Nuova Privacy Europa, Bolognini: “Una svolta anche per i big player”

Il presidente dell’’Istituto italiano per la Privacy: “Dopo 20 anni l’Europa si dà regole più al passo con i tempi. Il rischio multe solleciterà l’attenzione dei grandi Cda, anche oltreoceano. Note stonate le troppe possibilità di intervento concesse ai singoli Stati e la scarsa semplificazione”

Pubblicato il 18 Dic 2015

bolognini-luca-151218163422

Finalmente la privacy diventa un tema da grandi Cda. Finora erano solo le regole sulla concorrenza a venire considerate con attenzione dalle grandi aziende per paura di sanzioni importanti. Da oggi quelle sulla privacy avranno lo stesso peso: l’ipotesi di una multa pari al 4% del fatturato globale sarà un campanello d’allarme per tutti, in primis i big player Usa”.

Lo dice a CorCom Luca Bolognini, presidente dell’Istituto italiano per la Privacy e la valorizzazione dei dati, commentando il nuovo regolamento sulla data protection che ha ricevuto ieri il primo sì dal Parlamento europeo e su cui si è raggiunto l’accordo con il consiglio e la Commissione europea.

Bolognini, quali sono le novità positive introdotte dalle nuove norme?

Ce n’è innanzitutto una di fondo: finalmente dopo due decenni ci stiamo dando delle regole più al passo con i tempi. Sono sempre “vecchie” rispetto al procedere della tecnologia, ma questo adeguamento era giusto e necessario. Di positivo c’è senza dubbio il nuovo approccio, che prevede che la protezione sia garantita da chi tratta i dati: una responsabilizzazione non burocratica, che impone alle autorità di andare a vedere se nella sostanza i dati siano protetti, al di là degli adempimenti formalistici. Passando velocemente in rassegna gli altri aspetti positivi, c’è l’introduzione del data protection officer, in alcuni casi obbligatoria e in altri facoltativa: vuol dire che si creeranno nuovi posti di lavoro, e che un neurone nell’azienda si occuperà sempre e con attenzione di questi temi. Bene anche prevedere certificazioni, con soggetti che in futuro attesteranno il rispetto della privacy, e dei codici di condotta di mercato, che valorizzeranno le best practice e che prevederanno casi di “legittimo interesse” in cui non serva il consenso degli interessati per il trattamento dei dati. Finalmente ci si avvicina alla privacy in chiave risk based e impact based, e non in chiave puramente teorica. Ma l’aspetto che probabilmente avrà l’impatto maggiore è l’introduzione di dati pseudonimizzati: una categoria finora sconosciuta, ibrida rispetto ai dati personali e a quelli anonimizzati: aprirà la strada al mondo del big data processing.

Quali sono invece gli aspetti negativi della nuova normativa?

La delusione è che si tratta in sostanza di una direttiva mascherata, per il fatto che sono state aggiunte nella fase conclusiva della negoziazione una serie di clausole che consentiranno ai singoli Stati di personalizzare la normativa: questo comporterà che continueremo ad averne 28 diverse. E’ un’occasione persa, anche per quanto riguarda il trattamento dei dati in ambito digitale: il regolamento non ha avuto il coraggio di affrontare con chiarezza il trattamento dei dati per fini pubblicitari online. Si può dedurre qualcosa, ma non chiarisce davvero cosa si può fare o non fare online. Infine continueranno a pesare le complicazioni e le lentezze burocratiche: si è cercato di semplificare ma non si è riusciti a farlo. Considero negativo il grado di complessità dei meccanismi di competenza delle autorità garanti in Europa, che non semplificheranno la vita delle imprese: queste prima dovranno fare i conti con le diverse autorità competenti nei singoli Paesi, e solo in seconda battuta le decisioni potranno essere ricondotte all’European data protection board.

Condivide la lettura che si tratti di un approccio troppo conservativo, che rischia di penalizzare le aziende Ue nella competizione con quelle del resto del mondo, ad esempio su industria 4.0 e Internet of things?

Non del tutto. E’ incontestabile il fatto che il regolamento dia maggiori armi alla Commissione europea e ai garanti anche fuori dall’Europa. Arrivare a sanzioni con quelle percentuali è una novità rilevante anche per i grandi colossi extra Ue. Ma è vero, e su questo sono d’accordo con gli argomenti sollevati da Confindustria digitale, che c’è anche una carenza di digitale in questo regolamento, pur nella sua modernità: continuano a rimanere norme che riguardano esclusivamente la protezione dati, mentre l’Internet of Things mette insieme la dimensione fisica con quella virtuale. Sarebbe stato meglio se la normativa avesse preso in considerazione contemporaneamente gli articoli 7 e 8 della carta di Nizza sui diritti fondamentali dell’Europa, la protezione della vita privata e la protezione dei dati personali, due principi chiave su cui agisce l’internet delle cose.

Si è parlato molto dell’innalzamento dei limiti d’età per l’accesso ai social network. Cosa ne pensa?

Secondo me è un falso problema. E’ come se tutti avessero dimenticato che questa norma, che potrà essere interpretata in maniera flessibile da ogni Stato membro, va a intervenire in un campo in cui finora si agiva fuori dalle regole. Le normative europee infatti fino a oggi prevedevano che non fosse possibile il trattamento dei dati di minorenni: in sostanza un limite d’era già esisteva, era quello dei 18 anni, e non era di fatto applicato. E’ come se Willy Coyote si fosse svegliato all’improvviso sospeso nel vuoto su un burrone, e sia corso ai ripari per non precipitare. Una situazione del genere si era già verificata rispetto alla normativa sui cookie: si è creato l’allarme sul fatto che sarebbe stato complicato chiedere l’autorizzazione per l’utilizzo dei cookie, senza considerare che tutti già li usavano, e che farlo era in effetti vietato.

Ci sono spazi di flessibilità tali da consentire ai consumatori un utilizzo consapevole dei propri dati: cioè, si potrà riconoscere un valore anche alle informazioni che gli utenti decideranno di mettere a disposizione delle aziende?

La pseudonimizzazione dei dati aiuterà il mercato dei dati e la data driven economy. A cascata, oltre alle aziende, anche gli utenti potranno giovarsene, soprattutto nell’online. C’è da dire però che un’altra “pecca” delle nuove norme è che non sono ancora integrate con quelle sul diritto del consumo e dei consumatori. Non ci sono fonti che uniscono in maniera significativa il trattamento dei dati con le pratiche sleali e la comunicazione ingannevole, che pure sono aspetti sempre più all’ordine del giorno

Come influiranno queste nuove norme sul dibattito in corso in Europa e con gli Usa sul Safe Harbor?

Con questo regolamento l’Europa ha dato una risposta forte, vedremo che effetti avrà. Il fatto che poco dopo il travolgimento del Safe Harbor sul trasferimento oltreoceano dei dati dei cittadini europei l’Ue adotti questo regolamento è una mossa che rimette in campo la posizione europea, e che può contribuire a mettere nuove basi rispetto agli accordi chiusi in passato. Il dubbio che ho è se i due anni previsti per l’adeguamento dei singoli Stati alle norme comunitarie siano sufficienti: può sembrare un lasso di tempo “comodo”, ma imprese ed enti pubblici dovranno mettere in campo molti cambiamenti e di grande portata.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati