Ue data privacy, le nuove regole in discussione

Dopo 17 anni l’Europa cambia le proprie regole in materia di privacy. Il nuovo pacchetto dell’Ue sulla tutela della privacy e sulla protezione dei dati personali sarà presentato domani dopo più di due anni di lavori. Se passerà l’esame il regolamento entrerà in vigore entro la fine dell’anno nei 27 paesi dell’Ue e interesserà direttamente le imprese europee ma come quelle extra-Ue. Da qui l’agitazione e la tensione che si avverte da tempo a Bruxelles. Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e personale interno e a mantenere un database. Le telecom come i social network (Facebook, Twitter, Linkedln); i fornitori di servizi di cloud computing (Micrsoft, Google, ecc) come i soggetti che gestiscono o elaborano database. Il cambiamento rischia di essere epocale. Da tempo le lobbies nazionali e internazionali si muovono intorno agli uffici di Bruxelles perché la posta in gioco è altissima. Una legislazione più stringente e severa obbligherebbe in particolari i big dell’hi-tech statuinitensi a rivedere i propri piani per i servizi ai consumatori europei. In particolare, sul cloud il timore è che un obbligo alla localizzazione del dato in ambito nazionale, ovvero sui server dislocati in territorio nazionale o una serie di misure che vanno in questo senso rallenterebbero l’innovazione. Sotto un profilo squisitamente tecnologico, secondo Google, il cloud è tanto più efficiente quanto più la capacità di calcolo si muove in base alle necessità di elaborazione. E non in base a criteri geografici. Una richiesta di armonizzazione arriva da Microsoft ma anche il gigante di Redmond si dice preoccupato perché non si affronti il tema della privacy in ottica restrittiva. Secondo quanto emerge dalle bozze che finora sono girate i temi caldi sono il diritto all’oblio, ovvero il diritto di ottenere la cancellazione dei dati personali che non sono più necessari ai fine del trattamento. Sicuramente un tema delicato per ad esempio per Facebook, già chiamata a novembre a rispondere davanti al commissario europeo della privacy in Irlanda. Tempi e modi della “exit strategy” dai social network sono un tema sia tecnologico che di business. Allo studio anche l’obbligo di comunicare la perdita di dati entro 24 ore dall’accertamento dell’incidente. Sony fu criticata quando quest’estate aspettò sei giorni prima di ammettere una intrusione hacker sui server della Playstation. Ma, anche in questo caso, non è chiaro se esista una sanzione o la possibilità di adire tribunale in caso di negligenza o mancata comunicazione. Più stringenti le misura in tema di trattamento dei dati. La commissaria Reding ha anticipato che verrà richiesto alle aziende di ottenere “specifici e espliciti” forme di consenso dagli utenti nelle operazioni di archivio dei dati. Obblighi di cancellare dati e nuove richieste di approvazione agli utenti potrebbero comportare per aziende cone Google, Facebook e Yahoo! che usano le informazioni dei propri utenti per determinare il target pubblicitario per prodotti e servizi, una riduzione di ricavi da queste attvità. Secondo la Reding tuttavia, una legislazione uniforme e chiara consentirà di risparmiare 2,3 miliardi di euro proprio da pratiche e documenti di richiesta di consenso. Sarebbe previsto infatti un obbligo di adottare misure tecnologiche (privacy by design) che riducano di default il trattamento dei dati personali al minimo necessario anche riguardo al periodo massimo di conservazione e ai soggetti che possono avere accesso ai dati. Impatto nello sviluppo di software destinati al trattamento dei dati (Crm, gestionali ecc) in questo caso sarebbe notevole
Altre novità presenti nel regolamento saranno, secondo il Financial Times, una multa fino al 2% del fatturato globale ai danni delle aziende che violino le nuove norme. In passato si era parlato del 5%. L’obbligo per le grandi aziende con più di 250 addetti di designare un soggetto indipendente destinato a vigilare sulla conformità del trattamento dei dati alle nuove normative, l’obbligo di conservare documenti contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali gestite da una società – una previsione questa di portata più ampia rispetto all’attuale DPS, che potrà riguardare non solo i titolari ma anche i responsabili del trattamento. L’introduzione di questo regolamento oltre ad avere un impatto enorme per tutti quei soggetti chiamati a gestire un database solleverà non poche polemiche. Il confronto più serrato è tra fornitori europei e extra-ue di cloud computing. Una normativa favorevole ai soggetti nazionali solleverebbe non poche frizioni tra Usa e Ue.