Il consenso e le sanzioni, cosa dice il Regolamento Europeo per la Protezione dei Dati



Non manca molto all’arrivo del nuovo Regolamento Europeo per la Protezione dei Dati (Gdpr, General Data Protection Regulation): il 25 maggio diventerà il nuovo standard. Non solo europeo.

Il Gdpr si sta imponendo a livello globale dal momento che qualunque impresa offra i propri servizi nel territorio dell’Unione Europea dovrà adottare gli stessi standard di protezione del Gdpr. Basti pensare che Facebook, che come le altre Ott (aziende over the top) sarà molto toccata dal Regolamento, ha pubblicato in questi giorni un nuovo strumento che dovrebbe aiutare gli utenti a gestire più facilmente le loro impostazioni di privacy e la gestione dei dati forniti.

Il Regolamento porterà infatti notevoli cambiamenti nel modo in cui i dati personali devono essere trattati, fornendo più controllo ai cittadini.

Il consenso
Tra le novità introdotte, oltre a quelle di cui Wired vi ha già parlato qui e qui, c’è il modo in cui il consenso al trattamento dei dati deve essere ottenuto.
Ad esempio, se i dati personali possono essere trattati solo attraverso il consenso dell’utente, questo sarà ritenuto valido solo se liberamente fornito.

Questo in pratica significa che non varrà il consenso ottenuto con un’opzione all or nothing, cioè fornito assieme ad altre condizioni, come quelle contrattuali. In concreto, servizi come i social network non potranno dare per preso il consenso solo perché “si dichiara di aver letto la privacy policy” come succede ora. Sarà necessario fornire il consenso per ogni scopo diverso per cui i dati sono utilizzati e l’azienda dovrà poter dimostrare di averlo ricevuto.

Così come il consenso per usare un servizio e il consenso a ricevere pubblicità devono essere separati e non possono essere precompilati, come accade ancora oggi nonostante si tratti di una norma già vigente.

Per dare il consenso il Gdpr richiede inoltre un’azione affermativa. Sul punto ha dato qualche indicazione aggiuntiva Art29WP, l’organo europeo che coordina i garanti nazionali della privacy e che ha stilato le utile linee guida per l’implementazione del Regolamento. Non sarà riconosciuto valido, come ora vediamo sui banner per i cookie, il consenso ottenuto “continuando la navigazione o facendo scroll col mouse”. Il motivo è semplice, nella marea di informazioni si potrebbe non leggere tale indicazione dando il proprio consenso erroneamente e senza le dovute informazioni.

Esempio di Cookie Policy

Ancora, il consenso dovrà poter essere ritirato con la stessa facilità con cui si è dato. Ciò vuol dire che se è bastato un click a darlo, l’azienda non potrà chiedermi una mail via pec per ritirarlo, ma dovrà consentire di cambiare idea allo stesso modo, o più semplicemente.

Se le modalità con cui il consenso è stato ottenuto finora dagli utenti già rispettava le garanzie del Gdpr nessun problema, in caso contrario le aziende dovranno provvedere a ri-ottenerlo prima del 25 maggio 2018. Impresa non da poco visto che siamo a meno di quattro mesi dall’entrata in vigore.

Quali difese per i cittadini
Grazie all’introduzione dell’Art. 80, i cittadini potranno delegare ad associazioni come quelle dei consumatori la possibilità di farsi rappresentate in giudizio. In questo modo non dovranno temere di affrontare le grandi multinazionali in tribunale e i conseguenti costi di un giudizio. In Germania addirittura si è fatto un passo ulteriore e queste associazioni possono agire direttamente senza la necessità di ricevere un incarico.

Anche il Garante Italiano della Privacy avrà maggiori poteri per vigilare e comminare sanzioni. Ci si chiede però come maggiori poteri potranno essere effettivi in mancanza di un opportuno stanziamento di nuove risorse, umane e finanziarie. A risponderci è stata la stessa Commissaria Europea alla Giustizia Vera Jourova che ci ha detto che sta già facendo pressioni sui ministri nazionali alla giustizia e all’economia, perché provvedano a garantire il pieno funzionamento degli uffici dei Garanti nazionali.

Che succede se non si rispetta il regolamento
Le sanzioni in caso di mancato adeguamento sono molto alte: fino a 20 milioni di euro o il 4% del fatturato globale. Il timore di non fare in tempo è reale visto che le statistiche dicono che sono ancora poche le aziende che si sono adeguate, nonostante il Regolamento sia stato pubblicato quasi due anni fa. Tuttavia non è un problema solo italiano, bensì una situazione piuttosto diffusa in tutta Europa.

Secondo un sondaggio di DLA Piper, in media solo il 34,4% delle aziende hanno provveduto ad implementare il Gdpr, con migliori performance nel settore bancario/finanziario e in quello tecnologico e delle telecomunicazioni.
È anche vero che le aziende italiane sono perlopiù micro, piccole e medie imprese, e non sono tante quelle il cui modello di business si basa sul trattamento massiccio di dati personali, perciò quelle che dovranno fare i cambiamenti più strutturali non sono la maggioranza.

Isabelle Falque-Pierrotin (Foto: Olivier Ezratty CC)

Benché le imprese facciano bene ad aver paura, c’è comunque qualche buona notizia. Isabelle Falque-Pierrotin, Presidente di Art29WP, ha risposto sul punto lo scorso 29 gennaio, in un’audizione al Parlamento Europeo: “Le sanzioni previste dal Gdpr sono solo un’arma dissuasiva, non un’arma per regolamentare. Non prenderemo di mira le imprese a partire dal 25 maggio. Certo, un conto sarà tenere conto del graduale adeguamento necessario per una norma di tale portata e un conto sarà punire chi non rispetta principi, come quello di finalità e proporzionalità, che fanno parte del nostro ordinamento da oltre vent’anni“.

Il messaggio è chiaro: le aziende non vedranno i carabinieri sulla porta il 26 maggio, ma ogni violazione sarà soppesata alla luce della sua gravità.

Benché questa notizia possa dare una boccata d’ossigeno alle imprese, è presto per tirare un sospiro di sollievo perché il lavoro che deriva dall’adeguamento al Regolamento non finirà il 25 maggio, dovrà anzi essere costante, adeguandosi agli aggiornamenti tecnologici, alle richieste degli utenti e alle nuove esigenze dell’azienda stessa.


Fonte: WIRED.it