L’Ue garantisce il diritto all’oblio

«Il riconoscimento del diritto in capo a ciascuno di chiedere la cancellazione o rimozione del materiale online che lo riguarda è in assoluto la novità più interessante delle nuove norme a tutela della privacy», conferma l’avvocato Stefano Mele, specializzato in diritto delle tecnologie, privacy, sicurezza delle informazioni e intelligence. «Un principio», aggiunge Mele «forse a cavallo tra garanzia e censura, sul quale si è misurata a lungo anche la stampa e già riconosciuto a livello nazionale dal Garante per la privacy, ma oggi molto più facile da esercitare almeno sul piano del diritto». Inoltre il nuovo regolamento mette il freno a mano anche al mare di e-mail commerciali che inondano i nostri indirizzi di posta elettronica, o alle informazioni dettagliate che vengono richieste da aziende e supermercati per accedere a sconti e carte fedeltà. «Dal 2018 non sarà più così facile, come lo è oggi, raccogliere indiscriminatamente informazioni personali, e soprattutto sarà più arduo per le aziende trattenerle nei propri archivi», dice ancora Mele.

Maggiori tutele per profilazione e marketing diretto Ma quali sono nel dettaglio i principi introdotti dall’Unione europea in materia di privacy? In linea generale il nuovo regolamento ribadisce tutti i diritti in capo alle persone fisiche i cui dati personali vengono trattati, conferendo però ai singoli un maggiore controllo su queste informazioni, anche attraverso la necessità del chiaro (ed esplicito) consenso al trattamento dei dati personali, nonché a un accesso facilitato da parte dell’interessato ai suoi dati personali, il diritto alla rettifica e, come detto, alla cancellazione. Questi più estesi diritti si riferiscono anche all’uso dei dati personali a fini di profilazione (ovvero l’analisi del profilo di un soggetto, oltre alle sue abitudini commerciali e di acquisto, operato da un venditore o da un prestatore di servizi) e alla portabilità dei dati da un prestatore di servizi a un altro. Peraltro, qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano, compresa la stessa profilazione se connessa a tale marketing diretto. Il nuovo regolamento stabilisce inoltre l’obbligo per i titolari del trattamento (ovvero enti, aziende e tutti coloro che hanno la responsabilità del trattamento dei dati) di fornire agli interessati informazioni trasparenti e facilmente accessibili sul trattamento dei loro dati.

No al silenzio-consenso Anche l’ambito di applicazione delle nuove regole sulla privacy è stato oggetto di intervento, o meglio di ampliamento. Infatti le nuove regole dovranno essere applicate ogni volta che vi sia trattamento di dati personali di soggetti che si trovano nell’Unione europea, e quindi anche da un soggetto che offre beni e servizi o che intende raccogliere informazioni con sede al di fuori dell’Ue. «È il caso tipico delle società che erogano servizi o forniscono beni attraverso la rete Internet, che non potranno quindi più invocare l’extraterritorialità, ovvero l’assenza di una sede nel territorio Ue», spiega Mele. Che pone l’accento anche sugli articoli dedicati ai requisiti formali richiesti per la validità del consenso al trattamento dei dati personali da parte degli interessati, che diventano molto più rigorosi, allineandosi in qualche modo alla disciplina italiana vigente che, da sempre, è tra le più stringenti in materia: «Con il nuovo regolamento Ue», spiega Mele, «il consenso viene considerato valido solo quando viene reso con un atto positivo inequivocabile, cioè esplicito, mentre viene esplicitamente esclusa la possibilità del silenzio o dell’inazione dell’interessato come presupposto di un consenso validamente espresso. Allo stesso modo vengono esclusi i casi sempre più comuni in cui, attraverso la preselezione di caselle, il consenso risulti già espresso dal fornitore del servizio». Il titolare del trattamento, inoltre, deve essere sempre in grado di dimostrare che l’interessato abbia prestato il consenso al trattamento dei propri dati personali e garantire la possibilità che questo possa essere sempre revocato con la stessa facilità con cui è stato espresso.

Il diritto all’oblio Tra le principali novità introdotte non c’è solo il diritto alla portabilità dei dati personali da un titolare del trattamento a un altro su richiesta degli interessati, ma anche, come già detto, il diritto all’oblio, ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento. «Il diritto di chiedere ai motori di ricerca di non indicizzare il materiale presente online che ci riguarda era già previsto dalla Corte di Giustizia europea con una sentenza del 13 maggio 2014», spiega Mele «Tuttavia, se fino a oggi la principale possibilità per i cittadini è stata quella di richiedere una mera non indicizzazione delle informazioni, che poi spesso risultano tranquillamente disponibili su altri motori di ricerca o in altre nazioni, con l’introduzione del nuovo regolamento comunitario il diritto all’oblio acquisisce maggiore forza e valenza». E questo significa garantire all’interessato, in alcuni casi previsti dalla norma, la possibilità di richiedere la definitiva cancellazione dell’informazione, che quindi non potrà più essere contenuta negli archivi dei server.

