lunedì 28 gennaio 2019

PRIVACY, NUOVO REGOLAMENTO UE 2016/679

Privacy, nuove regole in arrivo: cosa cambia per i consumatori


Dal 24 maggio 2016 è entrato in vigore il nuovo regolamento europeo sulla privacy Ue 2016/679 che ha apportato delle sostanziali modifiche alle leggi sulla privacy dei dati personali. 

A cambiare sono state le leggi che chiunque maneggi dati personali dovrà rispettare per poter continuare a farlo. Come le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui sottoscriviamo un contratto in cui inseriamo i nostri dati personali, comprese quelle attive solo in Rete come i social network. Ma la norma interessa anche e soprattutto noi consumatori, visto che con questo nuovo regolamento UE, tutti i soggetti cui abbiamo comunicato il nostro nome, indirizzo o numero di telefono saranno chiamati a migliorare il modo in cui trattano e conservano i nostri dati personali. Il regolamento introduce, infatti, regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, e stabilisce anche criteri (e sanzioni) rigorosi nei casi di violazione dei dati personali (data breach). Vediamo nello specifico che cosa è cambiato.

Dati a scadenza. Una novità a beneficio dei consumatori è il principio di "retentio". Cosa significa? Quando firmiamo un contratto, i dati che forniamo alle imprese non sono di loro proprietà per sempre. Il regolamento introduce infatti il concetto di scadenza dei dati. "In ogni informativa sulla privacy dovrà essere specificato il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo", spiega l'avvocato Carlo Pikler di Rokler Management & Consulting.

Addio al consenso senza specifiche. Con la nuova normativa le aziende dovranno chiedere il consenso non solo all'uso dei nostri dati, ma dovranno specificare anche l'utilizzo che ne faranno, distinguendo, per esempio, se il fine è quello di marketing, di profilazione, di geolocalizzazione, o altro. Ogni tipo di "attività di trattamento" implicherà perciò un consenso specifico che il consumatore sarà chiamato a firmare, mettendo così fine alle informative "cumulative" in cui un'unica firma autorizzava più utilizzi. "In questo modo - precisa il legale - gli utenti non potranno più trovarsi inscritti a cose che non vogliono o a cui non hanno dato lo specifico consenso. È esclusa inoltre ogni forma di consenso tacito a favore delle sole forme esplicite".

Il diritto di conoscere i propri dati. È capitato quasi a tutti: continuiamo a ricevere email o messaggi da servizi che non ricordiamo di aver richiesto e temiamo di avergli fornito anche dati sensibili come il nostro numero di telefono. Finora una situazione come questa poteva essere quasi irrisolvibile. Oggi invece con il nuovo regolamento che sancisce il diritto di accesso, tutti i consumatori potranno rivolgersi alle società chiedendo che gli vengano forniti i dettagli sui dati che hanno comunicato loro, chiedendo anche di chiarire come vengono trattati e come sono stati ottenuti. Le aziende, dal canto loro, saranno soggette all'obbligo di risposta. Ma come farlo concretamente? Secondo Pikler, il modo migliore è "quello di rivolgersi al soggetto inviandogli una comunicazione di cui resta traccia come una raccomandata o una email con posta certificata. Nei casi estremi ci si può anche rivolgere alla Guardia di finanza dove è stato istituito un nucleo ad hoc sui temi privacy".

... e di cancellarli o limitarne il trattamento. Oltre a conoscere i dati forniti, i consumatori potranno anche chiederne la cancellazione o limitarne il trattamento. "Si tratta di un nuovo diritto - aggiunge l'avvocato - offerto ai cittadini e può essere esercitato non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche se il consumatore chiede la rettifica dei dati o si oppone al loro trattamento".

Linguaggio semplice e chiaro. Una delle novità più applaudite del nuovo Regolamento è il fatto che dal 25 maggio le aziende che vogliono detenere e usare i nostri dati dovranno chiedercelo con un linguaggio chiaro e comprensibile, senza vocaboli tecnici o giuridici. Il senso è quello di consentire a tutti di capire l'informativa. Per questo motivo saranno bandite anche le clausole tecniche e quelle scritte in caratteri troppo piccoli. "In pratica le aziende e gli enti pubblici dovranno dimostrare di aver ricevuto un'autorizzazione al trattamento dei dati, in maniera inequivocabile e comprensibile per l'interessato", precisa Pikler.

Più ampio diritto all'oblio. La legge estende anche il campo del cosiddetto diritto all'oblio: la norma che sancisce la possibilità di essere cancellati dalle notizie e anche dai motori di ricerca qualora il motivo che ha reso legittima la pubblicazione di quel dato non sia più di pubblica utilità (come, per esempio, nel caso di una persona che è stata assolta da un'accusa di cui i giornali e le testate online avevano dato notizia). Con il nuovo regolamento questo diritto amplia il proprio significato e si estende anche ai casi in cui un consumatore chiede la cancellazione dei suoi dati personali e quindi la revoca del trattamento concesso per avere un determinato servizio.

Principio di accountability. "Con il nuovo Regolamento viene finalmente definito un principio già riconosciuto dal Garante: quello che prevede che sia responsabilità del possessore dei dati sensibili conservarli in maniera corretta", rivela l'avvocato. Il principio di accountability sancisce perciò che sarà onere dell'azienda o dell'ente che ha i nostri dati dimostrare un "atteggiamento proattivo nella salvaguardia del dato personale dell'utente". Si tratta di una norma che riguarda soprattutto i casi di violazioni (data breach) e che chiama quindi in causa la responsabilità di chi li detiene, e non di chi li ha forniti.

Sanzioni. Una delle più grandi novità del regolamento è quella che riguarda i casi di data breach: le violazioni dei dati, per esempio in caso di attacchi informatici o furti. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Per i trasgressori le sanzioni, applicabili dal 25 maggio 2018, arriveranno fino a 20 milioni di euro o al 4% del fatturato.

Più tutele per i minori. Maggiori tutele anche per i minori. "In particolare, per i minori di 16 anni sarà necessaria anche l'autorizzazione del genitore o di chi ne abbia la potestà", conclude Pikler. Una regola, quest'ultima, che varrà anche per i servizi su Internet e per i social media.

Nessun commento: