Panico nelle aziende, arriva il GDPR. Ecco cosa cambia per tutti noi

Hacker’s Dictionary. La rubrica settimanale a cura di Arturo Di Corinto

di ARTURO DI CORINTO per Il Manifesto del 24 Maggio 2018

Mezzanotte del 24 maggio, scatta il panico: da domani, 25 maggio, entra in vigore il Regolamento europeo sulla protezione della privacy e dei dati personali voluto due anni fa dall’Unione Europa, il famoso GDPR, e le aziende non sono pronte. Hanno già chiesto una proroga al Governo.

Ma perché tanto panico?

Perché per chi non rispetta il Regolamento sono previste sanzioni salatissime, fino al 4% del proprio fatturato o fino a 20 milioni di euro secondo una progressione che punisce la cattiva gestione dei dati e dei sistemi che li trattano fino alla violazione di alcuni principi fondamentali come il diritto alla cancellazione dei dati, il famoso diritto all’oblio.

Le più spaventate di tutte sono le aziende americane che grazie al Regolamento sono finalmente obbligate a sottostare a una serie di stringenti previsioni legali per quanto riguarda la gestione e il trattamento dei dai personali dei loro ‘clienti’ europei.

Un obbligo che, da Apple a Facebook, da Amazon a Google, non erano neanche pronte a immaginare: cioè concedere agli utenti il pieno controllo delle informazioni che li riguardano.

D’ora in avanti, infatti, gli utenti di app, web e software, gli utenti di un servizio o i clienti di un’azienda potranno chiedere di rimuovere informazioni datate che li riguardino; avranno il diritto di scaricare i propri dati da una piattaforma e trasferirli a un’altra senza indugio, nel rispetto della «portabilità» dei dati; le aziende saranno obbligate a notificare le violazioni informatiche entro 72 ore dal momento in cui ne vengono conoscenza (articolo 33), e a informare i diretti interessati qualora la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone.

Il Regolamento istituisce anche la figura del Data protection officer (Dpo): interno o esterno all’azienda, deve vigilare sull’applicazione del Regolamento da parte del titolare o del responsabile del trattamento dei dati (articolo 37).

Da stanotte quindi finisce l’era delle informative per la privacy scritte in «legalese», finisce l’omertà di banche, assicurazioni, ospedali e ministeri sempre restii a dichiarare di aver perso i nostri dati a causa di un attacco informatico; finisce l’era delle procedure artigianali nella raccolta dei dati e finalmente sapremo perché e come i nostri dati personali vengono elaborati, impilati e scambiati, chi ne è il destinatario, e perfino quando saranno cancellati.

Il Regolamento, che si compone di 99 articoli, abolisce il vecchio Codice della Privacy, o almeno la sua parte generale non compatibile col Regolamento stesso, mentre le restanti norme sono state riscritte in un decreto di 28 articoli che adegua la normativa nazionale al GDPR.

Ma proprio su alcuni di questi il Garante Privacy Antonello Soro ha sollevato delle perplessità: ad esempio a partire dall’eccessiva conservazione dei dati del traffico telefonico e telematico che oggi prevede una durata di 6 anni e che non è in linea con la giurisprudenza europea.

Inoltre il Garante ha chiesto che la sanzione penale rispetto al trattamento illecito dei dati intervenga non solo nel dolo per profitto (il caso Cambridge analytica ad esempio), ma anche nel dolo per danno (come nel caso di Tiziana Cantone) e ritiene che il consenso del minore per iscriversi alle piattaforme online debba partire dai 14 anni.

Nel parere del 22 maggio scorso il Garante suggerisce anche che il Dpo sia presente nelle sedi dell’autorità giudiziaria e che nel trattamento dei dati genetici a fini di ricerca ci sia un’autorizzazione specifica laddove il GDPR prevede invece una deroga.