La tutela dei dati uguale per tutti: ecco come l’Ue cambierà la nostra privacy

Spread the love

Cambia radicalmente la protezione dei dati personali per i cittadini europei, con regole che da maggio diventano identiche per tutti in ogni Paese dell’Ue. Entra in vigore, anche in Italia, dal 25 maggio prossimo il GDPR (il General Data  Protection Regulation o Regolamento Ue 2016/679). Cosa comporta? Moltissimo  per le persone e ancora di più per le imprese, sia quelle  che offrono servizi nell’Ue sia quelle con sede al di fuori dell’Unione.

Assicura intanto maggiori diritti per i cittadini, come per esempio la portabilità dei dati da un’impresa all’altra (una banca, un operatore telefonico).  Ci sarà maggior protezione  contro le violazioni dei dati personali (una tutela importante per i cittadini e  un passo avanti nella cybersecurity attiva): le imprese sono tenute a notificare i ‘data breach’ alle autorità entro 72 ore.

E soprattutto sono previste multe fino a 20 milioni di euro  – nel caso di aziende, fino al 4% del fatturato annuo mondiale – per gli inadempienti. Non meno importante, la nomina prevista dal regolamento del Responsabile protezione dati.

 

L’Ue in allarme: siete già in ritardo

L’Italia rischia di essere in ritardo sull’applicazione delle nuove regole Ue, ha già avvertito Bruxelles. Ma Il nostro Paese è in ‘buona’ compagnia: la Commissione europea sta mettendo sotto pressione praticamente tutti gli Stati  e solo due di questi, Austria e Germania, a cento giorni dalla scadenza, risultavano allineati con quanto stabilito dall’Ue.

Per aiutarli, la Commissione ha pubblicato una sorta di vademecum che facilita la comprensione della normativa e i suoi elementi principali:

 

 

 

 

 

 

Imprese impreparate

Bruxelles non si limita all’infografica ma ha stanziato di 1,7 milioni di euro per i Garanti per la privacy degli Stati membri, sollecita a rispettare i tempi previsti e chiede garanzie sulle risorse economiche e sulle competenze da parte degli enti nazionali coinvolti.

Anche le piccole e medie imprese hanno diritto a un contributo da Bruxelles: 2 milioni di euro per assistenza nella compliance ma molte di queste, secondo un sondaggio della Commissione, sono ancora del tutto impreparate all’appuntamento di maggio.

E’ una valutazione condivisa anche da Willem Jonker, Ceo di EIT Digital, l’agenzia dell’Unione europea per co-finanziare e coordinare attività integrate di alta formazione, ricerca e innovazione:

Ritengo che sia compito  anche dei Governi non soltanto alzare il livello di conoscenza sulla legge ma anche di spiegarla meglio (…).Per le imprese, mi aspetto una prima reazione negativa ma quando capiranno il suo funzionamento vedranno il GDPR come un driver per nuovi servizi innovativi.”

La legge vale per tutti, anche fuori dall’Europa

Il GDPR riguarda l’Europa, ma avrà ricadute economiche importanti anche al di fuori della Ue e affari  a gonfie vele per gli esperti di software e privacy di tutto il mondo, non fosse altro per spiegare come le regole saranno applicate. Tutte le attività che raccolgono dati dei clienti sono interessate e comprendono in primis le aziende tecnologiche, i fornitori di servizi sanitari, le assicurazioni,  le banche, e non cambia nulla se hanno sede in Paesi terzi.

Affari a gonfie vele per gli esperti

Gli esperti credono che sarà necessario l’apporto professionale di avvocati  specializzati che forniscano consulenza sulla conformità al GDPR,  così come di consulenti in sicurezza informatica e sviluppatori di software per aiutare le aziende a raccogliere, indicizzare e archiviare grandi quantità di dati, nonché renderli disponibili per i report .

Per esempio Wim Remes, consulente di sicurezza informatica di Bruxelles (tra i suoi clienti europei e americani figurano fornitori e aziende tecnologiche), ha detto che risponde ogni settimana a dozzine di telefonate chiedendo chiarimenti sul GDPR.

Altra società di servizi legali, la statunitense Axiom, ha raccontato all’agenzia  Reuters di avere già più di 200 avvocati – un sesto del totale – al lavoro per districare le regole del  GDPR e che ne assumerà  almeno altri 100 professionisti quest’anno, anche per allenare il proprio team.

Dai sondaggi internazionali, le valutazioni sono di segno opposto: il 78% delle aziende è sicura di arrivare con le carte in regole alla scadenza, secondo le rilevazioni di Microsoft, mentre la società di ricerche Gartner prevede che meno della metà di tutte le aziende interessate dal  GDPR saranno pienamente in regola entro la fine del 2018.

Il Cloud e il Codice di condotta

L’entrata in vigore il nuovo regolamento europeo sulla protezione dei dati riguarda quindi anche il tema dell’esportazione di dati personali al di fuori dell’UE e, di conseguenza, la conservazione dei dati sul cloud.  “Il GDPR introduce un problema perché prevede sanzioni a parer mio sproporzionate: 20 milioni di euro o 4% del fatturato per qualche azienda è esagerato”, sostiene Stefano Cecconi, Amministratore delegato di Aruba.

“Noi abbiamo seguito tutte le evoluzioni normative, abbiamo preso contatti con altri fornitori cloud  e con le autorità di Bruxelles per la stesura del codice di comportamento Cispe. Il GDPR lasciava aperta la possibilità di stendere un codice di condotta, che una volta approvato diventa vincolante per tutti, anche per quelli che non hanno partecipato alla sua stesura.” Il risultato è una sorta di auto-regolamentazione.

Il Codice di Condotta per la protezione dei dati Cispe prevede che tutti i servizi cloud dichiarati a norma siano identificati da un particolare marchio di garanzia, che offre ai clienti e ai cittadini la libertà di archiviare ed elaborare i propri dati all’interno dello Spazio Economico Europeo. Inoltre, lo stesso marchio garantisce che il provider di servizi cloud non acceda o utilizzi i dati del cliente per scopi personali, come, in particolare, operazioni di data mining, data profiling o di marketing diretto.

Per Cecconi la questione del mercato del cloud, in vista della normativa europea sulla protezione dei dati, richiede attenzione percé si tratta di un mercato “ancora selvaggio, ancora nuovo quindi partire da un documento tecnico a tutti gli effetti rappresenta una base comune, comincia a creare un minimo di linguaggio comune. Anche l’utente potrà vedere che c’è un bollino con alcune garanzie come in altri settori dove ci sono dati confrontabili come tariffe e quantità. Su cloud non ci sono ancora standardizzazioni e stiamo cercano un linguaggio comune per tutti, poi per quanto riguarda i clienti che vinca il migliore”.

Celia Guimaraes @viperaviola

Leave a Reply

Your email address will not be published. Required fields are marked *