A distanza di diciannove anni dall’entrata in vigore – 8 maggio 1997 – della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 (in seguito anche il “Regolamento”), il quale entrerà in vigore domani 25 maggio. I Paesi membri dell’Ue, nei prossimi due anni, sceglieranno come adeguarsi e in che modo inglobare il nuovo provvedimento nelle leggi nazionali.
Nella stessa Gazzetta sono state pubblicate due Direttive relative alle informazioni personali: la prima sulla tutela dei dati personali nell’ambito delle attività investigative, l’altra sulla banca dati del Pnr (il Passenger name record): le informazioni (per esempio, la data del viaggio, i recapiti telefonici, la mail, l’itinerario, le modalità di pagamento, il posto assegnato, il tipo di bagaglio) di chi vola da e per l’ Europa.
Muterà sensibilmente l’attività di chi tratta dati nei settori pubblico e privato, rendendola meno burocratica, riducendo i requisiti formali a favore di garanzie effettive), sfidando il tema delle nuove tecnologie (social network, big data, diritto all’oblio, ecc.).
Il punto principale della nuova normativa è la responsabilità (cd. accountability) dei titolari del trattamento, attraverso una vera e propria policy per la privacy, valutando l’impatto che l’utilizzo dei dati può avere, in particolare in presenza di un rischio significativo per i diritti e la libertà della persona, individuando e ripartendo le responsabilità organizzative ma anche quelle reputazionali, rispondendo in maniera concreta ai problemi che possano presentarsi; tutto con la capacità di dimostrare quanto fatto.
Primario aspetto, rispetto alla normativa vigente, è il rafforzamento dei diritti dell’interessato, quali, ad esempio, la portabilità dei dati, riconoscendo al cittadino la possibilità di chiedere, ad esempio a un’azienda, l’elenco delle sue informazioni personali e il trasferimento di quei dati a un’altra impresa.
L’informativa, la comunicazione che il gestore dei dati personali deve fornire nel momento della raccolta delle notizie, è da un lato aumentata dall’altro semplificata attraverso l’utilizzo di procedure più familiari, quali disegni, icone o altre forme grafiche.
In questo contesto, diviene fondamentale la nuova figura professionale del data protection officer, un professionista che deve controllare e coordinare l’attività di chi, in un’impresa o nella P.A. utilizza i dati personali; importanti altre novità, quali l’accreditamento e la certificazione di sistemi, marchi, sigilli, applicazioni privacy friendly, formazione interna, security breach notification e codici settoriali.
I Garanti nazionali, con il nuovo Regolamento, acquisiscono più poteri, compresi quelli sanzionatori, più indipendenza. Dall’altro lato gli stessi Garanti devono essere più efficaci, accessibili, attivi, trasparenti, prevedibili, saper cooperare e pronunciarsi nella maniera più uniforme possibile a livello di Unione europea attraverso l’emanazione di linee-guida, raccomandazioni e buone pratiche.
Cogliendo alcuni degli aspetti più importanti si può dire che una delle novità più rilevanti è di prevedere delle garanzie per la protezione dei dati già nelle primissime fasi di sviluppo, fin dalla progettazione.
Una novità, attesa da tempo, è l’obbligo per le imprese con sede fuori dall’Unione europea di rispettare, nella loro operatività in Europa, le norme introdotte con il Regolamento.
Per i cd. big data, le tecnologie e i metodi per una raccolta dati molto ampia in termini di volume, velocità, varietà e valore, con la nuova normativa si ha una maggiore facilità di accesso; la portabilità dei dati favorirà l’aumento dei diritti, della fiducia, della trasparenza e del diritto a informazioni chiare e comprensibili.
Per i big data, ma non solo per loro, sarà possibile l’utilizzo di metodi che rispettino la privacy, ad esempio pseudonimi o nomi fittizi, per mettere a profitto i vantaggi dell’innovazione.
Forti le novità per i social network. La più importante è l’inversione dell’onere della prova in materia di trasparenza. A seguire l’obbligo di aumentare e migliorare la stessa trasparenza, la velocizzazione e semplificazione della cancellazione dei dati (diritto all’oblio) in caso di richiesta, salvo la presenza di motivi legittimi che ne consentano il mantenimento.
Importante l’introduzione del principio della proporzionalità per evitare aggravi troppo pesanti sulle piccole e medie imprese, nonché l’introduzione di piattaforme utili a rendere più sicuri flussi di dati in termini di rischi e di tutela. Proporzionalità basata sui rischi legati alla privacy: aboliti gli obblighi di comunicazione, per le imprese che non hanno come attività principale il trattamento dei dati, eliminata la figura del responsabile della protezione dei dati, le PMI sono esentate dalla valutazione d’impatto salvo il caso di rischio elevato; le stesse PMI, in caso di accesso ai dati per motivazioni infondate o eccessive, potranno chiedere il pagamento delle spese.
Le comunicazioni delle imprese alle Autorità nazionali dovranno essere veloci cosicché gli utenti possano essere informati rapidamente e prendere decisioni informate e veloci; le stesse Autorità avranno l’obbligo, nei casi più gravi, di notificare le violazioni in tema portabilità dei dati e di diritto all’oblio agli stessi utenti.
Infine, di rilievo, anche se dovranno essere trovate le giuste modalità di controllo e non obbligatorio per i singoli Stati, l’innalzamento da 13 a 16 anni, con consenso dei genitori, della possibilità di iscrizione ai social.
L’altro argomento “forte” della riforma riportato nelle due direttive riportate sulla stessa Gazzetta ufficiale europea, è la sicurezza riguardo le informazioni trattate dalle forze di polizia e dalle autorità giudiziarie penali, assicurando maggiori tutele dei dati, durante le indagini penali e le azioni di contrasto, per vittime, testimoni e indiziati.
Di fatto, con il Regolamento è riscritta l’intera normativa privacy. E’ auspicabile che con le giuste modifiche la scelta italiana di un unico codice privacy, dove raccogliere tutte le norme in materia, sia mantenuta.