General Data Protection Regulation (Gdpr): Regolamento Ue 2016/679 diventa applicabile in tutti i Paesi membri dell’Unione europea a partire dal 25 maggio 2018.
L’insieme di norme disciplina il trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, ovvero cittadini e organizzazioni.
Gli intenti, così come dichiarati dalla Commissione europea, sono quelli di creare uno standard un pò più snello e semplice per il trattamento dei dati personali, creando anche uno status di certezza giuridica che accompagni il trasferimento di dati dall’interno all’esterno dell’Europa. Il Gdpr vuole essere una risposta a un problema non recente, sul quale i Garanti per la privacy nazionali si sono già chinati più volte in passato.
Lo scopo principale della Gdpr è quello di portare i cittadini europei ad avere maggiore fiducia nelle tecnologie di oggi, in continua crescita.
In questo grande mondo variegato chiamato “dati”
Quando si parla di dati si intende, almeno nell’immaginario, qualcosa di simile a un groviglio di informazioni codificate e poco comprensibili.
In realtà però si tratta di molto di più: di un universo stratificato, di cui fanno parte suoni, immagini, video e testo.
Dove non sono presenti solo nomi, cognomi e date di nascita ma anche informazioni sanitarie, coordinate geografiche, numeri di carte di credito e molto altro ancora. L’informazione in sé, ovvero il concetto di dato, così come la sua natura, le sue tipologie e le sue caratteristiche sono sempre oggetto di studio in diversi ambiti, non solo quello del web o delle tecnologie in generale. Ci sono informazioni esplicite, altre che possono essere dedotte in modo certo e altre che possono esserlo in modo incerto. Un universo di tanti ecosistemi che diventano più fragili sotto l’egida di internet e che necessitano di una protezione sempre maggiore e più centrale.
Cosa prevede il Gdpr
In breve il documento impone che:
- le informazioni di informative e le richieste di consenso siano più chiare
- vengano erette le fondamenta di nuovi diritti per i cittadini
- siano stabiliti i limiti del trattamento automatizzato dei dati personali e siano definiti i parametri per il trasferimento dei dati fuori dall’Europa
- vengano imposte regole rigide relativamente ai casi di violazione dei dati
Un aggravio delle responsabilità per le organizzazioni, che rischiano multe fino a 20 milioni di euro nei casi più gravi.
Più in dettaglio le aziende devono nominare dei titolari del trattamento dei dati a cui spetterà il compito, tra gli altri, di comunicare al Garante le eventuali violazioni e deve essere in grado, mediante una collaborazione europea, a reagire ai data breach che le hanno rese possibili. Una misura che inchioda le aziende e le obbliga a capire davvero quanto i dati siano importanti, non solo in virtù dei danni economici che una fuga di informazioni può comportare. Sul cahier des charges del titolare del trattamento dei dati c’è anche il compito di informare in modo comprensibile gli utenti, comunicando loro le strategie adottate per limitare l’impatto del danno per la privacy. Gli è data facoltà di non avvertire le utenze, a patto che la violazione abbia avuto ripercussioni trascurabili e che vi abbia già posto rimedio. In questo caso l’ultima parola spetta al Garante che può imporre alle aziende di rendere edotti i propri utenti. Il Garante, come previsto dal Gpdr, ha pieni poteri in materia di indagine e di sanzioni.
La figura del Data protection officer (Dpo) è anche disciplinata nel Gpdr, anche se in modo spannometrico: i confini imposti riguardano la sua autonomia e la necessità che possa fare affidamento su risorse sufficienti a svolgere il proprio compito.
C’è spazio anche per la portabilità dei dati personali, affinché possano essere trasferiti da un titolare del trattamento a un altro, a patto che non si tratti di informazioni di interesse pubblico o che si intenda trasferirli al di fuori dell’Europa presso organizzazioni che non garantiscono gli standard minimi in materia di sicurezza.
I nuovi diritti dei cittadini sanciti dal Gdpr sono 12.
Questi diritti coprono la richiesta del consenso, che deve essere sottoposta agli utenti in modo chiaro, quando questi devono rendere disponibili alcuni dei propri dati personali per accedere a un servizio in cui devono apparire la finalità dell’uso dei dati raccolti, il nome del titolare del trattamento, la durata della conservazione dei dati e gli eventuali altri destinatari che avranno accesso agli stessi.
C’è poi la tutela della libertà del consenso prestato da parte dell’utente. Non è raro che alcuni servizi online richiedano a chi ne fa uso dati per nulla necessari alle finalità del servizio. Occorre quindi che agli utenti sia data la garanzia di modificare o annullare il consenso.
Il divieto di trattare alcune tipologie di dati è tra i 12 nuovi diritti. Si tratta per lo più di informazioni riguardo l’etnia degli utenti, le loro convinzioni politiche o religiose, il loro orientamento sessuale o l’appartenenza a categorie o associazioni. Questi dati possono essere forniti ma chi ne fa richiesta deve somministrare all’utente un’apposita richiesta.
Viene anche disciplinato il diritto di accesso. Gli utenti devono essere messi in grado di sapere in quale modo sono stati utilizzati i propri dati e gli deve essere data possibilità di limitarne l’uso, di rettificarli e di sporgere reclami alle autorità di supervisione. Le organizzazioni hanno il dovere di fornire agli utenti le informazioni, è uno dei compiti del titolare del trattamento dei dati.
Il diritto alla cancellazione dei dati, il diritto all’oblio, è parte centrale del Gdpr, così come lo è il diritto di limitarne il trattamento o la volontà dell’utente di portare i dati da un titolare a un altro, senza che quello attuale possa opporre resistenze.
Allo stesso modo un cittadino, senza bisogno di motivi particolari, può opporsi in qualsiasi momento al trattamento dei dati personali.
Il Gdpr è davvero un buon documento?
C’è il rischio che questa sia la domanda sbagliata. Meglio chiedersi se il Gdpr è un buon punto di partenza per armonizzare le norme a tutela della privacy e della riservatezza.
Ci sono delle falle, ma va considerato come un cantiere aperto. Tra le debolezze del Gdpr ne balzano all’occhio 3. La prima riguarda la discrezionalità che il regolamento europeo lascia agli Stati membri, che possono legiferare ognuno a modo suo per definire nel dettaglio le norme previste dal Gdpr. Questo va nella direzione opposta di uno dei suoi scopi principi, ovvero l’armonizzazione delle regole a livello europeo.
Inoltre non è ancora chiaro come e con quali mezzi l’Ue possa fare approvare tali norme anche dai paesi non Ue.
Infine, e questo è solo un esempio per spiegare i limiti del Gdpr, cozza contro i principi della Blockchain su cui molte aziende private e pubbliche stanno facendo leva.
La Blockchain e le norme del Gdpr che danno diritto agli utenti di modificare i propri dati personali sono incompatibili. Gli anelli della catena si spezzerebbero se i dati venissero cambiati e, inoltre, all’interno dei nodi della Blockchain chi può garantire che il Gdpr venga rispettato in tutte le sue formule? A chi si rivolgono gli enti regolatori per verificarne la conformità? Chi viene sanzionato in caso di irregolarità?
L’Europa queste risposte deve ancora trovarle.
