Il Gruppo dei Garanti Europei, altrimenti noto come Article29, ha approvato tre documenti con indicazioni e raccomandazioni cardine del Regolamento europeo sulla protezione dei dati, testo che andrà a regime dalla primavera del 2018, tempo nel quale settore pubblico e privato dovranno adeguarsi. In vista dell’applicazione di questo regolamento, molto avanzato rispetto all’attuale, l’autorità garante italiana sta lavorando anche per tradurlo e spiegarlo.
Il responsabile per la protezione dei dati (Data Protection Officer – DPO), il diritto alla portabilità dei dati, e l’autorità capofila che fungerà da “sportello unico” per i trattamenti transnazionali. Sono questi i tre argomenti sui quali sono state pubblicate le diverse linee guida. Il primo documento è il più lungo (18 pagine) e non a caso: il DPO è una materia terribilmente complessa, perché questa figura, totalmente nuova, deve essere integrata nella cornice legale che coinvolge coloro che producono dati, li conservano, li rivogliono indietro o vorrebbero cancellare, creando nuovi percorsi, nuove responsabilità e anche figure professionali specifiche. Però non tutte le aziende sono obbligate ad avere il DPO, che può essere collettivizzato come forma di servizio rispetto al Data Processor, che è una figura professionale, fisica o giuridica, che ha il compito di elaborare i dati secondo le istruzioni del Data Controller, cioè il titolare del trattamento. Quel che importa è che mai sorgano conflitti di interesse tra il controllore e il controllato, cioè il DPO deve avere indipendenza concreta dall’azienda.
Privacy: nuovo Regolamento Ue, prime Linee guida dei Garanti europei – https://t.co/VaRwL9ancD #GarantePrivacy #protezionedati pic.twitter.com/omU4JM2bSb
— baldo meo (@meobaldo) December 19, 2016
Per quanto riguarda il diritto alla portabilità, il Gruppo29 evidenzia secondo l’authority italiana il suo valore di “strumento per l’effettiva libertà di scelta dell’utente”. È un tema tecnico-politico dove forse si gioca tutta la sensibilità continentale e che ha visto in Italia, ad esempio, nelle proposte del deputato Stefano Quintareli, lo stesso tipo di visione: consentire a tutti di trasferire altrove i dati personali trattati da tutti i sistemi, non solo i fornitori storici come un mail hosting o un sistema mobile, ma anche i social network. Questo passaggio è potenzialmente rivoluzionario: i dati generati dall’utente stesso navigando o muovendosi sui siti o addirittura prodotti dalla propria attività monitorata – per esempio il braccialetto da fitness che registra battiti cardiaci e altro – appartengono all’utente e devono poter essere trasferiti su altri dispositivi.
Il concetto è che in fondo queste aziende guadagnano già sul trattamento e la vendita a terze parti delle informazioni finché ne dispongono, perciò quando l’utente le rivuole con sé non si vede perché la piattaforma dovrebbe impedirlo, avendo l’utente comunque deciso di abbandonarla per un altro prodotto. Il documento dei garanti esamina gli aspetti tecnici legati ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio di questo particolare diritto. In soldoni: la stessa cosa che accade con una rubrica di contatti sullo smartphone, molto più in grande. Si potrà prendere un pezzo di vita messa su un social, chiudere il profilo e ripartire su un altro social portando con sé quelle informazioni cancellandole dalla piattaforma precedente.
Infine, i Garanti europei hanno chiarito i criteri per l’individuazione della autorità capofila per la risoluzione di controversie transnazionali (se il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento). Si tratta di un elemento importante del nuovo quadro normativo, e le Linee guida vogliono aiutare i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente. Va ricordato che il senso del regolamento nasce per proteggere il cittadino europeo non il territorio, quindi il “diritto segue il dato” e gli altri paesi, Stati Uniti, Asia, tutti, dovranno soddisfare questo genere di protezione nei confronti degli europei al di là del fatto che i loro server operino in stati con legislazioni eventualmente più morbide.
Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.