Oggi a Roma presso l’aula del Palazzo dei Gruppi Parlamentari c’è l’annuale convegno del Garante in contemporanea con la giornata euroPea della Privacy dal titolo “La società sorvegliata. I nuovi confini della libertà“. Il tema è il controllo dei dati personali e gli aspetti più problematici della raccolta indiscriminata e massiva di dati da parte delle agenzie governative e dei colossi del web.
Credits: www.thunderclap.it
Si parlerà dell’impatto dei big data sull’economia e sull’organizzazione sociale ma anche sulla nostra vita privata. Si discuterà di privacy e sicurezza al fine di comprendere se sono davvero in contrasto quando si tratta di combattere il terrorismo e la criminalità informatica. Tra i temi anche la profilazione e la condivisione delle informazioni sui social network e sulle tante applicazioni.
Naturale sarà il riferimento agli scenari immediatamente futuri e alla prossima entrata in vigore del Regolamento Europeo sulla Privacy.
Cosa cambia per i cittadini europei col nuovo regolamento
A breve e comunque nei primi mesi del 2016 sarà pubblicato in Gazzetta Ufficiale Europea il Nuovo Regolamento Privacy, in bozza già dal 25 Gennaio 2012. Il 15 dicembre 2015 è stato raggiunto (finalmente) l’accordo con il Parlamento europeo e il Consiglio dopo i negoziati finali tra le tre istituzioni (cosiddette riunioni di “trilogo”). Dopo la pubblicazione i Titolari – cioè coloro, imprese, enti o professionisti che prendono le decisioni sulle finalità e modalità del trattamento dei dati personali- avranno due anni per mettersi in regola.
Più precisamente il pacchetto di protezione dei dati consiste in un Regolamento generale che copre la maggior parte delle norme sul trattamento dei dati personali nell’Unione europea e in una direttiva relativa al trattamento dei dati personali per prevenire, accertare e perseguire reati e per applicare sanzioni penali.Nel presente articolo ci occupiamo solo del Regolamento.Conoscere il Regolamento sarà indispensabile sia per gli utenti di Internet (ma non solo) sia per le imprese e in particolare per quelle che operano “su” o “con” il digitale (cioè tutte).
Le persone potranno cioè controllare meglio i propri dati personali mentre le imprese potranno sfruttare le possibilità offerte dal mercato unico digitale,
sgravandosi di oneri burocratici e godendo della maggiore fiducia dei consumatori.
Andrus Ansip, Vicepresidente e Commissario responsabile per il Mercato unico digitale, ha dichiarato al momento dell’accordo conclusivo di dicembre: “L’accordo odierno rappresenta una tappa fondamentale verso un mercato unico digitale. Eliminerà le barriere e sbloccherà le opportunità. Il futuro digitale dell’Europa può basarsi solo sulla fiducia. Grazie a rigorose norme comuni sulla protezione dei dati, le persone possono essere sicure di avere il controllo delle proprie informazioni personali e beneficiare così di tutti i servizi e di tutte le opportunità di un mercato unico digitale. Non dobbiamo considerare la tutela della vita privata e la protezione dei dati come un freno alle attività economiche.
Si tratta, in realtà, di un vantaggio competitivo essenziale. L’accordo di oggi costituisce una base solida per aiutare l’Europa a sviluppare servizi digitali innovativi….
Le nuove regole aggiornano le discipline europee vigenti, che risalgono a 20 anni fa (Direttiva 46/95, poi recepita in modi diversi dai Paesi dell’Unione Europei) e che non tenevano conto della grande mole di dati riversata ora in rete spesso volontariamente dagli utenti – non solo via social network – e dei nuovi dispositivi mobili che hanno in modo imprevedibile accelerato le necessità di sicurezza.
Di seguito riassumo le principali novità.
Perchè un Regolamento
La ratio dello strumento giuridico del Regolamento è quella di essere obbligatorio allo stesso modo e contestualmente in tutti i Paesi dell’Unione Europea. Infatti a pubblicazione in Gazzetta Ufficiale avvenuta sarà valido in tutta Europa. Inoltre, la disciplina gode anche di extraterritorialità in quanto obbligatoria per qualunque Titolare svolga un flusso informativo verso gli interessati residenti UE. Quindi lo dovranno osservare anche i signori Facebook o Twitter quando operano sul territorio europeo.
Responsabilità del Titolare
Il Titolare (cioè colui che decide le finalità e le modalità del trattamento) deve adottare delle Procedure e delle adeguate misure che siano rispettose delle norme fondamentali del Regolamento. Il Titolare allo scopo deve anche implementare meccanismi per verificare l’efficacia delle misure prese e pubblicare a intervalli regolari un Report su quanto fatto.
One-stop-shop
Questo nuovo meccanismo permetterà alle società attive in più Stati membri di trattare solo con l’Autorità Garante dello Stato in cui ha il proprio stabilimento principale. In questo modo qualora ci siano delle controversie ci sarà una sola decisione applicabile a tutto il territorio dell’Unione, riducendo i costi per la risoluzione dei casi problematici e fornendo maggiore certezza del diritto.
Privacy by design e Privacy by default
Si tratta di nuovi obblighi che fanno capo al Titolare il quale ancor prima di procedere al trattamento dovrà progettare già in un ottica di Privacy sia che si tratti di un nuovo hardware o software sia che si tratti di un nuovo Servizio. Inoltre, dovrà pensarlo con tutte le impostazioni di privacy chiuse e non aperte come si è fatto finora (basti pensare a Facebook, Wup o ad altri social).
