Nuovo Regolamento UE, inizia l’epoca della Privacy 2.0

di Nicola Bernardi, Presidente di Federprivacy 

Tanto tuonò che piovve. Dopo un iter legislativo di quattro anni, è arrivato il nuovo Regolamento dell’Unione Europea sulla protezione dei dati, che sarà vigente in 28 stati membri e che in Italia prenderà il posto del nostro Codice della Privacy (Dlgs 196/2003), che a sua volta discendeva dalla Direttiva Madre 95/46/CE, le cui prime due cifre rappresentano l’anno in cui fu emanata. Era il 1995, un’epoca in cui la maggioranza delle persone si scambiava ancora la corrispondenza con fax e francobolli, e le telecamere funzionavano con il sistema VHS. Con il mercato digitale e l’Internet of Things, gli scenari sono molto diversi da allora, e una riforma generale della normativa sulla gestione dei dati personali era indispensabile per regolamentare i flussi di Big Data che attraversano il pianeta da un estremo all’altro. Per questo era assolutamente appropriato che l’iniziativa partisse da Bruxelles con l’obiettivo di arrivare ad un unico ombrello normativo all’interno dell’area UE.  

Durante i negoziati dello scorso 15 dicembre Parlamento, Commissione e Consiglio (il c.d. “trilogo”), è stato finalmente partorito l’accordo per il nuovo Regolamento UE. Ora servono solo i tempi tecnici in cui il nuovo testo dovrà essere adottato formalmente dal Parlamento e pubblicato in Gazzetta Ufficiale, per entrare in vigore nei venti giorni successivi. A brevissimo inizierà quindi il conto alla rovescia di due anni: il tempo che aziende pubbliche e private avranno per adeguarsi, al termine del quale il Garante della Privacy potrà applicare una delle più temute novità del Regolamento UE, ovvero le sanzioni. Se con l’attuale Codice Privacy molte imprese preferivano chiudere volontariamente un occhio sulla compliance normativa, mettendo in conto nella peggiore delle ipotesi le eventuali sanzioni dell’Autorità, con il Regolamento la musica sarà del tutto diversa, infatti le multe arrive- ranno a 20 milioni di euro o al 4% del fatturato globale del trasgressore. Cifre che neanche i colossi della Silicon Valley possono permettersi di prendere alla leggera.

Applicazione del diritto UE

A proposito di soggetti stranieri, altra novità epocale della nuova normativa privacy è il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti all’interno del territorio dell’Unione Europea, se relativi all’offerta di beni o servizi a cittadini residenti nella UE o tali da consentire il monitoraggio dei comportamenti di cittadini dell’UE. Per fare un esempio pratico, se no ad oggi un utente che acquistava online da un sito web con sede negli USA doveva soggiacere alla legge americana, d’ora in poi aziende americane ed altri soggetti stranieri che si propongono nell’area UE dovranno loro adeguarsi alla nostra normativa comunitaria per non essere sanzionati pesantemente.

Altre novità 

Arriva anche qualche semplificazione, dato che viene eliminato l’obbligo per i titolari di noti care al Garante determinati trattamenti di dati personali (come ad esempio quelli relativi alla geolocalizzazione o alla profilazione degli utenti), con un risparmio stimato per le pmi di 130 milioni di euro l’anno, ma d’altra parte subentra l’obbligo per tutti i titolari di noti care i cosiddetti “Data Breach”: in caso di attacco al proprio sistema informativo e di perdite di dati o accesso da parte di soggetti non autorizzati, le aziende dovranno avvisare l’autorità di controllo entro 72 ore, e nei casi più gravi anche lo stesso interessato.

Altra novità introdotta da Bruxelles è la portabilità dei dati. In caso di necessità di trasferire i propri dati personali da un social network ad un altro, l’interessato avrà diritto di poterli esportare in modo agevole, così come godrà del cosiddetto diritto all’oblio, cioè la facoltà di decidere quali informazioni cancellare per evitare che continuino a circolare in rete, fatto salvo un bilanciamento che dovrà essere operato con il diritto di cronaca per fatti socialmente rilevanti, e con le eventuali finalità di ricerca storica.

