Multe, denunce, diritto all’oblio Ecco la nuova privacy europea AVV 24.5.18

Multe, denunce, diritto all’oblio Ecco la nuova privacy europea

Al via domani il Regolamento sulla protezione dei dati

 

Utenti al centro e nuove responsabilità per le imprese e i colossi dei social.

Largo alla figura del “controllore” nelle imprese. Tutti i ritardi italiani

 

VIVIANA DALOISO

 

Il conto alla rovescia è finito. E se – al netto delle notizie che negli ultimi mesi hanno avuto più risonanza mediatica, in primis lo scandalo Cambridge Analytica e l’uso che dei nostri dati personali fanno i social network come Facebook – la percezione del cambiamento è quasi inesistente tra i comuni cittadini, l’Europa delle aziende e delle pubbliche amministrazioni è in fermento per la rivoluzione del nuovo Regolamento sulla protezione dei dati personali. Il giorno della svolta è domani: da quando, cioè, a dettar legge in tutti i Paesi membri sarà il nuovo principio di “responsabilizzazione” (il termine tecnico inglese è accountability) di chiunque effettui operazioni di trattamento dei dati personali altrui nell’ambito della propria attività. Niente di teorico, visto che per la prima volta il “tradimento” della suddetta responsabilità – con tutti i cavilli previsti dalla normativa – comporterà sanzioni fino a 20 milioni di euro per i singoli o fino al 4% del fatturato totale annuo per le imprese. E questo indipendentemente da dove si trova la sua sede legale: le multe, cioè, saranno indirizzate anche a chi lede la privacy dei cittadini europei con server posizionati Oltreoceano o nel lontanissimo Oriente. Una prassi comu- ne fino a ieri, specie tra i colossi del web, per sgusciare facilmente tra le cause impugnando deboli legislazioni locali. Il motto del nuovo Regolamento europeo, d’altronde, è “la persona al centro”. Col suo diritto sacrosanto – da difendere, rispettare e anche da imparare – alla privacy. L’utente deve innanzitutto essere informato «in modo semplice e chiaro» sulle finalità, le modalità e l’ambito dei trattamenti dei dati per cui presta consenso: un capitolo che ha costretto la quasi totalità delle aziende a riformulare questionari e newsletter di prassi, quando non a riformularli ex novo. Sempre lui, l’utente, può revocare in qualsiasi momento il proprio consenso, può fare richiesta di cancellazione dei proni stessa autorità deve rispondergli, entro tre mesi). E ancora: deve essere informato tempestivamente delle eventuali violazioni dei propri dati, per cui – anche questa una novità dirompente – ogni titolare del trattamento è tenuto ad adottare misure tecniche e organizzative che tutelino i principi di protezione dei dati (crittografia, controllo degli accessi, sorveglianza degli archivi…). A tal fine, d’altronde, è stata istituita la figura del “Dpo”, il responsabile della protezione dei dati, una figura esterna alla struttu-cosa ra dell’azienda che possiede esperienza e competenza nel campo della privacy e che deve occuparsi della applicazione della normativa: una sorta di “controllore” insomma, la cui consulenza diventa fondamentale in ogni ambito per evitare le sanzioni salatissime previste dal Regolamento.

Adeguarsi a tutte le nuove norme – compresa quella delicatissima della tutela della privacy dei minori, che per utilizzare servizi online d’ora in poi avranno bisogno dell’autorizzazione dei genitori fino ai 16 anni – è complicato, nonostante l’entrata in vigore del Regolamento sia stata annunciata la prima volta a fine 2015. Molti i Paesi membri in ritardo tra cui figura – anche se per una volta non fra le ultime posiziopri – l’Italia. In particolare il nostro Paese, complice la situazione politica ancora incerta, paga lo scotto di non aver ancora adottato attraverso il voto del nuovo Parlamento le misure nazionali relative al Regolamento. In sostanza, cioè, manca il decreto attuativo che permette l’entrata in vigore ufficiale delle nuove norme e la sostituzione del vecchio Codice della privacy, datato 2003. E che dunque resta in vigore.

Mentre però le medie e grandi imprese – con centinaia di dipendenti, pc e smartphone aziendali, presenza di server, conservazione di banche dati, presenza di videosorveglianza – sono avvantaggiate nel mettersi in pari con le nuove norme, le situazioni più critiche riguardano le piccole realtà e in particolare i commercianti (che fino ad ora non avevano adottato particolari strategie di trattamento dei dati dei propri clienti) e il mondo della sanità, con la sua mole abnorme di dati sensibili da tutelare e diversificare e le incombenze pratiche quotidiane legate alla salute e alla vita dei pazienti. Esemplificativa la richiesta di chiarimento avanzata proprio qualche giorno fa dal Sindacato dei medici italiani (Smi) al Garante della Privacy «affinché vengano precisati alcuni nodi irrisolti» dell’applicazione del Regolamento: «Siamo medici, non burocrati» l’obiezione.