Dati sempre più protetti Viene poi introdotto il concetto della protezione dei dati personali by design e by default, ovvero sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso. In altre parole, il titolare del trattamento deve mettere in atto by design misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati personali, come per esempio la pseudonimizzazione, un principio per cui le informazioni di profilazione devono essere conservate in una forma che impedisce l’identificazione dell’utente. Il titolare del trattamento, inoltre, deve mettere in atto tutte le misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita (by default) solo i dati personali necessari per ogni specifica finalità del trattamento. 

In capo ai titolari del trattamento viene anche previsto l’obbligo di compiere una valutazione di impatto iniziale per i trattamenti di dati personali più delicati e l’obbligo di tenere un registro delle attività relative al trattamento. I titolari del trattamento sono inoltre soggetti a un obbligo di notifica di eventuali violazioni di dati personali di cui siano venuti a conoscenza verso i Garanti nazionali e in alcuni casi anche verso gli interessati. «È questo un capitolo molto delicato, in quanto le aziende sono da sempre molto restie nel comunicare di aver subito un attacco informatico per evidenti ragioni di salvaguardia della loro reputazione», commenta Mele. Che aggiunge: «L’obbligo ora c’è ed è anche molto chiaro. Peraltro, occorre mettere in piedi una procedura aziendale anche molto snella ed efficace, dato il breve lasso di tempo che deve intercorrere tra la scoperta della violazione dei dati e la comunicazione all’autorità di controllo: solo 72 ore».

Il data protection officer Per gli enti pubblici e gli enti privati che trattano dati di natura sensibile o monitorano in maniera sistematica gli individui, viene introdotta poi la nuova figura del Data protection officer, un soggetto, dipendente o esterno, esperto di normativa e prassi in materia di privacy, che dovrà informare e consigliare il titolare del trattamento sugli obblighi derivanti dal nuovo regolamento, ma anche di vigilare sul loro adempimento, di fornire le valutazioni di impatto sulla protezione dei dati raccolti e di interfacciarsi sia con gli interessati sia con il Garante. «In ogni caso gli oneri in capo alle aziende necessari per adeguarsi al nuovo regolamento Ue sono davvero tanti e, per quanto due anni possano sembrare un tempo accettabile, si tratta di un tempo forse già oggi insufficiente per le aziende», è il commento di Mele. Che spiega: «A riprova di ciò, basti solo pensare al fatto che ogni processo aziendale deve essere verificato e ripensato in un’ottica di privacy by design e by default, deve essere monitorato, devono essere previsti i processi di comunicazione di violazione dei dati verso l’autorità e verso gli interessati, devono essere redatte nu merose nuove policy e procedure operative, e che occorre spesso ricominciare da zero nella formazione dei dipendenti». 

Anche solo da questo semplice sunto, peraltro incompleto, si comprende bene quale rivoluzione rappresenti questo nuovo regolamento sulla privacy e, nonostante il fine sia più che nobile e necessario, quali costi aggiuntivi si stiano abbattendo sulle aziende europee.

Sanzioni salate Tra le numerose novità, infine, un discorso a parte merita il regime sanzionatorio, forse la parte che oggi fa più discutere, in considerazione del suo sensibile inasprimento: nel caso di violazioni al regolamento, infatti, sono previste sanzioni pecuniarie fino a un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale annuo complessivo dell’esercizio precedente. Dal punto di vista delle aziende l’impatto è enorme. «L’introduzione dei nuovi adempimenti appesantiscono l’attività dell’impresa gravandola di costi difficilmente sostenibili», conferma Mele «Non dobbiamo dimenticare che, se è vero che la protezione dei dati personali è, e deve essere, un elemento imprescindibile della nostra società moderna, circa il 99% delle aziende europee rientra nella categoria delle piccole e medie imprese». «La sfida allora è strutturare un modello di adeguamento a questa nuova normativa europea che sia sopportabile anche per le Pmi italiane ed europee, al fine di tutelare sì i dati personali, ma anche il business delle aziende che incappino in sanzioni così elevate», conclude Mele.