11 Luglio 2017

I mediatori alla prova della privacy

I mediatori alla prova della privacy

Lo scorso 4 Maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento relativo alla protezione dei dati personali. L’obiettivo principale del regolamento è quello di sensibilizzare ulteriormente gli operatori verso la tutela della privacy tenendo conto che l’avvento delle tecnologie ha lanciato nuove sfide che minacciano i diritti fondamentali dell’individuo.

Basti pensare al fatto che la quantità di informazioni creata nel mondo raddoppia ogni dodici mesi e su internet raddoppia ogni 12 ore Per questo occorre un quadro normativo uniforme.

Il Regolamento entra in vigore il 24 Maggio 2016 ma le sue disposizioni saranno vincolanti a partire dal 25 Maggio 2018. I destinatari quindi e tra questi anche le società di mediazione creditizia avranno due anni di tempo per mettersi in regola con quanto stabilito dal regolamento. Questo lasso di tempo sarà utilizzato anche dal nostro legislatore per emanare provvedimenti integrativi. E’ importante tuttavia ricordare che si tratta di un regolamento che costituisce fonte primaria di diritto e pertanto prevale sulle leggi ordinarie dello stato.

Ma quali sono le novità sostanziali rispetto all’attuale regolamento?

Innanzitutto la nuova normativa amplia l’ambito applicativo estendendo il regolamento anche ai trattamenti dati che vengono effettuati da soggetti esteri che si trovano in Paesi extra UE. Si è voluto così assoggettare a tutela il trattamento dei dati effettuati dai colossi del web nord americani, basti pensare a Facebook e Google in primis.

Altra novità significativa riguarda l’informativa che dovrà essere resa al soggetto interessato. Rispetto alla vecchia informativa la nuova dovrà contenere le eventuali intenzioni del titolare di trasferire i dati all’estero;

Dovrà indicare il periodo di conservazione dei dati, il diritto di proporre reclamo al Garante nonché la FONTE da cui sono stati prelevati quei dati laddove essi non siano stati raccolti in presenza dell’interessato. Non è più necessario, invece, indicare quali sono tutti i diritti dell’interessato ossia il diritto alla cancellazione, alla correzione dei dati etc i quali potranno essere indicati anche in un secondo momento qualora l’interessato chieda se è o meno in corso un trattamento dati che lo riguarda.

Un ulteriore novità riguarda il così detto DIRITTO ALL’OBLIO ossia il diritto ad essere dimenticati. Il legislatore europeo è voluto intervenire sul punto in quanto il suo intento è quello di arginare la MEMORIA INFINITA DELLA RETE. Oggi infatti basta un clic su un motore di ricerca per rievocare una mole di notizie. Ebbene il legislatore europeo ha stabilito che il soggetto interessato può pretendere la cancellazione di quei dati la cui conservazione non sia più necessaria se non sussistono più gli scopi per i quali i dati sono stati trattati. Tuttavia la nuova normativa, e questo a mio avviso è alquanto singolare, non coinvolge in tale divieto i motori di ricerca i quali resteranno sempre e comunque indicizzati.

Un aspetto interessante riguarda il titolare del trattamento. La nuova normativa stabilisce che egli dovrà dimostrare che i dati vengano trattati in conformità con quanto stabilito dal regolamento stesso e che siano in atto misure e presidi volte a minimizzare i rischi di perdita di tali dati. Come può essere assolto tale onere probatorio non è ancora dato saperlo. A mio avviso esso potrà essere assolto in parte con l’adesione a codici di condotta, in parte ricorrendo al rilascio di certificazioni da parte di appositi organismi riconosciuti dall’Autorità Garante. Ma su questa tematica nei prossimi mesi avremo, come già preannunciato, un intervento chiarificatore da parte del Garante.

Un ulteriore aspetto, infine, riguarda la VIOLAZIONE DEI DATI che viene intesa in senso ampio. In essa il legislatore europeo fa confluire tutti i casi di trattamento illegittimo compiuti in modo casuale o fraudolento da un terzo che aggira le misure di sicurezza approntate dal titolare”

ma in tale CONCETTO il legislatore europeo fa rientrare anche IL TRATTAMENTO ILLEGITTIMO che si sia verificato a causa di una condotta OMISSIVA del titolare. In tal caso il regolamento europeo impone una AUTODENUNCIA da parte del titolare stesso. In buona sostanza entro le 72 ore dall’evento il titolare del trattamento deve notificare al Garante l’avvenuta violazione. Cosa accade se non lo fa? Subisce una doppia sanzione, una per aver violato il regolamento in se, l’altra per non essersi autodenunciato.

A proposito di sanzioni. Le sanzioni previste dal regolamento sono sostanzialmente sanzioni amministrative pecuniarie fino ad un max di 10 milioni di euro.

L’auspicio quindi è che il legislatore italiano possa intervenire, nei prox mesi, per una analisi approfondita della materia. Sicuramente il Garante della Privacy interverrà per fornire chiarimenti come ha già fatto in altre occasioni. Ciò che emerge è la posizione netta del Legislatore Europeo il cui intento è quello di tenere sotto osservazione e di arginare il più possibile lo strapotere informativo delle multinazionali nord americane poco inclini a doversi misurare con gli elevati standard europei di tutela della privacy