Manca ancora un anno alla sua piena operatività ma il pacchetto di riforma della protezione dei dati (il regolamento generale sulla protezione dei dati e la direttiva sulla protezione dei dati per il settore della polizia e della giustizia penale) rischia di essere una rivoluzione per la quale è meglio essere preparati. Per questo oggi la Commissione europea, a un anno esatto dall’applicabilità dei provvedimenti (maggio 2018), ha pubblicato un vademecum della futura cybersecurity europea.
«La riforma è un passo fondamentale per rafforzare i diritti fondamentali dei cittadini nell'era digitale - scrive la Commissione - e facilitare le imprese semplificando le norme per le società del mercato unico digitale».
Cosa cambierà
Il regolamento aggiorna e modernizza i principi sanciti dalla direttiva sulla protezione dei dati del 1995 per garantire i diritti della privacy. Si concentra su:
- rafforzare i diritti degli individui;
- rafforzare il mercato interno della Ue;
- garantire un'applicazione più rigorosa delle norme;
- razionalizzare i trasferimenti internazionali di dati personali.
Le modifiche consentiranno ai cittadini un maggior controllo dei propri dati personali e un accesso più semplice. Sono progettati per assicurare che le informazioni personali siano protette - ovunque vangano inviate, elaborate o memorizzate - anche al di fuori dell'Ue, come spesso avviene utilizzando Internet.
I vantaggi per i cittadini
La riforma della protezione dei dati rafforzerà i diritti dei cittadini in questo campo. A partire dal diritto all’oblio: nel caso in cui un individuo non desidera più che i suoi dati siano trattati, se non vi sono ragioni legittime per mantenerlo, i dati verranno eliminati.
La direttiva oggi in vigore consente agli individui di eliminare i propri dati, in particolare quando non sono più necessari. Ad esempio, se un individuo ha dato il suo consenso all'elaborazione per uno scopo specifico (ad esempio, la visualizzazione in un social network) e non desidera più questo servizio, non c'è ragione di mantenere i dati nel sistema. In particolare, quando i bambini hanno fornito i propri dati - spesso senza comprendere pienamente le conseguenze - non devono rimanere incastrati alle conseguenze di questa scelta per il resto della loro vita.
Ciò non significa che su ogni richiesta di un individuo tutti i suoi dati personali debbano essere cancellati immediatamente e per sempre. Se, per esempio, la conservazione dei dati è necessaria per l'esecuzione di un contratto o per l'adempimento di un obbligo legale, i dati possono essere conservati per quanto necessario per tale scopo.
Le disposizioni proposte sul diritto all’oblio prevedono anche la salvaguardia della libertà di espressione e della ricerca storica e scientifica. Ad esempio, nessun politico sarà in grado di eliminare i propri commenti precedenti dal web. Ciò consentirà, tra l'altro, ai siti web di notizie di continuare a operare sulla base degli stessi principi.
Sarà poi garantito un accesso più semplice ai propri dati: gli individui avranno maggiori informazioni su come i loro dati vengono elaborati e queste informazioni dovranno essere disponibili in modo chiaro e comprensibile. Un diritto alla portabilità dei dati renderà più semplice per gli individui trasmettere dati personali tra i fornitori di servizi.
Un altro diritto garantito dalle nuove regole sarà anche sapere quando i dati sono stati violati: le aziende e le organizzazioni devono notificare all'autorità nazionale di controllo le violazioni dei dati che mettono a rischio i soggetti e devono comunicare al soggetto interessato tutte le violazioni ad alto rischio quanto prima possibile affinché gli utenti possano adottare misure appropriate.
La protezione per i bambini
Il regolamento riconosce che i minori meritano una protezione specifica dei loro dati personali, poiché potrebbero essere meno consapevoli dei rischi, delle conseguenze, delle garanzie e dei loro diritti in relazione al trattamento dei dati personali. Ad esempio, beneficiano di un diritto più chiaro da dimenticare.
Per quanto riguarda i servizi Ict offerti direttamente ai bambini, il regolamento prevede che il consenso per l'elaborazione dei dati di un bambino deve essere dato o autorizzato dal titolare della responsabilità genitoriale del minore. La soglia di età dovrà essere definita dagli Stati membri entro un periodo compreso tra i 13 ei 16 anni.
I vantaggi per le imprese
Raccolti, analizzati e spostati in tutto il mondo, i dati personali hanno acquisito enorme importanza economica. Rafforzando gli elevati standard di protezione dei dati europei, i legislatori creano opportunità di business. Questo rafforzamento avviene sulla base di quattro direttrici:
- una sola legislazione paneuropea per la protezione dei dati, sostituendo l'attuale patchwork delle leggi nazionali. Le aziende si occupano di una legge, non 28. I benefici sono stimati a 2,3 miliardi di euro all'anno.
- un’unica autorità di vigilanza, che renderà più semplice e meno costoso per le imprese di fare affari nella Ue. Le regole devono essere applicate allo stesso modo ovunque e un’unica autorità semplifica la cooperazione tra le autorità di protezione dei dati sulle questioni con implicazioni per tutta l'Europa. Le aziende dovranno affrontare solo un'autorità, non 28. Ciò garantirà la certezza del diritto per le imprese. Le imprese trarranno profitto da decisioni più rapide, dal fatto di avere a che fare con un singolo interlocutore e da meno burocrazia.
- stesse regole per tutte le aziende, a prescindere da dove sono stabilite: oggi le imprese europee devono aderire a norme più severe rispetto alle società stabilite fuori dell'Ue ma anche a fare affari nel mercato europeo. Con la riforma, le società con sede fuori d'Europa dovranno applicare le stesse regole di quelle europee quando offrono beni o servizi sul mercato Ue
- neutralità tecnologica: il regolamento consente all'innovazione di continuare a prosperare in base alle nuove regole.
