Il 25 maggio è entrata in vigore nell’Unione europea una delle normative più severe al mondo a tutela della privacy: il regolamento generale sulla protezione dei dati (Gdpr), approvato due anni fa. Tra i suoi obiettivi principali, c’è la salvaguardia dei cittadini europei dalla violazione della privacy e dei loro dati personali online, in un mondo che sempre più viaggia e cresce in rete. Il potere sui dati personali non spetterà più quindi alle aziende che li gestiscono – a partire dai giganti Google o Facebook -, ma ai cittadini stessi.
Le novità del Gdpr
Con il nuovo regolamento, l’Unione introduce regole più chiare su informative e consenso, definendo i limiti al trattamento automatizzato dei dati personali. Dal 25 maggio, inoltre, i cittadini europei potranno contare su alcuni diritti nuovi o espressi in modo più efficace, tra cui il diritto all’oblio e quello alla portabilità dei dati, il diritto di rifiutare di diventare una persona interessata e quello di essere informati nel caso lo si diventi.
A differenza della normativa precedente, che risale al 1995, dove l’applicabilità territoriale era ambigua, la giurisdizione del Gdpr si applica a tutte le società che trattano i dati personali dei cittadini europei, anche se la loro sede si trova all’estero e indipendentemente dal fatto che l’elaborazione dei dati raccolti avvenga nell’Ue o meno.
Il Gdpr rafforza quindi i diritti della privacy individuale e, cosa più importante, introduce sanzioni per chi non li rispetta. Le società, infatti, potranno essere multate fino a 20 milioni di euro o in alternativa fino al 4% del loro fatturato globale – equivalente a circa 1,6 miliardi di dollari per Facebook, una delle aziende che conta il maggiore numero di user al mondo e che è stata coinvolta nei recenti scandali di ‘data breach’.
Per quanto riguarda le ammende il Gdpr prevede un approccio multilivello: una società può essere multata per non aver ordinato i propri registri, o per non aver notificato al garante della privacy e alla persona interessata una violazione dei suoi dati. Le regole valgono sia per i processori di dati che per i fornitori di servizi. Quindi anche i servizi cloud non sono esenti dal Gdpr.
Pochi cambiamenti nell’esperienza online degli utenti europei
I cittadini dei 28 Stati Ue non noteranno troppe differenze tra il prima e il dopo Gdpr. Negli ultimi giorni gli utenti hanno visto intensificarsi il numero di email inviate da aziende che richiedono nuovamente il consenso per l’utilizzo dei dati e invitano ad accettare nuovi termini e condizioni. Ma a parte questo, l’unico cambiamento ‘misurabile’ potrebbe essere un calo nel numero di pubblicità mirate che seguono gli utenti da un sito all’altro dopo l’acquisto di prodotti su un e-commerce.
Se a livello macroscopico non ci saranno troppe differenze, a livello di diritti individuali, invece, il cambiamento sarà significativo. La nuova normativa, infatti, introduce un nuovo paniere di diritti che permette ai cittadini europei di chiedere alle aziende quali informazioni posseggono su di loro – compresi i loro profili personali e quelli basati sulle loro preferenze per il target marketing –, ma anche la completa eliminazione dei dati e dei link che li riguardano. Il Gdpr, inoltre, obbliga le aziende a comunicare tempestivamente – entro le 72 ore – se si è verificata una violazione dei dati che può “comportare un rischio per i diritti e le libertà delle persone”.
Molte novità dei diritti online dei cittadini europei
L’eliminazione dei dati, il cosiddetto diritto all’oblio, è probabilmente uno dei diritti espressi con maggiore forza dal Gdpr. L’articolo 17 del regolamento impone al titolare che ha in gestione i dati dell’utente – persona fisica, giuridica o pubblica amministrazione, che determina come vengono trattati i dati personali e con quale obiettivo vengono raccolti – non solo di cancellarli, ma anche di rigirare la richiesta di cancellazione a tutti gli altri provider di servizi online che stanno utilizzando i dati da lui resi pubblici.
Dal 25 maggio, inoltre, sarà più semplice spostarsi da un fornitore di servizi ad un altro. Il regolamento introduce in questo modo la portabilità dei dati personali, vietando ai titolari dei servizi di bloccare gli utenti per sempre, permettendo a questi ultimi di richiedere il download e il trasferimento dei propri dati a un competitor. La norma fa eccezione nel caso in cui i dati siano contenuti in archivi di interesse pubblico, come ad esempio le anagrafi, così come sarà vietato il trasferimento di dati personali verso organizzazioni che non rispondono agli standard di sicurezza europei.
Se esiste il sospetto che le proprie informazioni personali vengano utilizzate impropriamente, ad esempio rivendute a terzi per scopi pubblicitari, sarà possibile per gli utenti presentare un reclamo formale al Garante della privacy nazionale, che dovrà avviare un’indagine. A questo proposito è stata inoltre predisposta una nuova figura, incaricata di assicurare la gestione corretta dei dati personali nelle imprese e negli enti: il Responsabile della protezione dei dati (o Dpo).
I Paesi dell’Unione sono pronti per il 25 maggio?
Al momento soltanto sette Stati Ue sono pronti al recepimento della normativa: sono Austria, Croazia, Francia, Germania, Olanda, Slovacchia e Svezia. In alto mare, invece, Belgio, Bulgaria, Cipro, Repubblica Ceca, Grecia, Lituania, Slovenia e Ungheria, che non hanno messo in atto i passaggi tecnico-legali per assicurare alle autorità locali le risorse necessarie per imporre le sanzioni previste dal nuovo regolamento europeo sulla data protection.
L’Italia si trova in una posizione intermedia, alle prese con i decreti che dovrebbero adeguare le norme interne a quelle dell’Unione. Nella stessa situazione sono anche Spagna, Portogallo, Romania e Lettonia, che dovrebbero riuscire ad armonizzare i propri ordinamenti entro fine maggio o al più tardi inizio giugno.
Mark Zuckerberg di fronte ai capi-gruppo del Parlamento europeo
Il 22 maggio la conferenza dei presidenti del Parlamento europeo ha accettato di ascoltare Mark Zuckerberg sull’uso dei personal data sulla piattaforma più diffusa al mondo – Facebook conta oltre due miliardi di utenti iscritti –. L’incontro è stato trasmesso via streaming sulla pagina social del Parlamento ed è stato visto da quasi 400 mila utenti.
“Abbiamo chiarito a Mark Zuckerberg che le piattaforme digitali devono garantire la protezione totale dei nostri cittadini”, ha scritto in un tweet Antonio Tajani, presidente del Parlamento europeo, subito dopo l’incontro: “Non possiamo accettare che i personal data vengano usati illecitamente per manipolare le elezioni. La democrazia non può diventare un’operazione di marketing”.(fonte affarinternazionali.it)
a cura di Maria Parente