Ampliamento dei diritti dell’interessato mediante un accesso più facile ai dati
le persone avranno maggiori informazioni sul modo in cui i loro dati sono trattati, e tali informazioni dovranno essere chiare e comprensibili. Le aziende devono essere in grado di mettere in atto delle procedure per rispondere più celermente;
1. il diritto alla portabilità dei dati: sarà più facile trasferire i dati personali da un fornitore di servizio a un altro o all’interessato stesso (si pensi in quest’ambito ai trasferimenti necessari non solo nel mondo delle telecomunicazioni ma anche all’internet delle cose). Occorre quindi conoscere come e cosa si trasferisce e di riportarlo se richiesto al legittimo interessato;
2. un più chiaro “diritto all’oblio”: se non si vuole più che i propri dati siano trattati, potranno su richiesta essere cancellati (o solo deindicizzati, tolti cioè dai motori di ricerca), purché non sussistano motivi legittimi per conservarli (come nel caso di diritto di cronaca o diritto per finalità documentaristiche o ancora in casi specifici previsti dalla legge). Si precisa che i nuovi obblighi forniranno una maggior qualità dei dati perchè saranno più esatti e aggiornati;
3. il diritto di essere informati in caso di violazione dei dati (il cd data breach): ad esempio, le imprese e le organizzazioni dovranno comunicare quanto prima all’Autorità di controllo le violazioni dei dati affinché gli utenti possano prendere le misure opportune. In casi gravi si dovranno comunicare anche anche all’interessato. Si dovrà fare in termini brevi dalle 48 alle 72 ore.
Valutazione di Impatto e Verifica preliminare (c.d. Privacy Impact Assesment).
Si deve prevedere prima dell’inizio del trattamento una valutazione dei possibili rischi che questo comporta, stabilendone le misure correttive e le eventuali comunicazioni al Garante. La Valutazione va documentata per iscritto, mentre la Verifica preliminare va richiesta al Garante solo nei casi in cui il trattamento comporti rischi eccessivamente elevati (si pensi ad esempio ad una videosorveglianza con conservazione delle immagini prolungata nel tempo).
Informative, Consenso e Notifica.
Le Informative all’interessato dovranno essere più dettagliate, ma soprattutto più efficaci delle precedenti, usando anche moduli, schemi e disegni. Il consenso invece dovrà essere sempre espresso in modo inequivocabile e non dovrà essere un alibi per tentare di effettuare trattamenti illeciti. Le Notifiche al Garante per comunicare i trattamenti più delicati saranno abolite. Inoltre, la nuova disciplina non ruoterà più su questi pilastri come faceva la normativa precedente. La consapevolezza dell’interessato dovrà essere perseguita soprattutto con altre vie come la formazione, la diffusione delle notizie sulla correttezza dei trattamenti da parte dei Titolari ecc.
Profilazione e Big Data
Il Regolamento si occupa di profilazione che può avvenire solo in base ad un consenso specifico. Naturalmente la profilazione può derivare anche dall’utilizzo di Big Data, i quali costituiscono un vero e proprio patrimonio informativo, il cosiddetto nuovo oro nero. Tali trattamenti possono essere lesivi del diritto alla riservatezza degli interessati. Il Regolamento vieta qualunque tipo di discriminazione basata sulle profilazioni. (Leggi anche: “Cosa faranno Facebook & Co. per non essere cacciati dall’Europa dopo la sentenza sulla privacy” )
Misure di Sicurezza
Viene finalmente reintrodotta la abrogata Analisi dei Rischi, dalla quale dovranno poi derivare le misure di Sicurezza Tecniche ed Organizzative che ogni Titolare dovrà adottare. Non si parla piu di misure minime e idonee ma di Misure adeguate. Le misure minime non sono più sufficienti, occorre fare di più. Inoltre le Valutazioni di impatto e gli obblighi di Privacy by Design e by default già illustrati serviranno a calcolare le effettive misure necessarie a ogni diverso Titolare.
Documentazione
Sorge un obbligo di documentare e conseguentemente conservare atti, documenti, procedure concernente ciascun trattamento. Il Titolare con l’aiuto del Privacy Officer dovrà conservare nomi dei responsabili interni ed esterni designati, rappresentanti all’estero, finalità e ambito di comunicazione e diffusione di ogni trattamento, misure di sicurezza adottate. In pratica la norma impone un’attenta organizzazione della Privacy in azienda, con controlli periodici ed efficaci sulla bontà della documentazione e sulla conservazione.
Data Protection Officer
È la nuova figura di Super Consulente che alcune tipologie di Titolari che svolgono trattamenti più delicati o con tecnologie più innovative e/o profilanti devono avere (si pensi alla Pubblica Amministrazione o alle Società, associazione o Professionisti che trattino grandi masse di dati di interessati). Può essere un soggetto interno o esterno e può essere designato anche da più imprese con trattamenti affini. Il DPO dovrà assicurare la conformità a tutte le regole e il suo nome dovrà essere comunicato all’Autorità Garante per la Protezione dei Dati Personali. (Leggi anche qui: “25 mila specialisti a guardia dei nostri dati personali: arriva il privacy officer“)
Sanzioni
Le sanzioni in caso di violazione delle norme del Regolamento saranno più aspre che mai e soprattutto saranno commisurate al fatturato dell’impresa. Le sanzioni pecuniarie potranno raggiungere infatti il 4% del fatturato lordo globale dell’impresa in caso di trattamenti illeciti di particolare gravità.