Cambiano le norme sulla privacy. Le nuove regole dell'Ue per la protezione dei dati

25 maggio 2018Ci siamo. Dal 25 maggio tutti i cittadini europei avranno un nuovo regolamento, il GDPR, a tutela dei propri dati personali e sensibili (il General Data  Protection Regulation o Regolamento Ue 2016/679). Una normativa che cambia e innova il sistema in vigore, assicurando una maggiore protezione della privacy e uniformando le leggi europee esistenti. Le persone e le imprese, tanto quelle che offrono servizi nell'ambito dell'Unione Europea sia quelle con sede al di fuori dell’Unione, avranno pari diritti  in ogni Paese europeo  per ciò che riguarda la tutela e il pieno controllo delle informazioni che le riguardano. 

Quali sono i principali cambiamenti? Ci sarà maggior protezione  contro le violazioni dei dati personali (una tutela importante per i cittadini e  un passo avanti nella cybersecurity attiva): le imprese sono tenute a notificare i ‘data breach’ alle autorità entro 72 ore. E soprattutto sono previste multe fino a 20 milioni di euro  - nel caso di aziende, fino al 4% del fatturato annuo mondiale – per gli inadempienti. Non meno importante, la nomina prevista dal regolamento del Responsabile protezione dati. E la possibilità di revocare il proprio consenso in qualsiasi momento contattando il responsabile del trattamento dati.

Se i dati personali vengono utilizzati illecitamente si può fare richiesta di cancellazione. E questa norma si applica anche ai motori di ricerca. I minori che vogliono utilizzare servizi online avranno bisogno dell'autorizzazione dei genitori fino ai 16 anni. 

Nel caso in cui si ritenga che i propri diritti siano stati violati si può presentare una denuncia all'autorità nazionale che dovrà indagare e rispondere entro tre mesi

   

Per aiutare i Paesi membri a recepire la norimativa la Commissione ha pubblicato una sorta di vademecum che ne facilita la comprensione:
             

Ma Bruxelles non si è limitata all’infografica ma ha stanziato di 1,7 milioni di euro per i Garanti per la privacy degli Stati membri, chiedendo garanzie sulle risorse economiche e sulle competenze da parte degli enti nazionali coinvolti. Anche le piccole e medie imprese hanno diritto a un contributo da Bruxelles: 2 milioni di euro per assistenza nella compliance ma molte di queste, secondo un sondaggio della Commissione, sono ancora del tutto impreparate all’appuntamento.

 

Una valutazione condivisa anche da Willem Jonker, Ceo di EIT Digital, l'agenzia dell'Unione europea per co-finanziare e coordinare attività integrate di alta formazione, ricerca e innovazione:

 

“Ritengo che sia compito  anche dei Governi non soltanto alzare il livello di conoscenza sulla legge ma anche di spiegarla meglio (…).Per le imprese, mi aspetto una prima reazione negativa ma quando capiranno il suo funzionamento vedranno il GDPR come un driver per nuovi servizi innovativi.”

La legge vale per tutti, anche fuori dall'Europa. Il GDPR riguarda l’Europa, ma avrà ricadute economiche importanti anche al di fuori della Ue e affari  a gonfie vele per gli esperti di software e privacy di tutto il mondo, non fosse altro per spiegare come le regole saranno applicate. Tutte le attività che raccolgono dati dei clienti sono interessate e comprendono in primis le aziende tecnologiche, i fornitori di servizi sanitari, le assicurazioni,  le banche, e non cambia nulla se hanno sede in Paesi terzi.

Affari a gonfie vele per gli esperti . Gli esperti credono che sarà necessario l’apporto professionale di avvocati  specializzati che forniscano consulenza sulla conformità al GDPR,  così come di consulenti in sicurezza informatica e sviluppatori di software per aiutare le aziende a raccogliere, indicizzare e archiviare grandi quantità di dati, nonché renderli disponibili per i report . Per esempio Wim Remes, consulente di sicurezza informatica di Bruxelles (tra i suoi clienti europei e americani figurano fornitori e aziende tecnologiche), ha detto che risponde ogni settimana a dozzine di telefonate chiedendo chiarimenti sul GDPR. Altra società di servizi legali, la statunitense Axiom, ha raccontato all’agenzia  Reuters di avere già più di 200 avvocati – un sesto del totale - al lavoro per districare le regole del  GDPR e che ne assumerà  almeno altri 100 professionisti quest'anno, anche per allenare il proprio team. Dai sondaggi internazionali, le valutazioni sono di segno opposto: il 78% delle aziende è sicura di arrivare con le carte in regole alla scadenza, secondo le rilevazioni di Microsoft, mentre la società di ricerche Gartner prevede che meno della metà di tutte le aziende interessate dal  GDPR saranno pienamente in regola entro la fine del 2018.

Il Cloud e il Codice di condotta. L'entrata in vigore il nuovo regolamento europeo sulla protezione dei dati riguarda quindi anche il tema dell’esportazione di dati personali al di fuori dell’UE e, di conseguenza, la conservazione dei dati sul cloud.  “Il GDPR introduce un problema perché prevede sanzioni a parer mio sproporzionate: 20 milioni di euro o 4% del fatturato per qualche azienda è esagerato”, sostiene Stefano Cecconi, Amministratore delegato di Aruba. “Noi abbiamo seguito tutte le evoluzioni normative, abbiamo preso contatti con altri fornitori cloud  e con le autorità di Bruxelles per la stesura del codice di comportamento Cispe. Il GDPR lasciava aperta la possibilità di stendere un codice di condotta, che una volta approvato diventa vincolante per tutti, anche per quelli che non hanno partecipato alla sua stesura.” Il risultato è una sorta di auto-regolamentazione.

  Il Codice di Condotta per la protezione dei dati Cispe prevede che tutti i servizi cloud dichiarati a norma siano identificati da un particolare marchio di garanzia, che offre ai clienti e ai cittadini la libertà di archiviare ed elaborare i propri dati all’interno dello Spazio Economico Europeo. Inoltre, lo stesso marchio garantisce che il provider di servizi cloud non acceda o utilizzi i dati del cliente per scopi personali, come, in particolare, operazioni di data mining, data profiling o di marketing diretto.



Per Cecconi la questione del mercato del cloud, in vista della normativa europea sulla protezione dei dati, richiede attenzione percé si tratta di un mercato “ancora selvaggio, ancora nuovo quindi partire da un documento tecnico a tutti gli effetti rappresenta una base comune, comincia a creare un minimo di linguaggio comune. Anche l’utente potrà vedere che c’è un bollino con alcune garanzie come in altri settori dove ci sono dati confrontabili come tariffe e quantità. Su cloud non ci sono ancora standardizzazioni e stiamo cercano un linguaggio comune per tutti, poi per quanto riguarda i clienti che vinca il migliore”.