Negli ultimi giorni quasi tutti abbiamo ricevuto e-mail con lo stesso oggetto più o meno: Aggiornamento dell’Informativa sulla Privacy. Le società chiedono agli utenti di acconsentire alle nuove condizioni sul trattamento dei dati personali per adeguarsi al General Data Protection Regulation (Gdpr).
A CHI INTERESSA IL GDPR
Il nuovo regolamento europeo sulla protezione dei dati personali entrerà in vigore domani 25 maggio. Il Gdpr ha lo scopo di frenare i giganti tecnologici come Facebook, Google &co ma riguarda in realtà tutta la filiera che accompagna i dati personali di ciascuno di noi, coinvolgendo quindi aziende, pubblica amministrazione, professionisti e via dicendo. Non solo quindi i social. Il GDPR si basa, infatti, sul principio di “responsabilizzazione” (in inglese accountability) di chiunque effettui operazioni di trattamento nell’ambito della propria attività (il cosiddetto “titolare del trattamento”). Significa, quindi, che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria specifica realtà.
COSA SI RISCHIA
Approvato nel maggio 2016, il Gdpr è già in vigore ma domani è la data fissata dal regolamento europeo n. 679/2016 che lo renderà definitivamente applicabile in tutto il territorio Ue, senza che siano richiesti atti di recepimento da parte dei singoli Stati membri.
Le sanzioni per l’inosservanza delle norme possono arrivare fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale totale.
SI SONO ADEGUATI TUTTI?
“Pochissime aziende saranno conformi al 100% il 25 maggio”. è la tesi sostenuta da Jason Straight, avvocato e chief privacy officer della United Lex, una società che crea programmi di conformità GDPR per le imprese, sentito dal sito americano The Verge. “Le imprese, in particolare quelle statunitensi, stanno arrancando per prepararsi”. Secondo un sondaggio condotto dal Ponemon Institute in aprile, su oltre 1.000 società, metà ha dichiarato che non sarà conforme alla scadenza di domani. Se suddivise per settore, il 60% delle aziende tecnologiche ha dichiarato di non essere pronto.
L’ACCESSO AI DATI
Uno dei punti cardine del regolamento è la richiesta di accesso ai dati da parte degli utenti. I residenti nell’Unione europea hanno dunque il diritto di richiedere alle società di esaminare le informazioni personali da loro raccolte. Possono chiedere la cancellazione dei propri dati personali, correggerli se non sono corretti e persino eseguire il download degli stessi. Il problema, come sottolinea The Verge, è che quei dati potrebbero essere su cinque server diversi e chissà in quanti formati. Anche per questo motivo, diventare conformi al Gdpr rappresenta una sfida per le società che dovranno creare infrastrutture interne in modo che tali richieste possano essere soddisfatte.
UNA NORMA TROPPO COMPLESSA
Il Gdpr è complicato. Sul New York Times, Alison Cool, professore di antropologia e scienze dell’informazione all’Università del Colorado, ha scritto che la legge è “incredibilmente complessa” e praticamente incomprensibile per le persone che stanno cercando di conformarsi a essa. Scienziati e gestori di dati con cui è venuta in contatto addirittura “dubitavano che fosse possibile persino l’assoluta conformità”.
FACEBOOK HA RISCHIATO GROSSO
Un’altra disposizione del Gdpr che potrebbe mettere a dura prova le società è l’obbligo di notifica dell’avvenuta violazione dei dati. In caso di data breach, il titolare del trattamento dovrà procedere alla notificazione all’autorità garante per la privacy entro 72 ore dalla scoperta della violazione subita e dare la comunicazione a tutti gli utenti interessati.
Questo significa che se la normativa europea fosse stata già in vigore, a Mark Zuckeberg, fondatore del social network Facebook, non sarebbe bastato scusarsi dopo lo scoppio del datagate Cambridge Analytica (violazione dei dati personali degli utenti di Facebook avvenuta nel 2015 che ha coinvolto oltre 87 milioni di profili).
Tuttavia, non è del tutto chiaro ciò che il regolatore deve fare dopo aver ricevuto la notifica da parte della società colpita. I regolatori potrebbero infatti non essere pronti a controllare la sicurezza di un’azienda o capire esattamente cosa fare per proteggere i residenti dell’Ue colpiti dalla violazione.
COSA SUCCEDE DA DOMANI
Da domani ogni residente dell’Unione europea avrà il diritto di inviare reclami all’autorità nazionale competente in materia di privacy. Eppure, 17 dei 24 regolatori europei intervistati da Reuters all’inizio di questo mese hanno dichiarato di non essere pronti per l’entrata in vigore della nuova legge dal momento che non hanno ricevuto ancora i finanziamenti o l’autorità legale per adempiere ai propri doveri.
Articoli correlati
Altolà del Garante Privacy al progetto Worldcoin di Sam Altman (OpenAI)
Perché il Garante privacy avverte OpenAI su ChatGpt
Dossier metaverso per il Garante della Privacy
Google eviterà una causa da 5 miliardi negli Usa?
