Ci siamo. Da oggi ha efficacia il Gdpr (general data protection regulation), il regolamento sulla protezione dati che si applicherà a tutte le informazioni elaborate in Europa o da aziende insediate nella Ue. Molti se ne saranno accorti negli ultimi giorni, aprendo una casella di posta elettronica intasata da email di aziende che ci tengono a far sapere di «aver aggiornato le proprie policy». Vediamo alcune delle principali novità.
Addio a informative chilometriche e policy scritte in un «burocratese» comprensibile solo ai giuristi. Quando un’azienda cerca di accedere a dati personali, deve chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7), oltre a spiegare bene perché e a quale fine utilizzerà alcune informazioni (articolo 13). Altro criterio che va considerato è il «periodo di conservazione»: per quanto tempo si custodiranno i dati, fornendo all’utente un ulteriore elemento di valutazione per cedere o meno informazioni a proprio riguardo. I vincoli più stretti costringeranno le aziende «a fare autoanalisi e chiedere solo quello che gli serve» mentre «gli utenti avranno accesso a più dettagli – all’interno di una richiesta chiara e non “diluita” in contratti lunghi e noiosi da leggere».
Le nuove regole si accompagnano a nuovi diritti. Fra i più rilevanti ci sono il diritto di accesso (articolo 15: il cittadino deve poter sapere subito come e perché stanno trattando i suoi dati), il diritto di rettifica (articolo 16: «la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo»), diritto di oblio (articolo 17: l’utente può far cancellare i dati in suo proposito, ad esempio se non servono più o sono stati prelevati in maniera illecita) e il diritto alla portabilità dei dati (articolo 20): l’utente può ricevere in forma strutturata tutte le informazioni che lo riguardano e trasmetterle a un altro titolare, senza impedimenti di nessuna natura. Per citare un caso concreto, da oggi si potrebbero tranquillamente scaricare tutti i propri dati da Facebook e importarli su un social network rivale.
Altra importante novità del GDPR è la creazione di una figura ad hoc: il responsabile della protezione dati (articolo 37), definizione in italiano del cosiddetto data protection officer. Nel concreto si parla di un professionista chiamato a sorvegliare sull’applicazione esatta del regolamento, cooperando con l’autorità di controllo. Può essere interno o esterno alla società, ma in entrambi i casi deve garantire l’assenza di conflitti di interessi con il suo ruolo.
Che cosa succede se un cyber criminale cioè un soggetto esterno entra in possesso per vie informatiche di dati custoditi da un’altra azienda. In precedenza, le società potevano prendersi tutto il tempo necessario per comunicare la violazione. Ora devono farlo entro un massimo di 72 a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In altre parole, non potrebbero più ripetersi casi come quello di Cambridge Analytica, l’azienda di marketing elettorale entrata in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. La violazione risale al 2015. Il caso è esploso nel 2018, tre anni dopo. L’interessato può, inoltre, avviare azioni collettive contro l’uso di propri dati. Secondo l’articolo 80, l’utente ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro in modo da proporre per suo conto e di esercitare per suo conto i reclami.
Cosa porterà il Gdpr alle aziende. Aziende come Google e Facebook stanno spendendo milioni di dollari per mettersi in regola con il GDPR. Una spesa enorme, che però incide in minima parte sulle loro finanze, dato che stiamo parlando di due tra le società più grandi del mondo. Ma le piccole imprese? Molte di loro dovranno chiudere, perché non hanno le possibilità economiche di Google e Facebook ovviamente. Stiamo parlando di piccole compagnie di telefonia, piattaforme di giochi online e modesti social network, che non possono permettersi di assumere altre persone e che hanno preso la decisione di chiudere la loro attività. Alcuni, probabilmente, limiteranno gli accessi alle loro piattaforme, escludendo gli abitanti dell’Unione Europea.
Insomma, sembra che questo GDPR non risparmierà nessuno. A essere alti non sono solo i costi di attuazione, ma anche le multe se dovessero verificarsi eventuali violazioni del regolamento. Queste possono arrivare anche a 25 milioni di dollari o essere pari al 4% del fatturato globale annuo: che, nel caso di Facebook e Google, corrisponde a una cifra esorbitante.
