Nel tempo di due anni legislazioni nazionali, garanti, aziende e cittadini dovranno prepararsi a un cambiamento rilevante dell’approccio al trattamento dei dati personali e alla loro protezione. E questo varrà in tutto il continente europeo, senza distinzioni. Il nuovo regolamento europeo che entrerà in vigore nel 2018 coinvolge coloro che producono dati, li conservano, li rivogliono indietro o vorrebbero cancellare, creando nuovi percorsi, nuove responsabilità e anche figure professionali specifiche. Il convegno organizzato da EuroPrivacy a Milano è stato il primo a coglierne il senso.
Che tipo di risk management deve essere adottato da chi tratta i dati personali dei suoi clienti? E come inquadrare il Data Protection Officer, e in quale rapporto è con il Data Controller? Che lavoro richiede il privacy by design agli sviluppatori di sistema? Chi gestisce le violazioni dei dati e chi ne risponde? E cosa si intende per anonimizzazione e che tipo di tecnica dovranno usare le telco? Quando si considera l’impatto delle norme che Bruxelles e Strasburgo si sono date per aggiornare l’Europa unita al mondo dei social network e del cloud, ci si rende conto che 24 mesi passeranno molto velocemente e non c’è giorno in cui non valga la pena lavorare per farsi trovare pronti.
In Oracle Italia oggi si parla della nuova direttiva europea protezione dati personali #ready4Eudatap #security pic.twitter.com/pQAXuqFG2N
— Oracle Italia (@OracleItalia) January 29, 2016
Pianificare
Pianificare oggi per essere pronti fra 24 mesi. Questo è il principio dell’evento organizzato da Europrivacy lo scorso 29 gennaio a Milano. Sei grandi campi, risk management, privacy by design, la nuova figura del DPO, data breach, servizi IT e profilazione contro anonimizzazione, si incrociano con le sfide organizzative, di budget, tecnologiche e legislative che si dovranno vincere per stare al passo. La morale finale di una mattinata di relazioni (qui le slide) incardinate dall’hashtag #Ready4EUDataP e ospitate dalla Oracle Community for security a Milano, è quella di Sergio Fumagalli, del Clusit, che ha levato ogni tentazione di lasciar fare al tempo. No, le misure di privacy by design imposte dal nuove regolamento e dalla direttiva sono troppo impegnative, e se non basta il senso di responsabilità ci sono le multe che possono arrivare al 2% del fatturato o a una cifra massima di 10 milioni di euro per chi non si adeguerà e così violerà potenzialmente il trattamento dei dati personali dei cittadini.
.@sergiofumag Da Ratifica #GDPR 24 Mesi Per Adeguare Organizzazione Processi Tecnologia #TakesTime #Ready4EUdataP pic.twitter.com/2LKXvwaFcO
— Europrivacy (@europrivacy) January 29, 2016
Armonia e certificazione
L’approccio della community europrivacy è molto tecnico, ma sapere che anche in Italia si comincia a lavorare sul regolamento fa bene sperare per chi poi si troverà dal lato utente. E fa anche capire quale sia lo spirito ultimo del lavoro del trilogo, cioè costruire una piattaforma di policy unica sul trattamento dei dati e una sede unica per il contenzioso su questi stessi ogni volta ci fossero problemi (e ce ne sono tanti, inevitabilmente). Il regolamento si era fatto notare, giornalisticamente, per aver istituzionalizzato il diritto all’oblio, per l’età di consenso all’uso dei social, ma sono aspetti banali rispetto al lead authority che si pretende entro il 2018, quando, per intendersi, tutti i cittadini degli stati membri potranno affidarsi alle autorità nazionali per la notificazione delle violazioni (il cosiddetto data breache).
Le autorità garanti lavoreranno insieme per assicurare un diritto molto più ristretto di oggi: il titolare del trattamento avrà 72 ore di tempo per informare le autorità (a meno che non sia in grado di dimostrare che la violazione non ha messo autenticamente a rischio i dati del cliente), entro una cornice che dovrebbe mandare in soffitta il registro dei titolari di trattamento. Quello che ha fatto impazzire tutti con la Cookie Law. In pratica, secondo la nuova regola è più moderno un sistema basato sul disegno preparatorio e sulla reattività piuttosto che le lungaggini delle registrazioni dei titolari.
#DataProtectionDay today. New data protection rules bring #FundamentalRights into the digital age.
— Věra Jourová (@VeraJourova) January 28, 2016
Questa armonia ha bisogno di certificazioni, di standard. Il redesign avrà effetti pratici sui sistemi informatici, che dovranno occuparsi di minimizzare il trattamento dei dati personali, dare trasparenza, compatibilità, sicurezza; impatto che riguarda anche le tecniche di anonimizzazione previste per evitare l’opt-in del consenso, ferme restando le principali misure di protezione dei dati in modo che non portino all’identificazione dei soggetti. Molto interessante anche il rapporto contrattuale e disciplinare istituito fra Data Processor, cioè una figura professionale, fisica o giuridica, che ha il compito di elaborare i dati secondo le istruzioni del Data Controller, cioè il titolare del trattamento , il quale però ha una responsabilità autonoma quando non rispetti le istruzioni date dal controller.
Questo meccanismo chiarisce meglio tutti quei passaggi che fino ad oggi hanno complicato terribilmente la vita di chi ha cercato di ottenere un risarcimento danni. I legali hanno spesso utilizzato provvedimenti di urgenza e ottenuto risultati per sfinimento. Dal 2018 la titolarità del trattamento dei dati personali riguarderà tutti i soggetti che trattano i dati, a risalire, piattaforme comprese.