Dopo una lunga inerzia, un’improvvisa fuga in avanti. Da oggi Facebook inizierà ad avvertire i milioni di abbonati, compresi gli oltre 200mila utenti italiani, i cui dati personali sono stati utilizzati da Cambridge Analytica per finalità non consentite. Chi ha subito un danno, dunque, ne sarà consapevole e potrà chiedere al social maggiori informazioni su come sono state gestiti propri dati. Quello di Facebook è un passaggio dovuto. Allo stesso tempo, però, anticipa un importante obbligo previsto dal nuovo regolamento europeo sulla privacy: quello sul cosiddetto data breach.

Involontario apripista
Una coincidenza più che una reale volontà di fare da battistrada alle nuove norme Ue sulla tutela dai dati che diventeranno operativo il prossimo 25 maggio. Sta di fatto, tuttavia, che la comunicazione che Facebook invierà da oggi agli utenti “spiati” è assimilabile alla procedura che tra poco più di un mese ciascun gestore di database dovrà mettere in atto appena scoperto di essere stato violato. Il regolamento europeo prevede, infatti, che quando il furto dei dati mette a repentaglio i diritti e le libertà delle persone, il titolare della banca dati avvisi entro 72 ore - o comunque «senza ingiustificato ritardo» - il Garante della privacy. Se il rischio di compromissione dei diritti è elevato, devono essere prontamente informati anche i diretti interessati a cui i dati si riferiscono.

La prevenzione delle regole Ue
Se un sistema di protezione analogo fosse stato attivato da Facebook appena avuto sentore dei problemi, probabilmente non si sarebbe arrivati alla situazione attuale. Rimanendo al campo degli scenari, ci si può esercitare a ipotizzare se il sistema di Cambridge Analytica avrebbe potuto prender piede con il regolamento europeo già in vigore. Forse sì, ma avrebbe sicuramente avuto vita più difficile.

I nuovi obblighi
Oltre al data breach, infatti, la nuova privacy prevede che ciascun titolare di una banca dati metta in campo tutte le misure per proteggerla, facendo un’analisi delle potenziali vulnerabilità: è il concetto della privacy by design e by default. Inoltre, deve tenere il registro dei trattamenti, uno strumento utile per fornire un quadro delle operazioni compiute con i dati personali. Deve, poi, nominare il data protection officer (il responsabile della protezione dei dati), una nuova figura a cui spetta garantire l’applicazione e il rispetto delle regole europee.

Portabilità dei dati e sanzioni più salate
Altra novità è quella della portabilità dei dati, ovvero la possibilità di trasferire le informazioni da un’azienda a un’altra. Un po’ come accade oggi con i gestori telefonici. Un’opportunità che potrebbe indurre le imprese a fidelizzare i propri clienti/utenti facendo della protezione della privacy un valore aggiunto. Eppoi ci sono le sanzioni. Il regolamento europeo le ha innalzate: chi sbaglia dovrà a pagare fino al 4% del fatturato annuo mondiale. Non proprio spiccioli anche per i ricchi bilanci di Facebook.

© Riproduzione riservata