In 3 sorsi – Il regolamento UE n. 679 del 2016 è divenuto pienamente applicabile lo scorso 25 maggio, trasformando il modo in cui gli Stati membri regolano la protezione dei dati personali e la libera circolazione degli stessi. Quali sono i suoi principi fondamentali, e in cosa è da considerarsi rivoluzionario?
1. LE RAGIONI DELLA RIFORMA
Il reg. 2016/679 costituisce oggi la fonte primaria in materia di data protection, sostituendo la direttiva del 1995. La ragione dell’inadeguatezza di quest’ultima si può riassumere in una parola: Internet. L’avvento del web ha portato sul tavolo dei garanti dei dati personali concetti del tutto nuovi, che sarebbero risultati inconcepibili trent’anni fa. Si pensi, tra tutti, ai c.d. Big Data e cookies, nonché alla nozione di “profilazione”. La prima espressione fa riferimento alle immense quantità d’informazioni che ciascuno di noi, senza saperlo, genera al navigare in rete. Un esempio è rappresentato dai dati dischiusi durante le operazioni di e-commerce; i prodotti che ogni utente cerca, acquista o recensisce online sono “tracciati” attraverso dei sistemi c.d. di raccomandazione. Lo scopo è risalire alle preferenze degli acquirenti, così da avanzare delle proposte d’acquisto mirate, e da invogliarli ad eseguire nuove transazioni in futuro. Il quadro è completato dai cookies, dei piccoli file di testo trasmessi dalle pagine di volta in volta visitate ai rispettivi terminali, e da lì ritrasmessi ai siti in occasione dei nuovi accessi dell’utente. Alcuni cookies si definiscono di profilazione, poiché ricostruiscono la personalità degli utenti partendo dai loro itinerari nel web. Sono stati tali fenomeni a spingere il legislatore ad un’innovazione della materia, di cui un segno tangibile si ravvisa già nell’art. 4 del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR secondo l’acronimo inglese): il trattamento è descritto come riferito “a dati personali o insiemi di dati personali”, laddove la vecchia direttiva menzionava i dati singolarmente, e non nell’ambito d’insiemi.
Fig. 1 – Il tema della protezione dei dati è molto importante sia per gli individui che per le aziende
2. I CAPISALDI DEL GDPR
I grandi capisaldi del GDPR sono tre. In primo luogo, le misure protettive dei dati personali devono predisporsi ancor prima che il trattamento abbia luogo, in ossequio al principio di “privacy by design”: in altre parole, in presenza di un’operazione che richiederà di trattare dei dati personali si dovrà, già nel pianificarla, inserire una serie di cautele per evitare che tali dati vengano persi, alterati o divulgati. In secondo luogo, ogni soggetto preposto a trattare i dati personali è chiamato a rispondere di eventuali falle nel relativo sistema di sicurezza, secondo il principio c.d. dell’accountability; per rafforzare quest’ultimo, è posto l’obbligo di registrare ogni attività svolta nel corso del trattamento. In terzo luogo, è introdotta la figura del Data Protection Officer, che si occupa d’incrementare la protezione dei dati, collaborando con i soggetti incaricati del trattamento e fornendo loro consulenza. Tra gli altri, il DPO va obbligatoriamente nominato quando chi tratta i dati è un ente pubblico.
Fig. 2 – Il Presidente della Commissione Europea, Jean-Claude Juncker
3. RIFORMA DEL COPYRIGHT E DATA PROTECTION
È in corso di dibattito una proposta europea di riforma del copyright, che mira a proteggere i titolari del diritto d’autore dall’uso che terzi facciano delle loro creazioni su Internet. A ben vedere l’idea si allinea con la logica sottesa al GDPR, in quanto le nuove norme arginerebbero la dispersione di contenuti online e delle informazioni personali in essi eventualmente presenti.
Roberta Bendinelli
