Sono trascorsi 20 giorni dal 4 maggio, data di pubblicazione in GUUE (Gazzetta Ufficiale dell’Unione Europea) del nuovo pacchetto di riforma in materia di protezione dei dati personali ed oggi il GDPR (General Data Protection Regulation) entra ufficialmente in vigore.
Maggio 2016 passerà alla storia per aver dato il via ad una vera e propria rivoluzione della Data Protection e per l’introduzione di fatto di nuove regole per l’economia digitale. “Una legge per un continente”, ma non solo, anche per tutte quelle organizzazioni di business extra UE che vorranno continuare o iniziare a “lavorare” con l’Unione Europea le regole da rispettare saranno sempre le stesse. E molti Paesi non UE stanno anche volgendo il loro sguardo verso questo nuovo Regolamento con estremo interesse, nei confronti di una norma finalizzata ad un rafforzamento dei diritti dei cittadini UE, ma per molti aspetti anche innovativa e che potrà di sicuro diventare un punto di riferimento a livello globale.
Quali le motivazioni della Riforma?
Nel mese di aprile del 2011, a seguito di un cyber attack nei confronti di una società di tecnologia si è compiuta la violazione di dati personali (data brech) di più alto profilo fino ad allora mai verificatasi, tra quelle quanto meno rese note, che ha compromesso le informazioni personali di ben 77 milioni di utenti: nomi e cognomi, relativi dati anagrafici tra i quali indirizzi postali e date di nascita, indirizzi e-mail, informazioni di login e relative password di accesso, cronologie relative ai dati di acquisti e informazioni sulle carte di credito utilizzate.
La società vittima di tale crimine informatico, solo a seguito di qualche segnalazione da parte di propri utenti, viene a conoscenza di tale data breach e cerca immediatamente di correre ai ripari adottando tutte quelle misure, purtroppo non preventive, volte a perimetrare e contenere tale fuga di informazioni e relativi impatti.
Ci è voluta quasi una settimana prima che la società riconoscesse pubblicamente tale violazione di dati personali e che informasse anche i clienti interessati. Ma il danno era ormai consumato e mai come in questi casi vale il detto “Il tempo è danaro”: il momento più redditizio per i cyber criminali è proprio quello immediatamente successivo al furto dei dati e prima che i soggetti interessati adottino adeguate contromisure, in alcuni casi anche preventive, a seguito di notifica di data breach.
Perché rafforzare la Data Protection?
Il caso sopra descritto è decisamente rilevante per il numero dei soggetti coinvolti, ma è purtroppo uno dei tanti fino ad allora resi noti. E questa è sicuramente una valida motivazione, tra altre, per le quali si doveva necessariamente ripensare alla Privacy, senza considerare che il trend del Cyber Crime e Reati On-Line, da allora ad oggi, è in costante crescita.
Le norme precedenti, che da oggi sono formalmente pensionate, risalgono al 1995. In questi 21 anni, dalla loro adozione fino ai giorni nostri, le modalità di comunicazione sono cambiate e l’utilizzo delle stesse reti social ha profondamente mutato il modo con cui le persone condividono le proprie informazioni personali.
L’arrivo dello stesso Cloud Computing, a costi ormai alla portata di quasi tutti, ha comportato un significativo cambiamento nelle stesse modalità di fruizione dei servizi e soprattutto di archiviazione delle informazioni, dal computer/server verso i data center.
Nella sola Europa oltre 252 milioni di persone utilizzano quotidianamente Internet, i più svariati servizi on line, le app disponibili ormai non si contano e alcune di queste sono per moltissimi pressoché indispensabili, come domotica e IoT solo per citarne alcuni: l’essere ovunque e “always connect” è diventato un imperativo e quasi ormai una necessità.
In questo nuovo contesto peraltro sempre in rapida e continua evoluzione, gli individui dovrebbero mantenere un controllo efficace sui propri dati personali e questo è un diritto fondamentale per tutti i cittadini UE che doveva necessariamente essere salvaguardato.
Il rafforzamento di tali diritti è proprio l’obiettivo primario del nuovo Regolamento.
Quali le principali novità della Riforma?
Ogni soggetto interessato sarà adeguatamente e chiaramente informato ogni volta che i propri dati personali saranno oggetto di trattamento e quando sarà necessario tale trattamento sarà subordinato ad un consenso manifestato tramite una chiara azione affermativa e inequivocabile: maggiore trasparenza quindi su come i dati sono trattati, con informazioni di facile comprensione, soprattutto per i minori, anche tramite l’impiego di infografiche.
Le nuove regole rafforzeranno anche il diritto di ciascun individuo ad essere dimenticato (diritto all’oblio) con conseguente blocco di trattamento dei propri dati personali e relativa cancellazione: la successiva detenzione di tali dati sarà non legittima. Tale diritto aiuterà a gestire i rischi di protezione dei dati on-line, ovviamente non si tratta né di cancellare eventi del passato, riscrivere la storia o limitare la libertà di stampa.
Il nuovo Regolamento renderà più semplice e agevole l’accesso ai propri dati personali consentendo di sapere con esattezza quali informazioni sono in possesso e trattate dalla Imprese e Pubbliche Amministrazioni, e di trasferire più facilmente gli stessi dati ad esempio da un fornitore di servizi ad un altro (diritto alla portabilità).
La riforma impone in caso di data breach (violazione di dati personali) di notificare sia ai soggetti interessati che all’Autorità di controllo competente, senza indebito ritardo (entro 72 ore), qualora vi sia un rischio per i diritti individuali, se vi è stato senza autorizzazione un accesso o divulgazione di dati personali, se questi sono stati distrutti o persi o alterati in maniera accidentale o illecita.
La protezione dei dati già in fase di progettazione di un servizio/prodotto/processo e le relative impostazioni sin da subito in modalità restrittiva: Privacy By Design e Privacy by Default quali principi essenziali e fondamentali della Data Protection UE. Pensate ad un nuovo Social Network o ad una APP, questi dovranno essere pensati e costruiti recependo tali nuovi principi già nella stessa fase di progetto e successivo sviluppo.
Queste nuove regole rafforzeranno i diritti degli individui in modo pratico e la stessa Commissione UE e le Autorità nazionali di controllo potranno rendere ancora più efficaci tali obblighi, oltre a rendere più consapevoli gli stessi soggetti interessati.
Una migliore applicazione dei diritti di protezione dei dati anche per il tramite di un miglioramento dei ricorsi amministrativi e giudiziari nei casi di violazioni delle nuove regole privacy.
Una maggiore responsabilità (accountability) per coloro che trattano dati personali anche attraverso l’onere in capo a tali soggetti di dimostrare di aver fatto tutto quanto possibile al fine di garantire un adeguato standard di riservatezza e protezione.
Considerazioni
Ragioni condivisibili e obiettivi lodevoli. Servivano nuove regole, e da oggi le nuove regole sono arrivate.
Ma sarà così semplice? Ne abbiamo in parte già parlato negli undici articoli precedenti e ne parleremo ancora a lungo anche nei prossimi: diverse le zone d’ombra, diversi i temi demandati alle singole Autorità nazionali, diversi i casi di difficile applicazione come del resto anche interpretazioni diverse della norma.
Tanto per non farci mancare nulla.
Facebook Comments