Questo sito utilizza cookie per migliorare la tua esperienza di navigazione e rispetta la tua privacy in ottemperanza al Regolamento UE 2016/679 (GDPR)

                                                                                                             

×

Attenzione

JUser: :_load: non è stato possibile caricare l'utente con ID: 693

GDPR e dati personali: Recensito incontra Camilla Bistolfi, consigliere Istituto Italiano Privacy

È di poche settimane fa la notizia che la nota società britannica Cambridge Analytica (qui per approfondire), al centro dello scandalo per l’uso illegale di migliaia di dati personali che ha investito in pieno anche Facebook, ha dichiarato bancarotta. Ciò ha riportato l’attenzione di media e cittadini su un tema a volte poco affrontato coscienziosamente: come vengono trattati i dati, sensibili o meno, che centinaia di persone nel mondo forniscono ogni giorno ad aziende e società? Quanto sono sicuri, in termini di data protection, sistemi, processi o social network a cui si aderisce?
Nel 2016, per rendere più rigidamente e uniformemente disciplinata la materia del trattamento dei dati personali all’interno degli Stati membri, l’Unione Europea ha diramato un nuovo regolamento che preveda una maggiore tutela e responsabilizzazione. Il regolamento, chiamato spesso con l’acronimo GDPR, entrerà in vigore in Italia a partire dal 25 maggio.
Per saperne di più, abbiamo intervistato Camilla Bistolfi, consigliere di amministrazione presso l’Istituto Italiano Privacy e direttrice del Centro Nazionale Anti Cyberbullismo. "Cattura

Partiamo dall’acronimo: GDPR. Cosa significa e perchè è così importante? In cosa è diverso dal vecchio Codice Privacy italiano?

"GDPR significa “General Data Protection Regulation” (“Regolamento generale sulla protezione dei dati”, ndr). È un atto legislativo europeo estremamente importante, il quale consente una minore arbitrarietà nell’attuazione delle norme da parte degli Stati membri, essendo di diretta applicabilità (non necessita di recepimento come per le direttive, poiché i regolamenti sono vincolanti).
L’importanza è racchiusa tutta qui, non solo nelle novità incluse nel testo normativo, ma nella natura in sé dell’atto, che consente una maggiore uniformità e omogeneizzazione della protezione dei dati personali all’interno dell’Unione Europea.
Dire in cosa differisce dal Codice Privacy è difficile e facile insieme. Da un lato, ne riprende diverse disposizioni che portava con sé già la direttiva 95/46/CE, dall’altra le organizza e le esplica in modo più completo, aggiungendo elementi di novità assoluta, come ad esempio: il principio di accountability (lett. “responsabilità”, intesa come affidabilità e competenza nella gestione del trattamento dei dati personali, ndr) e di data protection by design/by default (By design: protezione dati considerata fin dalla progettazione di un lavoro/processo aziendale. By default: impostazione predefinita dell’organizzazione aziendale. Ndr), o la nomina del DPO (Data Protection Officer, Responsabile della protezione dati, ndr) e l’utilizzo di Data Protection Impact Assessment (DPIA, valutazione d’impatto sulla protezione dei dati, ndr)".

Social network come Facebook e Instagram stanno già cercando di adeguarsi alle nuove direttive. Quali dati tutelerà questo regolamento?

"Il Regolamento si applica ai dati comuni e anche alle categorie di dati “speciali” (quelli che un tempo chiamavamo sensibili e che oggi includono anche dati biometrici, genetici ecc.). Per quanto riguarda i dati giudiziari, relativi a condanne penali e reati, ovviamente il GDPR ne parla, ma la disciplina vera e propria è poi demandata alla Direttiva 680/2016, poiché il Regolamento stabilisce che il loro trattamento deve avvenire soltanto sotto il controllo dell'autorità pubblica o essere autorizzato dal diritto dell'Unione Europea o degli Stati membri, in modo da prevedere garanzie appropriate per i diritti e le libertà degli interessati".

In caso di data breach ("fughe di dati"), cosa accadrà? Sono previste sanzioni?

