Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR, ancora in una fase di transizione

pittogramma Zerouno

Intervista

GDPR, ancora in una fase di transizione

Abbiamo fatto il punto sullo stato di attuazione del regolamento europeo per la tutela dei dati personali con Luigi Montuori, responsabile Servizio relazioni internazionali e con l’Unione europea dell’Autorità garante per la protezione dei dati personali, che ha poteri di indagine, correttivi, autorizzativi, consultivi e sanzionatori. Il Garante, verificata un’attuazione del regolamento ancora a macchia di leopardo, ha messo in atto una serie di iniziative per aumentare la consapevolezza e la conoscenza del regolamento. Abbiamo anche approfondito le principali novità e implicazioni nello scambio dati a livello europeo e internazionale e i prossimi passi per garantire la riservatezza delle comunicazioni

05 Mar 2019

di Elisabetta Bevilacqua

L’entrata in vigore, il 25 maggio del 2018, del Regolamento europeo per la tutela dei dati personali (RGPD, meglio noto con il suo acronimo inglese GDPR) ha risvegliato l’attenzione dei cittadini e dei responsabili del trattamento dei dati, incrementando le richieste di intervento, l’aumento dei reclami e delle segnalazioni al Garante per la protezione dei dati personali come pure delle notifiche per la loro violazione. Lo evidenzia Luigi Montuori, responsabile Servizio relazioni internazionali e con l’Unione europea dell’Autorità garante per la protezione dei dati personali, portando a riprova la sintesi delle attività dell’Autorità dal 25 maggio al 31 dicembre, pubblicata a fine 2018 (figura 1).

Per quanto riguarda lo stato di applicazione della normativa, Montuori fa riferimento soprattutto alla situazione delle amministrazioni pubbliche: “Ho l’impressione che alcune, attivate per tempo, si siano attrezzare per poter disporre di una struttura in grado di far fronte al nuovo regime, andando a identificare il DPO e comunicarne i contatti all’Autorità, definendo una privacy by design, creando il registro per il trattamento, disponendo piani per la valutazione di impatto e del rischio, e piani di emergenza in caso di violazione dei dati in grado di mettere le stesse P.A. in condizione di rispondere entro le 72 ore indicate dal legislatore. Altre amministrazioni sembrano invece più pigre”.
Nel settore pubblico si delinea una situazione a macchia di leopardo che si può ipotizzare non dissimile nel privato, soprattutto nelle organizzazioni più piccole, e lo stato di applicazione sembrerebbe ad oggi analogo nella maggior parte dei Paesi europei. Da qui la spinta a immaginare strumenti per favorire la conoscenza del GDPR di imprese e amministrazioni, con la partecipazione a progetti comunitari.

Slide esplicativa del bilancio delle attività 25 maggio – 31 dicembre 2018 Fonte: Garante per la protezione dei dati personali
Figura 1 – Bilancio delle attività 25 maggio – 31 dicembre 2018 – Fonte: Garante per la protezione dei dati personali

È questo il caso del progetto biennale T4data (che si concluderà nel 2019) finanziato dalla Commissione europea a cui l’Italia parteciperà con Autorità di altri Paesi (Spagna, Bulgaria, Croazia, Polonia). L’obiettivo è aiutare le pubbliche amministrazioni in generale e i Comuni in particolare, soprattutto i più piccoli, molti dei quali faticano a mettersi in regola, a formare le competenze al proprio interno. Un ulteriore progetto biennale, che si concluderà nel 2020, congiunto con l’Autorità bulgara e l’Università Roma Tre, è invece rivolto alle PMI.

Riflettori sulle organizzazioni che gestiscono masse di dati sensibili

Sul piano delle verifiche e delle sanzioni, sembra di intuire per ora una certa tolleranza verso le strutture più piccole e meno organizzate, mentre le attività di controllo si orientano soprattutto su chi muove grandi quantità di informazioni particolarmente delicate, intendendo non solo quelle “tradizionali”, come abitudini sessuali e opinioni politiche, ma anche relative a dati di carattere biometrico e genetico.

“Nelle linee guida che abbiamo scritto a livello europeo insieme alle altre Autorità di controllo, particolare attenzione è stata dedicata a questi dati, tenendo conto anche della direzione in cui sta andando la tecnologia e al fatto che questi trattamenti possono essere realizzati in forma massiva e molto analitica”, spiega Montuori, ricordando che il Regolamento, non a caso, prevede la valutazione del rischio obbligatoria per le categorie di dati che riguardano sfera intima, genetica, salute.
“L’aspetto sanzionatorio è sempre all’ordine del giorno e se dovessimo renderci conto che ci sono state violazioni alla disciplina applicheremmo le sanzioni previste, ma nella definizione dei piani annuali che riguardano le attività di carattere sanzionatorio siamo ben consapevoli di doverci concentrare anche sui soggetti che fanno trattamenti più delicati che coinvolgono grandi quantità di dati, per poi ampliare il nostro campo di azione per effettuare controlli nei vari settori di attività in cui si trattano i dati personali”, precisa Montuori.

