Al convegno EDPD 2018 si è fatto il punto sulla protezione dei dati in Europa

Al convegno EDPD 2018 si è fatto il punto sulla protezione dei dati in Europa

Di seguito le principali novità emerse in tema di protezione dei dati, nell’imminenza della data ultima di rispetto del nuovo regolamento: il 25 maggio 2018.

Particolare attenzione hanno attratto le relazioni dei rappresentanti di Google e di Facebook, che evidentemente erano sotto tiro per i recenti eventi, che hanno comportato la violazione dei dati di milioni di persone.

I portavoce hanno illustrato quali misure sono state adottate per mettere sotto controllo la situazione e soprattutto quali garanzie verranno adesso offerte agli utenti, in merito ad un corretto trattamento dei loro dati. L’impegno preso da entrambe le società è quello di dare una informativa assai più trasparente, come in effetti molti lettori avranno già avuto occasione di osservare, e di aumentare i diritti in capo agli utenti stessi.

Se devo dare un giudizio mio personale, mi è sembrato che molte di queste misure assomigliassero alle porte installate dopo che i buoi sono scappati, ma comunque cerchiamo di guardare al futuro con ottimismo.

Un ampio spazio del dibattito è stato dedicato allo sviluppo del nuovo regolamento sulla ePrivacy, che dovrà allinearsi con l’attuale regolamento sulla protezione dei dati, per cercare di sincronizzare le disposizioni dei due regolamenti. Il portavoce di una società telefonica ha fatto presente che, a suo avviso, vi sono ancora numerose differenze di impostazione tra i due documenti e si spera che il regolamento sulla privacy possa essere ulteriormente aggiustato. Ad esempio, egli ha fatto presente che non si rende conto del motivo per cui i dati relativi alla localizzazione di un cellulare, di necessità piuttosto approssimata, effettuata da una compagnia telefonica, sia soggetto a rigide regole, mentre l’utilizzo di sistemi GPS, che possono consentire il tracciamento dell’utente, non sembra essere sottoposto a regole altrettanto stringenti.

Pubblicità

Software e applicazioni - Blumatica GDPR: Account Base - Canone 12 mesi Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.

Ad avviso di chi scrive, è evidente che la differenza sta nel fatto che il tracciamento mediate GPS può essere facilmente bloccato dall’utente, mentre la localizzazione tramite triangolazione di stazioni base non è evidentemente bloccabile dall’utente.

La presenza del Garante inglese per la protezione dei dati personali, Information Commissioner Officer- Elizabeth Denham-  ha dato lo spazio per analizzare se e come la Brexit porterà a modificare la situazione attuale. Un rappresentante della commissione europea, intervistato in diretta, ha affermato che se il Regno Unito rispetterà determinate regole, nulla impedirà che esso venga inserito nei paesi, verso i quali vige la decisione di adeguatezza, e quindi il trasferimento di dati personali è privo di vincoli.

I lettori sono certamente al corrente che l’autorità Garante ha pubblicato sul proprio sito un modello compilabile on-line per sviluppare una valutazione di impatto. Ebbene, il rappresentante della autorità garante francese, CNIL, ha comunicato che questo modello ha incontrato un grande successo, tanto è vero che è stato tradotto ed è compilabile on-line in almeno altre cinque lingue.

Come si vede, quando un lavoro è ben fatto, viene spesso apprezzato!

Altri relatori hanno illustrato alcune modalità con le quali è possibile impostare in modo assai più trasparente la resa di informativa e raccolta di consenso. Sono questi due aspetti fondamentali del nuovo regolamento, che in passato, sia per trascuratezza, sia per scelta deliberata, sono stati spesso sottovalutati dai titolari di grandi siti, che raccolgono big data a volontà.

Alcuni esempi illustrati hanno dimostrato come sia del tutto possibile far coincidere le esigenze di trasparenza e semplicità d’uso con le esigenze di completa e corretta informativa.

Nella sala erano presenti numerosi legali ed ecco il motivo per cui almeno una relazione è stata dedicata interamente alla gestione di possibili contenziosi, afferenti al nuovo regolamento. Lo schema generale non è molto diverso da quello attualmente in vigore, che prevede la scelta, da parte di chi vuole avanzare ricorso, tra l’accesso immediato alla magistratura, oppure, in alternativa, l’accesso alla autorità amministrativa, impersonata dal Garante.

Ancora una volta sono stati sottolineati i temi legati al valore assai elevato delle sanzioni, mettendo per altro in evidenza che, non essendovi un minimo, la sanzione deve essere effettive, proporzionate e dissuasiva. Ciò significa che per la stessa violazione si possono applicare sanzioni diverse, in funzione del titolare coinvolto e del contesto in cui si è svolta la violazione. È questo un aspetto che spesso viene ignorato nell’illustrare il nuovo regolamento.

Il rappresentante dell’autorità garante del Belgio ha auspicato che l’imminente nuovo regolamento sulla privacy possa essere sincronizzato con l’esistente regolamento sulla protezione dei dati, in modo da semplificare gli adempimenti ed evitare possibili conflitti.

Alcuni relatori, provenienti dall’estero, hanno fatto il punto sulla protezione dei dati personali in India ed in Asia, dove molti paesi si stanno attivando per migliorare le leggi vigenti, in modo da favorire un allineamento con le disposizioni del regolamento europeo e favorire quindi la adozione di una clausola di adeguatezza, prima citata in relazione al Regno Unito.

Di particolare interesse l’intervento di un relatore, che ha messo in evidenza come la adozione di norme nazionali od europee od internazionali possa favorire il rispetto dei dettati del regolamento, in materia di sicurezza dei dati.

Ricordo ai lettori che in Italia è stata recentemente approvata la norma UNI 11697:2017, che definisce il profilo di quattro soggetti, coinvolti nella protezione dei dati personali, tra i quali si pone in particolare evidenza il responsabile del trattamento ed il responsabile della protezione dei dati. L’Istituto di accreditamento, Accredia, ha già pubblicato un documento che permette agli istituti di certificazione di allineare le proprie procedure di valutazione e d’esame, in modo che la certificazione rilasciata sia riconosciuta da ente accreditato.

Il giudizio complessivo sull’evento, anche supportato da un eccellente organizzazione, ancora una volta è positivo che mi auguro che molti lettori vorranno partecipare al prossimo evento, già fissato per il 21 e 22 maggio 2019, sempre a Berlino. È un’occasione di alto livello per aggiornare le proprie conoscenze e scambiare punti di vista su temi importanti ed in continua evoluzione.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.