La nuova privacy europea – Regolamento UE 2016/679

Il Codice Privacy dell’ormai ben noto Decreto Legislativo 196/2003 prevedeva – e prevede tuttora – il diritto alla protezione dei dati personali come informazioni legate alla tutela della vita privata, episodi essenzialmente personali e di scarso interesse sociale.
Da allora, il contesto politico, economico, culturale e tecnologico è cambiato tanto profondamente da far evolvere il diritto alla riservatezza verso una maggiore e puntuale tutela dei dati personali.
Il nuovo Regolamento UE 2016/679, altrimenti noto come GDPR (General Data Protection Regulation), o Regolamento Generale sulla Protezione dei Dati, è pensato per proteggere le persone non solo attraverso la protezione dei loro i dati, ma anche per garantire una maggiore consapevolezza sul trattamento degli stessi attraverso un contesto giuridico più chiaro ed uno standard di trasparenza più elevato rispetto alla precedente direttiva 95/46/CE.
Agli interessati si consegna il potere di disporre dei propri dati. A loro devono essere forniti una serie di nuovi elementi di conoscenza, tanto da rendere obbligatorio chiarire la ’logica’ del trattamento.
Questi nuovi orientamenti saranno applicati all’interno di uno scenario ben diverso da quello di qualche anno fa. Gli algoritmi utilizzati per combinare singole informazioni di una persona, la profilazione dei comportamenti ai fini della comunicazione, vendita o valutazione delle prestazioni dovranno essere preventivamente noti agli interessati.
Il motivo individuato dal legislatore è semplice: dietro gli algoritmi (di Google, di Facebook, di Amazon, ma non solo loro) ci sono le persone. I Big Data e l’intelligenza artificiale hanno modificato il rapporto delle persone con i loro dati personali e per questo il legislatore ha affermato non solo il diritto di conoscenza, ma pure di controllo. Siamo quindi in presenza di una ridistribuzione di poteri che consentono all’interessato di intervenire in maniera attiva sull’utilizzo dei suoi dati con lo strumento della rettifica.
Un secondo obiettivo del nuovo regolamento è quello di creare un quadro giuridico realmente omogeneo ed unitario all’interno dell’Unione Europea.
Il Regolamento Europeo per la Protezione dei Dati Personali 2016/679 è già in vigore da maggio 2016.
La normativa costringe Pubblica Amministrazione, aziende di ogni dimensioni e studi professionali (Commercialisti, Consulenti del Lavoro, Avvocati, Notai ecc.) ad adottare un preciso sistema di regole con specifiche misure tecniche e organizzative per consentire alle autorità un controllo costante e dinamico sulla conformità alla nuova normativa.
Tutte le organizzazioni pubbliche e private dovranno adeguarsi entro il 25 maggio 2018.
Sarà necessario dimostrare di aver preso tutte le misure idonee a prevenire la diffusione impropria di dati personali e sensibili, nonché a proteggere gli stessi da possibili attacchi informatici aventi proprio il fine di sottrarli in maniera fraudolenta.
Un esempio? Imprese, aziende, professionisti ed organizzazioni dovranno notificare entro 72 ore all’Autorità Nazionale di Vigilanza (Garante Privacy in Italia) le eventuali violazioni di dati personali più gravi, affinché gli utenti possano prendere le misure adeguate. Tempi molto stretti, quindi, per evitare il ripetersi di abusi a cui il mondo di internet ci ha abituati: è noto il caso del “data breach” di 500 milioni di account subito da Yahoo! nel 2014, e denunciato solo 2 anni dopo.
In caso di inadempienza, le multe minacciano di essere salatissime: fino a 20 milioni di euro o il 4% del fatturato annuo, a seconda di quale sia maggiore. Tanto da pregiudicare, se applicate, anche la sopravvivenza professionale di chi le subisce.
La data del 25 maggio 2018 non è così lontana, se pensiamo che dovranno essere rivisti tutti i processi aziendali coinvolti nella gestione dei dati personali.