"In caso di una violazione dei dati, il titolare del trattamento dovrà comunicare il data breach al Garante della Privacy entro 72 ore da quando è stato scoperto.
Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone fisiche, il titolare dovrà anche informare in modo chiaro, semplice e immediato anche tutti gli interessati, offrendo loro indicazioni su come intende limitare le possibili conseguenze negative.
Tuttavia, il titolare del trattamento può decidere di non informare gli interessati se ritiene che la violazione non comporti un rischio elevato per i loro diritti, o se dimostra di avere adottato misure di sicurezza (es: la cifratura) a tutela dei dati violati prima dell’evento-violazione, oppure se informare gli interessati comporta uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è molto elevato). In questo ultimo caso, però, è richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare).
In ogni caso, il Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.
Per quanto riguarda le sanzioni, sono previste espressamente dall’art. 83 del GDPR".

laptop 3233780 1920Come cambierà il diritto all'oblio?

"In realtà il diritto all’oblio più che cambiare, verrà introdotto. Grazie ad esso, gli interessati potranno ottenere la cancellazione dei propri dati personali anche online da parte del titolare del trattamento, qualora ricorrano alcune condizioni previste dal Regolamento:

- se i dati sono trattati solo sulla base del consenso;
- se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti;
- se i dati sono trattati illecitamente;
- se l’interessato si oppone legittimamente al loro trattamento.

Alla luce poi della sentenza Google Spain (della Corte di Giustizia Europea, 13 maggio 2014, ndr), questo diritto è accompagnato dall’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, nei limiti di quanto tecnicamente possibile.
Restano poi salve alcune circostanze, come quelle relative all’esercizio della libertà di espressione o il diritto alla difesa in sede giudiziaria, cui ragionevolmente l’oblio non potrà applicarsi".

Vi sono differenze o analogie tra il Privacy Shield americano e il GDPR europeo?

"Sono due meccanismi diversi. Il Privacy Shield è un meccanismo volontario di adesione, da parte delle compagnie statunitensi, a principi e garanzie offerte dalla normativa Privacy europea. Al GDPR si deve aderire obbligatoriamente, qualora ricorra uno dei casi di cui all’art. 3 (“quando le attività riguardano: l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”, art. 3(2), ndr)".

Diritto alla privacy e necessità di pubblica sicurezza: ritieni che il GDPR possa essere una buona mediazione fra queste due sfere?

"Sì, credo lo sia. Ma credo anche che sia molto difficile mediare le due istanze, è un’eterna battaglia e il momento storico non aiuta di certo a venirne a capo. Personalmente ritengo che rinunciare alla libertà per avere maggiore sicurezza sia il preannuncio di una catastrofe... La storia ce lo insegna!".

Dall'ultimo Rapporto Clusit, il 2017 è stato "l’anno del trionfo del Malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia". Il GDPR cercherà in qualche modo di prevenire eventi di cybercrime?

"Il GDPR ha esplicite previsioni sulla sicurezza dei dati. Però, lo stato dell’arte ha mutamenti così rapidi che una normativa eccessivamente incentrata sulle tecniche di contrasto e prevenzione rischia di nascere obsoleta".

Ti occupi anche di cyberbullismo: nel GDPR sono previste indicazioni per quanto riguarda la protezione dei dati personali dei minori? cnac 2

"Sì, l’art. 8 ne parla esplicitamente, in particolare con riferimento alla validità del consenso digitale. Per approfondire servirebbe un’intervista solo su questo, anche perché il tema mi sta particolarmente a cuore. Comunque anche sul diritto all’oblio ci sono specifiche previsioni per il consenso prestato quando l’interessato era ancora minorenne".

25 maggio è la data in cui il regolamento GDPR entrerà in vigore negli Stati membri: l'Italia, secondo te, è pronta a vigilare sulla corretta applicazione delle norme (non avendo ancora un Governo) ?

"Vigilare sì, applicare la normativa meno. Insomma, credo sarà più semplice impugnare la norma e controllarne l’applicazione, che adeguarsi al Regolamento stesso!".

GDPR e comunicazione: cosa cambia per chi lavora nel campo (uffici stampa, giornalisti...) ?

"Cambia poco, nel senso che l’art. 85 del GDPR demanda agli Stati membri la legislazione in materia di diritto alla libertà d'espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria.
Le esenzioni e le deroghe in materia sono considerate come necessarie per conciliare il diritto alla protezione dei dati personali e la libertà d'espressione e di informazione.
Ad ogni modo, ciascuno Stato membro dovrà notificare alla Commissione le disposizioni di legge adottate (anche precedentemente al GDPR) e comunicarne eventuali modifiche successive".

Chiara Ragosta, 18/05/2018

Libro della settimana

Facebook

Formazione

Digital COM