L’Unione Europea detta le regole sulla tutela della privacy

L’Unione Europea detta le regole sulla tutela della privacy.

 

Il 25 maggio p.v. entra in vigore il Regolamento UE 2016/679 che introduce importanti novità sulle modalità di trattamento dei dati personali dei cittadini europei da parte dei soggetti utilizzatori ovvero Pubbliche Amministrazioni, Aziende, Professionisti.

Il provvedimento scaturisce dalla necessità di tutelare il fondamentale diritto alla privacy delle persone, oggi più che mai tornato di attualità. Ricordiamo la recente vicenda dei dati personali degli utenti Facebook trattati più o meno illecitamente dalla società Cambridge Analytica, attualmente in liquidazione fallimentare per lo scandalo che l’ha investita. Da ultimo, si è appreso che il Dipartimento di Giustizia americano e l’F.B.I. hanno aperto un’indagine su Cambridge Analytica che ha lavorato per la campagna di Donald Trump ed è coinvolta nello scandalo dei dati ‘rubati’ a oltre 50 milioni di utenti Facebook. Gli investigatori nelle ultime settimane hanno interrogato diversi ex dipendenti e i rappresentanti delle banche legate al business dell’azienda (fonte Ansa © – www.ansa.it).

Ora il legislatore europeo interviene fissando nuovi principi. Innanzitutto l‘uso dei dati. Si introduce il diritto, per il cittadino, a ricevere corrette e compiute informazioni su chi sarà il reale utilizzatore finale dei dati, la tipologia degli stessi (personali e/o sensibili) e le finalità del trattamento. Viene disciplinata anche la modalità di redazione del cosiddetto “consenso informato” che ora deve essere formulato con linguaggio “potabile” per l’utente ovvero senza tecnicismi e richiami a normative spesso di difficile comprensione ma reso in forme chiare.

Viene introdotto il diritto di accesso ai propri dati ogni volta che l’utente lo richieda con la possibilità di bloccarne l’uso indebito. Ciò per contrastare il dilagante fenomeno del cosiddetto spam tramite e-mail, strumento utilizzato dalle aziende per sponsorizzare la vendita di prodotti e servizi, utilizzando dati che hanno acquistato da terze parti da quest’ultime detenute per scopi diversi. Un tentativo, di scarso successo, era già stato compiuto dalla nostra Authority ovvero il Garante della privacy, mediante l’istituzione del “registro delle opposizioni”, strumento messo a disposizione del cittadino con lo scopo di bloccare o quanto meno contenere i massivi contat ti non autorizzati dei call center telefonici e le loro modalità aggressive di tentata vendita telefonica.

Altro elemento portante del novellato regolamento U.E. risiede nel rafforzato istituto del diritto all’oblio, già larvatamente previsto dal legislatore nazionale nel Decreto Legislativo 196/2003 che introduce la possibilità, per il cittadino, di richiedere la cancellazione di tutti i dati e le informazioni personali in possesso di un determinato Ente Pubblico, azienda o privato nel caso non si voglia più che li utilizzi, oltre le finalità consentite, nell’esercizio di una funzione ovvero nell’espletamento di un contratto o per la fornitura di un servizio.

In sostanza viene disciplinata la questione del cosiddetto data retention. Una volta che i dati personali sono stati utilizzati nell’ambito di un procedimento penale/amministrativo ovvero trattati per la somministrazione di un servizio o per l’acquisito di beni e l’iter del procedimento si è concluso, questi devono essere eliminati, senza possibilità di riesumazione. Pensiamo ad esempio al caso in cui, per vicende di cronaca, un cittadino venga indagato nell’ambito di un procedimento penale. Il fatto viene riportato sul web tramite le testate giornalistiche on line. Il contesto penale si definisce senza addebiti nei confronti del cittadino. I motori di ricerca continuano ad indicizzare gli articoli che riguardavano la vicenda, oramai conclusa da tempo. Il cittadino può richiedere che quegli articoli vengano rimossi perché non più attuali e lesivi della sua reputazione. Unica eccezione, se si tratta di personaggi pubblici nel caso in cui gli articoli servano a ricostruire le loro storie personali.

E’ stata normata anche la circostanza del furto e/o la perdita dei dati da parte dei carrier, a prescindere che tali circostanze arrechino effettivi danni per l’utente. La società che ha causato o subito il furto o la perdita dei dati, anche per condotte colpose riconducibili alla vulnerabilità dei propri sistemi informatici, dovrà immediatamente contattare il soggetto titolare dei dati, pena sanzioni, invitandolo a porre in essere condotte proattive (cambio password, aggiornamento profilo, ecc.) atte a verificare che le policy di sicurezza non siano compromesse. In sostanza, il comportamento da parte dei soggetti deputati al trattamento dati personali deve essere orientato al problem solving, garantendo la massima tutela possibile dei dati detenuti.

Infine, viene aggiornata la tutela dei dati dei minori con l’obbligo di introdurre specifiche informative per la fruizione di contenuti erogati tramite web, prevedendo, in alcuni casi, il consenso esplicito del genitore o di chi ne esercita la potestà. Pensiamo, ad esempio, alla celebre applicazione telefonica di messaggistica whatsapp che non sarà più disponibile per i minori di 16 anni, misure adottate per cercare di porre freno al dilagante fenomeno del cyberbullismo e della pornografia minorile.

Tommaso Paradiso

Lascia un commento