L'entrata in vigore del nuovo Regolamento europeo sulla protezione dei dati personali (GDPR), Reg. UE 2016/679, avverrà il 25 Maggio e avviene proprio mentre continua la bufera sulla mancata protezione dei dati di oltre ottanta milioni di clienti da parte di Facebook.
Una delle ultime risposte della multinazionale del web americana è stata quella di organizzare il trasferimento dei dati di 1,52 miliardi di individui dai propri server in Irlanda a quelli in California. Evidentemente il nuovo regolamento europeo contiene disposizioni più stringenti e con sanzioni maggiori rispetto alle leggi americane.
«In questo modo, e contrariamente alle teatrali promesse fatte al Congresso, la società di Mark Zuckerberg crea utenti di «serie A» (gli europei) e di «serie B» (tutti gli altri). Come non immaginare che fake news ed elezioni pilotate potranno dilagare in Africa, mentre nei mercati regolamentati europei tutto sarà più controllato?
Africani, indiani e latinoamericani (cioè l'80% dei clienti del gigante dei dati) si troveranno dal giorno alla notte sotto la più morbida normativa statunitense per la privacy, senza i nuovi diritti di cittadinanza elettronica previsti a breve dalle leggi europee» [1].
Del resto «la situazione USA è decisamente frammentata sui 50 Stati e si inserisce in un sistema giuridico di per sé più complesso del nostro (Common Law, come la Gran Bretagna), dove agli atti normativi si somma l'efficacia dei precedenti giurisprudenziali. […] se da questa parte dell'Oceano la privacy è considerata un diritto fondamentale dell'individuo, in America è più il risultato di un bilanciamento tra le esigenze dell'individuo e quelle delle aziende, sotto la supervisione della FTC (Federal Trade Commission). Senza addentrarci troppo, è indubbio come l'assenza di un riferimento certo e normativo, unita alla frammentazione del sistema federale, renda estremamente complessa la gestione della cosa e crei incertezza nel consumatore, che non è l'unico soggetto tutelato dalla legge» [2].
E comunque crediamo poco alle rassicurazioni di Zuckerberg sul fatto che la tutela sarà uguale per tutti gli utenti di Facebook in qualsiasi parte del mondo. Come accade con molte delle grandi aziende, avendo mano libera, si muovono alla velocità della luce per spostare le attività che potrebbero finire nelle maglie di legislazioni meno favorevoli per loro e a maggior tutela per i cittadini e i consumatori.
Il nuovo regolamento dovrebbe meglio riuscire a tutelare gli utenti anche perché armonizza le varie disposizioni presenti in Europa – in Italia il Codice Privacy, D.Lgs. 196/2003 – che verranno di fatto azzerate il 25 Maggio prossimo.
Tutto il nuovo impianto normativo si basa sulla responsabilità del Titolare del trattamento “di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di mostrare, che il trattamento è effettuato conformemente al regolamento” (art.24 paragrafo 1).
È prevista la possibilità che il Titolare (controller) affidi ad un Responsabile (processor) una parte o tutto il trattamento che comunque deve essere svolto sulla base delle sue istruzioni, in suo nome e sotto il suo controllo come previsto dall'articolo 28 che, inoltre specifica che i rapporti tra titolare e responsabile devono essere regolati da “un contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri” e che il contratto deve esplicitare “la materia disciplinata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Una disposizione resta alla base di tutta la disciplina e cioè la necessaria autorizzazione al trattamento dei dati. Il consenso viene specificato deve essere libero, specifico (non generico), documentato per iscritto, inequivocabile e sempre revocabile.
Sarà il Titolare ad avere l'onere della prova e non basterà ad esempio un generico indirizzo IP dalla quale è arrivata l'autorizzazione. Per questo le aziende dovranno adeguarsi per fare in modo che sia chiaro per esempio quando è stato prestato il consenso, come è stato richiesto, per quali trattamenti l'utente a dato il consenso (privacy, cookie policy,…).
Non sarà più possibile pre-determinare delle azioni per poter ottenere più facilmente il consenso, come quando l'estensore dell'autorizzazione contrassegna già delle autorizzazioni al trattamento dei dati.
Un nuovo diritto viene istituito ed è quello della portabilità secondo il quale l'interessato ha diritto di poter ricevere e trasferire i propri dati già comunicati, in formato elettronico, al Titolare del trattamento. Quindi possiamo chiedere all'azienda che gestisce una nostra utenza di trasferire lo stesso tipo dii autorizzazione al nuovo gestore.
È presente nel GDPR anche il diritto all'oblio e cioè la facoltà che ha l'utente di chiedere e ottenere la cancellazione dei dati che lo riguardano. La richiesta all'oblio può essere disattesa in caso cozzi con il diritto alla libertà di espressione e d'informazione; nel caso di procedimenti giudiziari come per l'esercizio della difesa e, infine, nel caso sia necessario adempiere ad obblighi legali per ragioni di pubblico interesse o nel caso di esercizio di pubblici poteri (e qui non sono delimitate le fattispecie a parere di alcuni esperti).
Dal principio della responsabilizzazione (accountability principle) deriva l'istituto della valutazione d'impatto sulla protezione dei dati (data protection impact assesment) e cioè il DPIA. Un mezzo fondamentale per il Responsabile del trattamento e che rappresenta il processo diretto a descrivere il trattamento dei dati personali, a misurarne la necessità e la proporzionalità e a gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche attraverso, appunto, una valutazione del rischio e individuando tutte le attività atte a ridurre il rischio stesso.
Sicuramente tanti passi in avanti nella tutela sono stati fatti, ma resta il dubbio che il GDPR possa veramente fermare le multinazionali, in particlari quelle del web, se la sanzione amministrativa può arrivare fino a 20 milioni di euro o il 4% del fattura mondiale annuale? Nel caso di Facebook che fattura oltre 40 miliardi di dollari non superebbe i 400 milioni di euro, più o meno, che sono tanti ma non abbastanza per impedirgli di provarci. Pensate a quello che (non) è accaduto alle case automobilistiche sul caso del dieselgate.
Nel frattempo, il Garante italiano ha differito di sei mesi i controlli, e necessariamente, le sanzioni derivanti che ne deriverebbero, sull'applicazione del GDPR.
Pasquale Esposito
[1] Matteo Bartocci, “Gdpr, Facebook teme le norme sulla privacy e sposta tutti i dati”, https://ilmanifesto.it, 21 aprile 2018
[2] Emanuele Villa, “Facebook e protezione dei dati a un mese dal regolamento europeo GDPR”, https://www.dday.it, 4aprile 2018
Segui il canale TELEGRAM-----------------------------
Iscriviti alla newsletter-----------------------------
Se sei giunto fin qui vuol dire che l'articolo potrebbe esserti piaciuto.
Usiamo i social in maniera costruttiva.
Condividi l'articolo.
Condividi la cultura.
Grazie