Privacy digitale in Europa, si cambia: più potere ai cittadini e più chiarezza per le imprese
Nelle ultime settimane, abbiamo tutti notato l’arrivo nelle nostre caselle email di comunicazioni relative a modifiche nella gestione dei nostri dati personali.
Si tratta di un adeguamento all’entrata in vigore, il 25 maggio, nell’Unione europea del GDPR, il nuovo regolamento generale sulla protezione dei dati (Regolamento Europeo UE 2016/679).
Perché le istituzioni europee hanno sentito la necessità di aggiornare la normativa sulla privacy?
Lo sforzo delle istituzioni europee è stato quello di tutelare maggiormente i cittadini europei spostando il controllo sui loro dati personali da chi li detiene ai cittadini stessi. Contemporaneamente si è avvertita la necessità di fornire alle imprese una maggiore coerenza giuridica sul tema.
Il GDPR colma inoltre le mancanze della Direttiva 95/46/EC sulla privacy, risalente al 1995, che non metteva paletti precisi sul caso in cui la sede dell’organizzazione detentrice dei dati personali si trovasse all’estero o non avesse raccolto i dati nell’UE.
Infine, Il GDPR si preoccupa di far rispettare le regole introdotte introducendo per la prima volta una serie di sanzioni importanti: sono previste multe fino a 20 milioni di euro o fino al 4% del fatturato globale di chi non le rispetta.
Le principali novità introdotte sono valide per qualsiasi organizzazione che memorizza dati, compresi i datori di lavoro e riguardano:
- diritto all’oblio (art. 17): se richiesto, l’eventuale cancellazione dei dati dell’utente è obbligatoria non solo per il titolare che li ha in gestione, ma anche per tutti gli altri provider di servizi online che stanno utilizzando i dati da questo resi pubblici.
- la portabilità dei dati (art. 20): si possono cioè scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account.
- obbligo di notifica in caso di “data breach” (art 33 e 34): se un’azienda è soggetta a fuga di informazioni, ha 72 ore di tempo per comunicarlo agli utenti coinvolti. Ciò sembra porsi in prevenzione di casi come quello di Cambridge Analytica, l'azienda di marketing elettorale entrata nel 2015 in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. Il caso è esploso tre anni dopo.
- Chiarezza di informazioni (art. 7 e 13): per gli utenti dovrà essere agevole la comprensione e l’eventuale ritiro del proprio consenso sul trattamento dei dati personali. Quando un'azienda cerca di accedere a dati personali, deve chiedere il consenso con «un linguaggio semplice e chiaro», oltre a spiegare a quale fine utilizzerà alcune informazioni. Per i minori, il consenso sarà considerato valido a partire dai 16 anni. Dovrà essere specificato chiaramente il «periodo di conservazione» dei dati.
- Class action (art 80): si istituisce la possibilità di avviare azioni collettive contro l'uso di propri dati, per facilitare il confronto dei cittadini con i “giganti” della tecnologia. Se si crea l’ipotesi che le proprie informazioni personali vengano utilizzate impropriamente, sarà possibile per gli utenti presentare un reclamo formale al Garante della privacy nazionale, che dovrà avviare un’indagine. Questa funzione viene integrata dall’istituzione di una nuova figura, incaricata di assicurare la gestione corretta dei dati personali nelle imprese e negli enti: il Responsabile della protezione dei dati.
“Data protection” la pagina web della Commissione europea (EN)