Foto di Luigi Montuori
Luigi Montuori, responsabile Servizio relazioni internazionali e con l’Unione europea dell’Autorità garante per la protezione dei dati personali

In ogni caso è presente la volontà di non infierire soprattutto nei confronti di soggetti che non hanno fatto violazioni per dolo e non hanno prodotto danni significativi. “Se riceviamo segnalazioni di violazioni su riservatezza e dati personali dei cittadini, dobbiamo intervenire immediatamente, ne vanno in gioco i diritti e le libertà degli interessati – aggiunge – Tuttavia siamo consapevoli che il Regolamento ha acquisito piena efficacia da pochi mesi”.

I dati non hanno frontiere

Il regolamento europeo GDPR introduce significative novità sul piano degli scambi internazionali.
Innanzi tutto fornisce indicazioni sui trattamenti dei dati in ambito transfrontaliero che la precedente normativa (del 1995) non prendeva neppure in considerazione: “Il regolamento scritto nel 2016, rispetto alla direttiva scritta 20 anni prima, ormai obsoleta in alcune sue parti, disciplina in modo puntuale determinate attività”, dice, ricordando che al tempo della precedente normativa non esistevano per esempio il cloud e gli smartphone…
Fondamentale è la novità di un regolamento che definisce una norma praticamente identica nei 28 Paesi, con minime differenze in alcuni settori come ad esempio per la pubblica amministrazione: “Il GDPR è un sistema che garantisce, per la prima volta, un diritto essenzialmente identico per tutti i Paesi e ha comportato la costruzione di una impalcatura unica, una piattaforma su cui scambiare i dati, dialogare, trovare soluzioni condivise”, commenta Montuori, sottolineando la differenza fra il concetto di regolamento e quello di direttiva, uno strumento quest’ultimo che detta i principi lasciando però agli stati membri la libertà di come recepirli. La precedente direttiva affermava, per esempio, la necessità di consenso per il trattamento dei dati senza però indicare come metterlo in atto. E così in alcuni Paesi, come l’Italia, si era optato per un consenso positivo, mentre in altri, come il Regno Unito, si era preferito un consenso in negativo, ossia la possibilità di usare i dati personali fino a un eventuale diniego. Ora il regolamento invece non prevede ambiguità: le norme sono identiche in tutti i Paesi e sono state tradotte nelle 22 lingue europee, senza essere interpretate.
Il GDPR detta anche il comportamento per entità, anche extra-europee, che operano in più Paesi, che vanno trattate e sanzionate nello stesso modo su tutto il territorio UE. Qualunque soggetto avrà come primo referente l’autorità del Paese in cui opera, ma dovrà confrontarsi con le altre autorità europee impattate da quel trattamento. Ad esempio, un’azienda con la sede principale a Dublino interloquirà in primo luogo con l’autorità irlandese, che, nel caso di reclamo da parte di un cittadino italiano o austriaco, dovrà collaborare con le autorità di quei Paesi per aprire un’unica istruttoria nella quale potranno entrare anche le autorità europee degli altri Paesi che dovessero essere coinvolti in quella tipologia di trattamento. Per semplificare si può dire che in caso di disaccordo entra in gioco una nuova istituzione europea che di fatto esercita il ruolo di arbitro superiore, il Comitato europeo per la protezione dei dati, con sede a Bruxelles.

Oltre il GDPR: dalla privacy dei dati alla riservatezza delle comunicazioni

Il passo successivo, dopo il regolamento GDPR che ha introdotto, in modo omogeneo a livello europeo, la tutela della privacy, è la riservatezza delle comunicazioni elettroniche. La proposta, “Respect for private life and the protection of personal data in electronic communications”, si applica, a differenza della precedente direttiva del 2002, non solo agli operatori di telecomunicazione tradizionali, ma a tutti coloro che operano in rete per fornire servizi di comunicazione come WhatsApp, Facebook, Messenger, Skype, Gmail,…
“Speravamo che entro il 2018 si chiudesse l’iter di approvazione del nuovo regolamento sulla riservatezza delle comunicazioni elettroniche, ma si è rivelato molto complesso anche a causa dei forti interessi che entrano in gioco. Oramai è evidente come sia difficile che l’iter possa essere completato entro questa legislatura europea del Parlamento, e pertanto se ne dovrà occupare il nuovo Parlamento europeo”, conclude Montuori.

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Argomenti trattati

Approfondimenti

D
Data Privacy
G
GDPR
P
Privacy
GDPR, ancora in una fase di transizione

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    LinkedIn

    Twitter

    Whatsapp

    Facebook

    Link

    Articolo 1 di 4