Dopo quasi 4 anni di negoziati, ieri Parlamento e Consiglio europeo hanno finalmente trovato l’accordo per il nuovo Regolamento europeo sulla protezione dei dati, che introdurrà una legislazione armonizzata in tutte e 28 gli Stati dell’Unione. In Italia, prenderà il posto dell’attuale Codice Privacy.
L’iter per aggiornare la direttiva sulla protezione dei dati personali, risalente al 1995, è partito a gennaio 2012 con l’obiettivo di porre fine alla frammentazione e alla gravosità degli oneri amministrativi, promettendo alle imprese risparmi per circa 2,3 miliardi di euro l’anno. Ma ci saranno anche pesanti multe – fino al 4% del fatturato – per le aziende che non si adegueranno.
La riforma si compone di due strumenti:
Un regolamento che istituisce un quadro generale dell’Unione per la protezione dei dati. Permetterà alle persone di controllare meglio i loro dati personali e consentirà alle aziende di sfruttare al meglio le opportunità del mercato unico digitale riducendo la burocrazia e beneficiando del rafforzamento del rapporto di fiducia coi consumatori.
Una direttiva relativa al trattamento dei dati a fini di prevenzione, indagine, accertamento o perseguimento dei reati e nell’ambito delle connesse attività giudiziarie. Farà in modo che i dati di vittime, testimoni e sospettati di crimini, siano debitamente tutelati nell’ambito di un’indagine penale o di una azione di contrasto. Allo stesso tempo, leggi più armonizzate faciliteranno la cooperazione transfrontaliera di polizia e pubblici ministeri per contrastare criminalità e terrorismo in modo più efficace in tutta Europa.
Novità e vantaggi per le PMI
Le nuove norme sono più rigorose per quanto riguarda i sistemi usati per raccogliere e usare i dati degli utenti, il diritto all’oblio per quelli non più utilizzati, lo scambio di informazioni personali tra piattaforme concorrenti come i social network, i limiti sulla profilazione automatica e sul ruolo dei regolatori e degli individui in merito alle denunce di possibili violazioni della sicurezza.
Nei testi approvati ieri sono state inoltre confermate importanti novità già presenti nella proposta originaria del 2012, come il diritto alla portabilità dei dati, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti nei casi più gravi di violazione dei dati, il meccanismo del “one-stop-shop” (le imprese avranno a che fare con un’unica autorità di vigilanza, con ingenti risparmi di tempo e denaro) e il concetto di ‘Data protection by design’, ossia la presenza di garanzie di protezione dei dati a partire dalla prima fase di sviluppo di prodotti e servizi.
Vantaggi economici per piccole e medie imprese arriveranno anche dall’esenzione dell’obbligo di notifica alle autorità di vigilanza, con un risparmio stimato in 130 milioni di euro l’anno, e dalla possibilità di addebitare un contributo agli interessati per le richieste di accesso ai dati manifestamente infondate o eccessive.
Due anni per adeguarsi
A seguito dell’accordo politico raggiunto nel trilogo, i testi definitivi saranno formalmente adottati dal Parlamento europeo e dal Consiglio all’inizio 2016. Le nuove regole saranno applicabili i due anni successivi.
Il nuovo Regolamento dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea. Sul piano delle sanzioni per le aziende che non rispetteranno le norme, con riferimento, in particolare, alle web company che trattano i dati dei cittadini, le autorità nazionali indipendenti di protezione dei dati potranno comminare sanzioni pecuniarie pari al 4% del fatturato mondiale annuo.
Social vietati agli under 16?
Nonostante l’ampiezza della portata della riforma, il punto che ha fatto i titoli dei giornali è stato il presunto divieto per i ragazzi di età inferiore a 16 anni di accedere ai siti che ‘collezionano dati’ senza il consenso dei genitori. Banditi, insomma, i teenager dai social network più popolari, da Facebook a Snapchat e Instagram, senza il benestare di mamma o papà?
Non è proprio così: diciamo innanzitutto che il Parlamento avrebbe voluto fissare il limite di età a 13 anni, come avviene peraltro in molti Stati Ue, tra cui l’Italia e come prevede anche lo stesso regolamento di Facebook. Anche in questo caso, tuttavia, l’Europa è un patchwork di regole diverse e in Polonia, ad esempio, ci si può iscrivere solo compiuti 18 anni, in Spagna a 14 anni, in Ungheria a 16. Mettere tutti d’accordo è stato dunque un bell’affare, anche se, a ben guardare si tratta, ovviamente, di limiti che restano sulla carta se poi, come dicono alcune statistiche, il 70% dei bambini di età compresa fra 9 e 12 anni ha già un profilo Facebook in barba a ogni regola
La notizia positiva (per gli affari delle web company) è quindi che, da quanto emerge, ciascuno dei 28 Stati membri potrà impostare il proprio limite di età tra i 13 e i 16 anni: ci sarà quindi chi manterrà il limite a 13, chi lo farà salire a 16, chi manterrà lo status quo. Come spesso accade, insomma, molto rumore per nulla.
I commenti
Per il vicepresidente per il mercato unico digitale Andrus Ansip, l’accordo “è un passo importante verso un mercato unico digitale che rimuoverà gli ostacoli e sbloccherà grandi opportunità. Il futuro digitale dell’Europa può essere costruito solo sulla fiducia”.
“Grazie a solide norme comuni – ha aggiunto – può essere costruito solo sulla fiducia, le persone potranno essere sicure di avere il pieno controllo delle loro informazioni personali, godendo così di tutti i servizi e le opportunità di un mercato unico digitale”.
Il Commissario alla Giustizia Věra jourová, ha sottolineato che “…è stata mantenuta la promessa della Commissione Juncker di portare a compimento la riforma della protezione dei dati entro il 2015. Le nuove norme paneuropee sono buone sia per i cittadini che per le imprese”.
Soddisfazione è stata espressa in Italia dal presidente di Federprivacy, Nicola Bernardi, che ha sottolineato come “…con l’approvazione del regolamento europeo, le aziende hanno adesso una opportunità unica di sfruttare il mercato digitale. Per essere competitive evitando le pesanti sanzioni che saranno previste dalla nuova normativa, ora le aziende avranno sempre più necessità di avvalersi di professionisti e privacy officer specializzati e dovutamente preparati per dialogare tra una nazione e l’altra sotto un unico ombrello normativo”.