Dallo scorso 25 maggio i cittadini di tutti i 28 Stati dell’Unione Europea camminano protetti dall’ombrello delle nuove norme sulla privacy, il cosiddetto General Data Protection Regulation (abbreviato in Gdpr). Il primo e più visibile esito è stata la ricezione massiccia di email in cui tutti i soggetti ai quali in passato avevamo rilasciato il nostro nominativo ci chiedevano di poter continuare a inviarci comunicazioni e usare quindi i dati che ci riguardano. Dalle compagnie aeree alle aziende a conduzione familiare passando per i singoli individui, infatti, il Gdpr costringe tutti a cambiamenti profondi.

Cosa cambia

Tutela dei minori, autorizzazione al trattamento dei propri dati, diritto all’oblio, revoca del consenso, multe: sono queste le principali garanzie per gli internauti introdotte o rafforzate dal regolamento Ue.

• I minori che intendono usare servizi online hanno adesso bisogno dell’autorizzazione dei genitori fino ai 16 anni (in alcuni Paesi questo limite è di 13 anni).

• Il consenso all’uso dei dati cambia soprattutto nella forma: la richiesta di utilizzo dei dati personali deve essere fatta in modo chiaro e fornendo vari informazioni tra cui il contatto del responsabile della protezione dati.
• Diritto all’oblio: se i dati personali vengono utilizzati illecitamente si può fare richiesta di cancellazione. Questa norma si applica anche ai motori di ricerca.
• Revoca: è possibile revocare il proprio consenso in qualsiasi momento contattando il responsabile del trattamento dati.
• Denunce: nel caso in cui si ritenga che i propri diritti siano stati violati si può presentare una denuncia all’autorità nazionale che dovrà indagare e rispondere entro tre mesi.
• Multe: le aziende responsabili di violazioni del regolamento potranno essere multate fino a un ammontare pari al 4% del loro fatturato, indipendentemente da dove si trova la loro sede legale.

Lo spirito delle nuove norme

È stata la commissaria Ue alla giustizia Vera Jourova a spiegare la ratio del regolamento e gli auspici con i quali entra in vigore: mai più nuovi scandali Facebook-Cambridge Analytica o, almeno, mai più violazioni impunite grazie al “forte deterrente” delle nuove regole europee che prevedono sanzioni più aspre per le aziende “colpevoli”.

In Italia il regolamento è di fatto pienamente operativo dallo scorso agosto, quando il governo ha approvato un decreto per armonizzarlo alla normativa nazionale. È stato attribuito al Garante privacy un ruolo di primo piano nella prima fase di applicazione delle nuove norme: nei primi otto mesi nell’erogare le sanzioni dovrà tenere conto del fatto che siamo in una fase iniziale di attuazione evitando quindi di essere troppo punitivo verso le aziende ritardatarie.

La linea morbida e graduale varrà applicata soprattutto con le Pmi, per le quali il garante dovrà promuovere linee guida sulle modalità di adeguamento semplificate ad hoc. Nel contesto italiano particolare attenzione è stata riconosciuta all’applicazione della privacy in settori sensibili come il diritto del lavoro e la sanità. Anche se la più grossa differenza tra il nostro paese e l’ambito europeo riguarda le sanzioni penali che permangono nel nostro ordinamento privacy. Nuove tutele vengono poi varate per i whistle-blower (chi denuncia le attività illecite di aziende o istituzioni, rendendole pubbliche).

I grandi player

A pochi mesi dal varo l’attenzione è ora tutta puntata su come i giganti di Internet, da Facebook a Google, da Apple a Twitter e Microsoft, si atterranno alle regole. Queste si concentrano sull’uso delle informazioni personali dei cittadini europei, con multe per le violazioni fino al 4% del fatturato annuale delle società.

– Facebook: travolto dallo scandalo Cambridge Analytica, da marzo in poi il social ha aggiornato i suoi controlli sulla privacy, in modo da renderli più facili da capire e trovare. Per quanto riguarda il riconoscimento facciale, tecnologia usata in gran parte del mondo (ma non in Ue e Canada), la piattaforma chiederà agli utenti europei un consenso (viene disabilitata per i minori di 18 anni). Per gli under 15 i genitori potranno avere più controllo su inserzioni pubblicitarie, opinioni e dati personali.

– Google: il gigante dei motori di ricerca ha aggiornato l’attuale politica sulla Privacy per rendere più comprensibile il tipo di informazioni che raccoglie, anche con l’ausilio di video e ampliando le sezioni di spiegazione. Nulla cambia riguardo le attuali impostazioni per gli utenti o al modo in cui le informazioni vengono trattate.

– Microsoft: l’impegno è di fornire agli utenti di tutto il mondo (anche America e Asia) gli stessi diritti su protezione della privacy e controllo dei dati che garantirà ai cittadini Ue. Viene introdotta la possibilità di accedere ai propri dati personali, correggere errori, esportarli e cancellarli. Gli utenti potranno opporsi all’uso dei dati per il marketing e altre finalità.

– Apple: Cupertino assicurava già prima che i dati degli utenti restassero all’interno del loro dispositivo o venissero crittografati verso il cloud. Gli sforzi maggiori si sono concentrati sulla chiarezza dell’informativa e sul miglioramento della gestione degli account.

– Twitter: il microblog si impegna ad elaborare i dati degli utenti nel rispetto del regolamento Ue e invita gli inserzionisti a esaminare la sua informativa sulla privacy prima di continuare a utilizzare i suoi servizi pubblicitari dopo l’entrata in vigore del Gdpr.