- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Trasporti: Garante Privacy, più tutele per i dati degli abbonati Sanzionata un’azienda che aveva raccolto consensi marketing non validi
- Rischio chimico: chi ha la responsabilità della compilazione delle SDS?
Garante privacy Ue: “Sulla protezione dei dati l’Europa è leader“
Sono anni intensi per chi si occupa di protezione dei dati e di privacy in Europa. Nel maggio 2016 entrava in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR), che diventerà definitivamente applicabile nei Paesi membri dal 25 maggio 2018 e che dovrebbe irrobustire la difesa delle informazioni personali conservate da aziende e pubbliche amministrazioni. Anche se queste sembrano ancora indietro nella capacità di adeguarsi. Inoltre sempre nel 2016, anche sull’onda lunga delle rivelazioni di Edward Snowden sui programmi di sorveglianza di massa americani, la Commissione Ue e il governo Usa rinegoziavano un accordo sui meccanismi di trasmissione dei dati dei cittadini europei negli Usa: il precedente Safe Harbor veniva dunque sostituito dal Privacy Shield.
Ora proprio a ottobre la Commissione ha presentato un primo rapporto di valutazione del funzionamento di tali meccanismi. Il verdetto suona diplomatico: dice che l’accordo sembrerebbe funzionare, anche se necessitano miglioramenti. Nel mentre, sempre nel dicembre 2016, e per la seconda volta a distanza di due anni, la Corte di Giustizia dell’Unione europea si pronunciava contro la raccolta di massa, indifferenziata, di traffico telefonico e telematico da parte dei governi, la cosiddetta data retention. Tema che in Italia è diventato particolarmente caldo visto che il Parlamento ha da poco approvato proprio una estensione a sei anni dei tempi di conservazione di questi dati.
In questo contesto abbiamo rivolto alcune domande a Giovanni Buttarelli, magistrato italiano e dal 2014 Garante europeo della protezione dei dati (GEPD), che nei giorni scorsi si trovava a Milano per partecipare a un convegno organizzato da Deloitte su come le aziende si stanno preparando agli obblighi previsti dal nuovo Regolamento Ue.
Partiamo proprio dal Regolamento, in vista della sua piena applicazione attesa per maggio. Cosa cambia dal punto di vista dei cittadini? Quali sono i vantaggi rispetto a prima?
«Vorrei partire da un aneddoto. A un evento all’università di Leuven (Belgio) è stato presentato uno studio su come i dati relativi alla dislocazione dei nostri apparecchi, che di fatto ormai sono delle protesi mobili dei nostri corpi, siano scambiati 5398 volte nel giro di 14 giorni. Ma non solo tra quei pochi operatori principali che usiamo via cellulare, bensì attraverso una serie di misteriosi partner che vengono a beneficiare di informazioni granulari sulla nostra vita privata. E tutto ciò senza che noi ne abbiano consapevolezza, o solo perché abbiamo ceduto per comodità alle app l’accesso ai nostri contatti, dislocazioni, microfono. Ecco il fenomeno appena descritto è esattamente quello che il Regolamento vuole modificare, non per ridurre l’innovazione, ma perché non tutto ciò che è tecnicamente fattibile è anche eticamente sostenibile. In pratica vogliamo cambiare le regole per chi da remoto fa business in Europa, magari attraverso succursali, chiedendo che i dati siano trattati in base alle regole e alle garanzie europee».
E su una pubblica amministrazione o un’azienda quanto incide? L’obbligo di notifica in caso di violazione dei dati entro 72 ore e le sanzioni previste verranno applicati in modo efficace?
«La protezione dei dati diventa seria. E le sanzioni sono molto rigorose, prevedendo fino al 4 per cento del fatturato globale annuo. Ma anche l’obbligo di valutazione dei rischi dovrà essere personalizzato, e andrà oltre un semplice documento programmatico sulla sicurezza. In pratica si chiede di prendere precauzioni prima, non di aspettare. La riforma dà anche più poteri alle Autorità garanti dei vari Paesi, anche se quella italiana ne aveva già di più».
Sul fronte dell’accordo con gli Usa sul trasferimento dei dati di cittadini europei, il Privacy Shield, come è andata la prima valutazione? Certamente le aziende statunitensi si stanno certificando. Ma da parte dell’accesso ai dati del governo Usa che garanzie abbiamo?
«Il Privacy Shield aumenta le garanzie sul piano commerciale, fa dei passi in avanti, ma non è stato considerato soddisfacente dalle Autorità garanti. Esportare dati negli Usa resta un’eccezione perché quel sistema non è adeguato. La revisione dell’accordo ha rivelato che molte delle misure previste sono state prese all’ultimo momento. Forse per l’amministrazione Trump il Privacy Shield non era prioritario, ma pacta sunt servanda. Diciamo che abbiamo più rassicurazioni sul piano commerciale che su quello della sorveglianza del fatto che questi dati siano usati in maniera proporzionata e necessaria».
E cosa può fare l’Europa dunque? Che ruolo può avere a questo punto?
«Soffriamo un forte divario internazionale sul fronte dei big data. Ma nello stesso tempo siamo leader sul piano dei valori e delle regole. E sul tema privacy e protezione dei dati possiamo fare da avanguardia, anche dal punto di vista dello sviluppo di professionalità specifiche.»
In questa visione di leadership sui valori, che ne pensa della decisione dell’Italia di estendere la data retention a 6 anni? È conforme al diritto europeo?
«Da magistrato capisco che la giustizia abbia molte difficoltà e ostacoli oggi, e che gli organi investigativi debbano essere equipaggiati per fare indagini. Come garante europeo non commento la scelta del Parlamento italiano. Posso fare delle osservazioni da notaio in merito alle regole europee: e queste dicono che non è possibile fare data retention su tutti, in modo non selettivo, senza indicare fenomeni specifici o categorie di persone sotto indagine. La Corte di giustizia europea ha detto che non si può più raccogliere qualsiasi cosa che riguardi tutti solo per avercelo “nel caso”. Questo è un tipo di approccio che non fa parte del sistema giuridico europeo. E la scelta dell’Italia ha molto sorpreso Bruxelles, c’è molta attenzione da parte del Parlamento Ue. Teniamo presente che un Paese come la Germania ha previsto un tempo di data retention che al massimo arriva a 10 settimane. Oltre al fatto che la Corte europea aveva annullato una direttiva che prevedeva un massimo di due anni».
In Italia in questo momento c’è anche un dibattito su come regolamentare l’utilizzo nelle indagini di strumenti investigativi invasivi come i captatori informatici o trojan. Che ne pensa?
«Come magistrato e garante penso che questi strumenti si possano usare, considerato anche il fatto che invece sulla crittografia dobbiamo tenere una linea ferma, ovvero dobbiamo pretendere che i sistemi di cifratura non vengano “rotti” perché ne sarebbe danneggiata la sicurezza delle informazioni. Nel caso dei captatori il problema riguarda soprattutto i dettagli del loro utilizzo. Perché senza una particolare selettività si può andare oltre lo scopo da perseguire. Bisogna stare attenti a cosa si prende, bisogna essere molto selettivi».
Fonte: lastampa.it