Tra i diritti riconosciuti all’interessato, ci sarà poi una maggiore facilità nell’accesso alle proprie informazioni, per conoscere quali dati sono trattati da un’impresa o da una pubblica amministrazione e per quali nalità, anche se le nuove regole consentiranno di addebitare un contributo economico a coloro che dovessero rivolgere richieste di accesso ai dati manifestamente infondate o eccessive.

Di particolare rilevanza è l’introduzione del “one-stop-shop”, meccanismo che permetterà alle multinazionali di avere a che fare solo con l’Autorità Garante dello Sta- to in cui ha il proprio stabilimento principale in Europa, con la previsione di ottenere da questa delle decisioni applicabili a tutto il resto del territorio dell’Unione, riducendo così i costi di gestione per la risoluzione di controversie ed altre questioni.

Privacy by Design 

Viene introdotto anche il principio generale della “privacy by design”, cioè la previsione di misure di protezione dei dati già al momento della progettazione di un prodotto o di un software. In parole povere, non sarà consentito mettere in commercio un prodotto facendo da “scaricabarile” sull’utente nale per quanto riguarda la regolarità sulla privacy, ma se ne manterrà in ogni caso la responsabilità, con il rischio di essere chiamati a renderne conto in giudizio qualora il cliente finale subisca un danno in materia di dati personali a causa della non conformità del prodotto alla normativa in materia di privacy. A questo proposito, una novità incisiva è quella del principio di “accountability”: ai titolari del trattamen- to nel settore pubblico e privato sarà richiesto non sem- plicemente di rispettare formalmente le norme, e quindi di fare una check-list degli adempimenti minimi, ma anche di tradurre in pratica questi princìpi con diversi “compiti a casa” in chiave di creatività e proattività. Per non essere sanzionati, si dovrà quindi essere in grado di dimostrare di aver distribuito responsabilità al proprio interno, di essere organizzati per avere una risposta per i vari problemi, di aver valutato i rischi e le possibili conseguenze, e quindi di avere messo a punto specifiche procedure e una strategia articolata e trasparente nei confronti dei soggetti cui si riferiscono le informazioni.

Altri adempimenti 

Obbligo in arrivo che richiederà elevate competenze è quello della valutazione di impatto privacy di ogni trattamento effettuato (privacy impact assessment), con la produzione della relativa documentazione sulle misure adottate per la tutela dei dati. Possono però stare tranquille le pmi, che saranno esentate da questo adempimento, a meno che non vi sia un rischio elevato.

Arriva inoltre l’obbligo di nominare un responsabile della protezione dei dati (il cosiddetto “Privacy Of cer”), che dovrà essere designato da tutte le pubbliche amministrazioni e da quelle aziende le cui attività comportano trattamenti di dati sensibili su larga scala, o che per la loro natura implicano un monitoraggio regolare e sistematico degli interessati, come nel caso della profilazione degli utenti. Ad oggi non esiste un albo ufficiale dei Privacy Officer e nemmeno una norma UNI (che è però in cantiere), per cui gli standard e l’idoneità dei professionisti possono essere valutati esclusivamente in base al curriculum e alle competenze del candidato. Gli strumenti oggettivamente più affidabili per selezionare dei candidati come privacy officer sono attualmente le certificazioni rilasciate da organismi abilitati, che forniscono una ragionevole certezza sull’effettivo possesso delle competenze richieste.

Questa panoramica non esaustiva delle numerose novità che sono ormai in arrivo con il Regolamento UE lascia chiaramente intendere che la privacy non sarà più una materia delegabile al dipendente tuttofare di turno, a un esperto di ICT, o a un addetto di un ufficio legale. Sarà fondamentale avvalersi di team di esperti di una materia che è trasversale e multidisciplinare, e a questo punto conviene rimboccarsi le maniche al più presto, perché le cose da fare per adeguarsi sono tante, e due anni passano in fretta.