Il nuovo diritto alla portabilità dei dati permetterà agli individui di spostare i loro dati personali da un fornitore di servizi a un altro. Le start-up e le piccole aziende potranno accedere ai mercati dei dati dominati dai giganti digitali e ad attirare più consumatori con soluzioni adatte alla privacy. Questo renderà l'economia europea più competitiva.Esempio: vantaggi per gli individui, vantaggi per le imprese Una nuova piccola impresa desidera entrare nel mercato offrendo un sito web di condivisione dei social media online. Il mercato ha già grandi attori con una grande quota di mercato. Secondo le regole vigenti, ogni nuovo cliente dovrà prendere in considerazione di ricominciare dai dati personali che intendono fornire per essere stabiliti sul nuovo sito web. Questo può essere un disincentivo per alcune persone che considerano di passare alla nuova attività. Con la riforma della protezione dei dati: il diritto alla portabilità dei dati renderà più facile per i potenziali clienti trasferire i propri dati personali tra i fornitori di servizi. Ciò consente ai clienti di esercitare il controllo sui loro dati personali e, allo stesso tempo, promuove la concorrenza e incoraggia nuove imprese sul mercato.
Le sanzioni
Il regolamento generale sulla protezione dei dati introduce sanzioni e ammende. Per decidere la sanzione si prenderà in considerazione una serie di fattori: la gravità / durata della violazione; il numero di soggetti interessati e il livello di danni subiti; il carattere intenzionale dell'infrazione; tutte le azioni adottate per mitigare i danni; il grado di cooperazione con l'autorità di vigilanza.
Il regolamento stabilisce due massimali per le ammende se le norme non sono rispettate. Il primo limite prevede ammende fino a un massimo di 10 milioni di euro, oppure, in caso di impegno, fino al 2% del fatturato annuale mondiale. Questa prima categoria di multa sarebbe applicata per esempio se i controllori fanno per effettuare valutazioni d'impatto, come richiesto dal regolamento. Il massimale delle ammende raggiunge un massimo di 20 milioni di euro o il 4% del fatturato annuo mondiale.
Gli strumenti per proteggere i dati personali in caso di cyberattacchi
Viene disposto l'obbligo di elaborare i dati personali in modo da garantire la sicurezza dei dati personali, anche per impedire l'accesso o l'uso non autorizzato dei dati personali e delle attrezzature utilizzate per l'elaborazione. Pertanto, il controllore o il processore dovrebbero valutare i rischi inerenti al trattamento dei dati personali e attuare misure per attenuare tali rischi (articolo 32 della direttiva).
Le autorità di controllo dovranno informare i soggetti interessati sulle violazioni dei dati senza ritardi indebiti. Tale obbligo sarà rilevante se tale violazione dei dati personali rischia di provocare un elevato rischio per i diritti e le libertà della persona fisica per consentirgli di adottare le necessarie precauzioni (articolo 33 della direttiva) .
Le autorità di controllo dovranno altresì comunicare all'autorità di vigilanza pertinente in materia di protezione dei dati, a meno che il controllore non sia in grado di dimostrare che non è probabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. Tali notifiche devono essere presentate senza indebito ritardo e, laddove possibile, in generale non oltre 72 ore dopo la consultazione dei responsabili del trattamento dei dati (articolo 34 della direttiva).
La direttiva sulla protezione dei dati per polizia e magistratura
La direttiva sulla polizia garantisce la protezione dei dati personali degli individui coinvolti in procedimenti penali (testimoni, vittime o sospetti). Verrà agevolato uno scambio più fluido di informazioni tra le autorità di polizia e giudiziarie degli Stati membri, migliorando la cooperazione nella lotta contro il terrorismo e altri crimini gravi in Europa. A questo fine viene istituito un quadro completo per garantire un elevato livello di protezione dei dati, tenendo conto, comunque, della natura specifica della polizia e della giustizia penale.
Grazie all'armonizzazione delle 28 diverse legislazioni nazionali, le norme comuni in materia di protezione dei dati consentono alle autorità di contrasto e alle autorità giudiziarie di collaborare in modo più efficace e più rapido tra di loro. Faciliterà lo scambio di dati personali necessari per prevenire la criminalità in condizioni di certezza del diritto, in piena conformità alla Carta dei diritti fondamentali. Le autorità di contrasto alla criminalità non dovranno più applicare differenti regole di protezione dei dati in base all'origine dei dati stessi risparmiando tempo e denaro. Le nuove norme si applicano sia all'elaborazione domestica che ai trasferimenti transfrontalieri di dati personali. Avere più leggi armonizzate in tutti gli Stati membri dell'Ur renderebbe più facile per le nostre forze di polizia lavorare insieme.
I dati personali dei cittadini saranno meglio protetti. La direttiva tutela il diritto fondamentale dei cittadini alla protezione dei dati quando i dati sono utilizzati dalle autorità incaricate dell'applicazione della legge penale. I dati personali di tutti dovrebbero essere trattati in modo legittimo, giusto e solo per uno scopo specifico. Tutti i processi di applicazione della legge nell'Unione devono rispettare i principi di necessità, proporzionalità e legittimità, con opportune garanzie per gli individui. La vigilanza è garantita da autorità indipendenti nazionali di protezione dei dati e devono essere forniti efficaci rimedi giurisdizionali. La direttiva prevede inoltre chiare regole per il trasferimento di dati personali da parte delle autorità incaricate dell'applicazione della legge penale fuori dall'Ue, per garantire che tali trasferimenti avvengano con un adeguato livello di protezione dati.
© Riproduzione riservata