La nuova privacy europea

Le grandi riforme vengono spesso annunciate per tempo, ma ciò nonostante alla fine arrivano addosso agli interessati più deboli come un fulmine a ciel sereno.
Il 25 Maggio 2018 entrerà in vigore il nuovo regolamento europeo 679/2016 in tema Privacy e con esso cambierà il modo di intendere la gestione dei dati sensibili dei clienti, con (ovviamente) nuovi rischi gestionali per gli operatori. Esso diventerà immediatamente applicabile senza bisogno di essere recepito con provvedimenti nazionali; avremo quindi un testo unico valido in tutti i paesi UE che mirerà a rendere omogeneo il livello di protezione dei dati personali favorendo la circolazione degli stessi all'interno dell’Unione Europea.

01/02/2018

Ad oggi siamo stati abituati a considerare la privacy come un sistema di regole predeterminate e certe, a cui seguono comportamenti precisi, mirati al rispetto dello spirito della normativa, ma anche al non incorrere in sanzioni.
Ora però cambia tutto: la privacy diventa un processo complesso da gestire, caratterizzato da una fase ideativa (tramite il PIA - Privacy Impact Assessment), seguita da una esecutiva e gestita da figure professionali (DPO - Data Protection Officer). Molti adempimenti del nuovo quadro normativo non sono precisamente definiti, ma vengono espressi sotto forma di principi generali: si impone per esempio di trattare adeguatamente i dati delle persone, ma anche di verificare la sicurezza informatica del sistema di archiviazione dati, o se si sta attuando un interesse legittimo senza violare i diritti delle persone. Però non è chiaro al momento come raggiungere questi obiettivi (tanto che si lascia la possibilità di stilare il citato “assessment” per identificare problemi e criticità già in fase preliminare mettendo in un certo qual modo “le mani avanti”).

Se da un lato il regolamento europeo lascia maggiori margini operativi rispetto al passato, dall'altro responsabilizza di più: infatti sarà onere dell’operatore dimostrare di non ledere i diritti altrui.
Per esempio, in tema di consenso, esso andrà richiesto, salvo che non ci sia un legittimo interesse al trattamento (oggi è richiesto salvo eccezioni normativamente previste). Peccato però che non siano previsti i casi espliciti di esclusione, lasciando quindi ampio margine alle interpretazioni.

Riassumendo quindi:
- l’informativa andrà totalmente rivista, diventa infatti “breve”, priva di riferimenti normativi e semplice da leggere, pur contenendo nuovi elementi (es. tempo di conservazione dei dati);
- viene introdotta la figura del Data Privacy Officer, un vero manager dei database aziendali;
- si introduce il registro dei trattamenti e il documento di valutazione di impatto del trattamento dei dati;
- viene introdotto il diritto alla portabilità dei dati, ovvero ogni interessato potrà trasferire da un titolare ad un altro i propri dati tramite una semplice richiesta.

In sintesi diventerà essenziale creare un progetto di tutela dei dati personali con annessa analisi dei rischi connessi al loro trattamento, il tutto ben considerando l’aumento intrinseco delle sanzioni previste in caso di violazione della normativa (notare che è previsto solo il limite massimo della sanzione pecuniaria… elevatissimo tra l’altro).

L’evoluzione normativa qui rappresentata rientra in un piano di lotta allo sfruttamento dei dati sensibili da parte delle multinazionali del web, ma ricade pesantemente anche sulle spalle delle normali aziende e operatori, sicuramente meno preparate ad affrontarla: perché se da un lato le prime – abili nell'estrarre valore dal capitale di dati sensibili - si stanno già preparando a gestire le nuove norme, dall'altro per le seconde si apre una fase di incertezza e di nuovi adempimenti di cui avrebbero fatto volentieri a meno e che rappresentano un costo, non sempre soppesato da una capitalizzazione del valore della privacy gestita.

A cura di: Alessandro Zaccarini