Il diritto alla riservatezza e la protezione dei dati degli utenti sono uno di quegli argomenti “hot” sempre in lizza per conquistarsi i riflettori delle cronache tecnologiche, e nel corso dei prossimi mesi se ne parlerà ancora di più se si considera il processo messo in moto dalle autorità dell’Unione Europea. Presto gli stati membri (Italia inclusa, quindi) dovranno adottare un framework comune, uno strumento legislativo destinato a irrobustire la UE – almeno sul fronte dei diritti degli utenti di Internet e di altri “soggetti di dati” legalmente riconosciuti.
La novità più significativa del nuovo corso europeo si chiama Regolamentazione Generale sulla Protezione dei Dati o GDPR (General Data Protection Regulation), vale a dire il risultato di uno sforzo di armonizzazione delle varie leggi nazionali sulla privacy che è andrà ad ammodernare norme, diritti e doveri risalenti all’oramai lontanissimo 1995.
Le precedenti regole comunitarie sulla privacy fanno infatti riferimento a un periodo precedente all’affermazione di massa dei dispositivi informatici (personali, aziendali, professionali) e a molto prima della diffusione della rete telematica globale di Internet, un mondo che oggi risulta irriconoscibile rispetto a ventidue anni fa e che evidentemente necessita di regole legali al passo coi tempi.
Il processo di ammodernamento che ha portato alla definizione della GDPR risale al 2012, anno in cui la Commissione Europea – organo esecutivo della UE – propose le nuove norme prima che Parlamento Europeo, Commissione e Consiglio d’Europa raggiungessero l’accordo sulla sua versione finale nel dicembre del 2015. Il parlamento europeo ha approvato la GDPR nell’aprile del 2016, mentre l’entrata in vigore della legge per tutti i paesi della UE è prevista per il 25 maggio del 2018.
Manca quindi meno di un anno all’entrata in vigore definitiva delle nuove regole, e i paesi come l’Italia – ma anche la Germania, la Francia e il resto della UE – avranno un bel po’ di lavoro da fare per adattare le legislazioni nazionali, le organizzazioni aziendali private e le pubbliche amministrazioni (PA) alle molte novità previste dalla GDPR.
La nuova regolamentazione per la privacy riguarderà prima di tutto chiunque tratti i dati personali dei cittadini residenti in Europa, fatto che eliminerà molte delle escamotage legali fin qui adottate dalle società extra-continentali (e statunitensi in particolare) e le obbligherà a istituire un responsabile dei dati per le loro operazioni sul Continente. Ogni azienda o pubblica amministrazione operante con i dati dovrà inoltre dotarsi di uno di questi responsabili o Data Protection Officer.
La richiesta del consenso per il trattamento dei dati dovrà essere comprensibile a tutti e facilmente accessibile, così come dovrà risultare a portata di mano l’accesso ai dati archiviati da un’azienda o da una PA; l’utente dovrà sempre avere il “diritto all’oblio”, vale a dire la cancellazione dei suoi dati detenuti da un soggetto privato, così come alla “portabilità” dei suddetti dati in formati interoperabili e compatibili con diversi soggetti del mercato.
Le norme della GDPR impongono inoltre tempi piuttosto precisi (72 ore) per la divulgazione pubblica delle eventuali violazioni delle informazioni da parte dei cyber-criminali, almeno nei casi in cui l’incidente costituisca un probabile “rischio per i diritti e le libertà dei singoli”; per chi non divulga in tempo le violazioni o non rispetta la nuova regolamentazione, le sanzioni economiche potranno arrivare a un 4% del giro d’affari annuale massimo dell’azienda o a 20 milioni di euro – a seconda di quale sia la cifra più consistente. Per i casi di violazione meno gravi si parla invece di multe a partire dal 2% dei ricavi annuali.
Le aziende e le PA dovranno ripensare e ristrutturare le loro piattaforme di gestione dei dati adottando fin dall’inizio i principi del rispetto della riservatezza (Privacy by Design), fatto che in paesi tradizionalmente lenti a recepire le innovazioni tecnologiche come l’Italia potrebbe davvero costituire una rivoluzione digitale dagli effetti dirompenti. La data fatidica del 25 maggio 2018 non è poi così lontana.