Tutela della privacy dei residenti nell’Unione, sanzioni pesanti per le aziende anche straniere che violano le norme e l’obbligo per alcune di esse di creare figure interne specializzate nell’auditing dei processi che riguardano i dati personali.
Dopo vent’anni, l’Ue ha cambiato la legislazione sulla protezione dei dati affrontando il rapporto con le grandi multinazionali Usa come Facebook e Google. La nuova normativa, General Data Protection Regulation (GDPR), è stata approvata a metà dicembre dal comitato delegato dal Parlamento europeo, e dovrà solo fare un passaggio tecnico di approvazione al Parlamento europeo in seduta plenaria entro fine gennaio. Il testo comunque è definito e si è già capito che segna una forte discontinuità con l’attuale normativa quadro, che risale al 1995.
In realtà per il ciclo di vita delle normative si tratta di tempi relativamente brevi soprattutto per rivedere in maniera così profonda una normativa molto ampia, ma il bisogno nasce in realtà dalla velocità delle tecnologie, che hanno segnato il passaggio di vere e proprie epoche geologiche per quanto riguarda i progressi nel settore informatico e la trasformazione della società e del modo con il quale le informazioni degli individui vengono generate, raccolte e utilizzate (e protette).
Anche per questo la violazione della normativa prevista dalla GDPR prevede multe per le aziende molto elevate, che possono arrivare al 4% del giro d’affari annuo mondiale. Un monito per attenersi al nuovo regolamento europeo quando sarà in vigore con le direttive dei singoli stati membri.
I punti più scoperti della precedente normativa erano quelli relativi ai social network e al cloud computing. Imprevedibili venti anni fa, sono ora i due maggiori magneti del cambiamento attuale. E sono in mano ad aziende per la maggior parte fuori dall’Ue, ma grazie a Internet toccano vita e affari dei suoi residenti.
Per questo la GDPR ha un ruolo importante nel complesso insieme di negoziati e di rapporti in corso tra i paesi europei soprattutto con gli Stati Uniti. Questo perché «il nuovo regime di protezione dei dati – dice l’introduzione alla normativa – estende il campo d’applicazione della legge sulla protezione dei dati dell’Unione a tutte le società estere che trattano dati di residenti Ue. Essa prevede una armonizzazione delle norme di protezione dei dati in tutta l’Ue, così da rendere più facile per le società non europee rispetto di queste norme».
Individuato il bersaglio che estende l’obiettivo della normativa precedente al di fuori dei confini europei, la Gdpr individua cosa intende per dati personali: qualsiasi informazione concernente una persona fisica, che si tratti della sua vita privata, professionale o pubblica. Può essere qualsiasi cosa: da un nome a una foto, da un indirizzo email ai dettagli bancari, ai messaggi su siti di social networking, alle informazioni mediche, sino l’indirizzo IP di un computer. Il coordinatore di quest’area enorme sarà unico: la Single Data Protection Authority (DPA) che verrà creata e la responsabilità dei produttori (e dei datori di lavoro) che dovranno creare prodotti con “privacy by design” e con i livelli massimi di protezione della privacy attivi di default.
Nelle aziende con dimensioni superiori a un certo livello dovrà essere creata la figura indipendente del Data Protection Officer, responsabile sia della gestione dei processi It che della sicurezza dei dati e di altre attività critiche per quanto riguarda raccolta, organizzazione, utilizzo e cancellazione dei dati.
Infine, le ultime due aree previste dalla GDPR: il diritto alla cancellazione dei dati che sostituisce il precedente “diritto all’oblio”, principio antico negli ordinamenti giuridici occidentali che però mal si sposano con la tecnologia informatica. Il diritto alla cancellazione dei dati è più circoscritto e, secondo la Commissione, più efficace. Per la portabilità dei dati, gli utenti devono poter richiedere una copia dei dati in formato usabile e trasmissibile ad altre aziende o fornitori di servizi.
Ampliando la definizione di dati personali, diminuendo il livello di profilazione possibile per le aziende, istituendo chiari confini su cosa si può tenere e a cosa deve poter essere cancellato, stabilendo inoltre il principio della portabilità dei dati e della privacy “pensata e attivata by default”, l’Ue ritiene di aver spostato il peso degli obblighi e delle garanzie dalle spalle dei residenti nella Ue alle spalle (più larghe certamente) delle aziende, europee e non. Soprattutto, la creazione di meccanismi obbligatori di valutazione della privacy aziendale e delle modalità di trattamento dei dati, assieme a figure aziendali e ad una autorità centrale che coordina tutte le azioni in Europa con poteri sanzionatori “pesanti”, dovrebbe essere la chiave per rendere operativa la gestione dei dati nel Vecchio continente in maniera simile a quanto avviene ad esempio con la normativa sulla concorrenza.