice che un individuo deve avere almeno 16 anni per poter acconsentire all’elaborazione dei propri dati – altrimenti avrà bisogno dell’autorizzazione dei genitori – ma i singoli paesi possono abbassare la soglia a 13 anni, che è già il limite per molte delle aziende americane dei social media. L’emendamento dell’ultima ora che ha alzato l’età minima a 16 anni nel pacchetto europeo non è piaciuto alle tech companies Usa ma nemmeno alle associazioni che si occupano di sicurezza dei minori.
“La proposta non tiene in considerazione la realtà di milioni di bambini e ragazzi che già sono utenti attivi di questi servizi. Sarebbe impossibile ora sospendere tutti i loro account e bandirli da queste piattaforme”, osserva Emma Morris di Family Online Safety Institute. “Molti giovani trovano anche sostegno sui social media e questo potrebbe spingerli a mentire sulla loro età per continuare a usare questi siti”.
Parlamento e Consiglio d’Europa si sono scontrati su un altro punto. Dovrebbe essere obbligatorio per le aziende avere un data protection officer? Per il Parlamento la risposta sarebbe sì, per il Consiglio no, e alla fine la soluzione è che sarà obbligatorio ma solo per le grandi imprese; per quelle medio-piccole lo sarà solo se l’elaborazione dei dati rappresenta il loro core business.
Le nuove regole includono un elemento su cui invece già era stato raggiunto l’accordo a marzo, il cosiddetto “one-stop shop” per i reclami sulla data protection: permetterà di presentare esposti contro presunte violazioni nel proprio paese e non in quello in cui l’azienda contro cui si reclama ha i quartieri generali. Se più paesi Ue sono coinvolti, entrerà in gioco il nuovo European Data Protection Board per aiutare a dirimere le dispute.
Un elemento importante del pacchetto concordato ieri sera è la nuova direttiva per proteggere i dati personali scambiati tra forze di Polizia dei paesi Ue. Questa direttiva dà al data controller la responsibilità di notificare eventuali intrusioni nei dati e nominare un data protection officer; inoltre fissa i limiti e le salvaguardie per i trasferimenti dei dati alle forze di Polizia di paesi fuori dall’Ue.