© RIPRODUZIONE RISERVATA

 

Il Garante: «All’Italia manca ancora il decreto attuativo»

L’intervista

Un ritardo colmabile. E una sfida da vincere, perché in ballo c’è «la protezione della libertà nella società digitale». Sono giorni febbrili per il Garante della Privacy, Antonello Soro, chiamato a districare gli ultimi nodi interpretativi del Regolamento europeo e mettere in pari un’Italia avvantaggiata grazie alla «lungimiranza» del suo Codice Privacy.

Presidente, a che punto siamo con l’attuazione delle norme? Manca ancora il decreto attuativo delle nuove regole: può spiegare che cosa comporta questa lacuna e che cosa ha fatto il Garante per colmare il ritardo?

Attualmente, lo schema di decreto legislativo di adeguamento è all’esame delle Commissioni parlamentari per l’espressione del prescritto parere, che dovrebbe proprio avvenire oggi, o – è un auspicio che rinnovo – in tempi rapidi. Naturalmente il Garante non può colmare le lacune legislative o comunque supplire all’assenza di norme primarie, necessarie per il coordinamento del nostro ordinamento con la disciplina europea. Per parte nostra, però, in primo luogo abbiamo reso il parere sullo schema di decreto in tempi assai brevi, al fine di accelerare l’iter di emanazione del testo definitivo. E poi abbiamo svolto un’importante attività formativa tesa a preparare adeguatamente imprese e amministrazioni alle novità contenute nel Regolamento.

C’è una svolta, che vedremo, nel campo della privacy?

Uno dei punti nevralgici del Gdpr (la sigla del Regolamento europeo sulla privacy, ndr) è la sinergia tra la responsabilizzazione del titolare e il rafforzamento dei diritti dell’interessato. Se, infatti, il principio della prima autonomizza imprese e amministrazioni nella gestione del trattamento, dall’altro lato i diritti (conoscitivi e di controllo) dell’interessato sono significativamente rafforzati, con il riconoscimento non solo dell’oblio e della portabilità dei dati, ma anche della revoca e dell’opposizione.

Come cambia il ruolo del Garante?

Il Garante rafforza notevolmente la sua funzione al pari delle altre Autorità di protezione dati, che pur non dismettendo le vesti di istituzioni di prossimità divengono snodi essenziali di un sistema europeo di protezione delle libertà nella società digitale.

Cosa sarà del nostro Codice sulla privacy?

Il Codice italiano viene integrato, in parte abrogato e in generale coordinato con il nuovo quadro giuridico europeo, con il quale molte delle sue previsioni – penso alle più avanzate e lungimiranti – sono compatibili. I trattamenti per fini di polizia e giustizia penale vengono autonomizzati e disciplinati dal decreto legislativo di recepimento della direttiva 2016/680, che si applica specificamente a questa materia. Quanto ai provvedimenti sinora adottati, essi continueranno ad applicarsi in quanto compatibili con il nuovo quadro giuridico europeo, mentre con provvedimento generale il Garante individuerà (aggiornandole ove opportuno) le prescrizioni delle autorizzazioni generali emanate, con particolare riguardo ai trattamenti di dati genetici, biometrici, relativi alla salute.

 

Un commento sulla figura dei “Dpo”, i responsabili della protezione dei dati: secondo gli addetti ai lavori si sta creando un business attorno alla privacy e a queste nuove figure professionali, spesso non abbastanza qualificate. C’è chi promette pacchetti di messa in sicurezza a 19,99 euro per le imprese, su Internet…

Il “Dpo” è una figura centrale nel sistema delineato dal Regolamento: in quanto chiamato a supportare il titolare nelle scelte strategiche sul trattamento, da lui dipende la “scommessa” della responsabilità sulla protezione dei dati. Gli è ascritta una vera e propria funzione di garanzia rilevante anche, per certi versi, sotto il profilo pubblicistico, dovendo assicurare la tutela dei dati dei cittadini, fungendo da referente tanto per loro quanto per il Garante. La qualificazione professionale è dunque indispensabile. Quello del “Dpo” tuttavia non può essere inteso come un “mestiere”: è una funzione, anche di rilievo essenziale.

Viviana Daloiso

© RIPRODUZIONE RISERVATA

Antonello Soro

 

Copyright © Avvenire

Powered by TECNAVIA

Start a Conversation