Corporate Innovation
Dopo aver spiegato in una precedente intervista, quali cambiamenti potrà apportare il GDPR per le imprese, in questa chiacchierata con l’Avvocato Sergio Alberto Codella, ci si è focalizzati sull’argomento GDPR, spiegando cosa cambia per gli utenti e per chi opera nel web.
Come già ormai sappiamo, il prossimo 25 Maggio 2018 entrerà in vigore il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali. Molte sono le domande a cui è bene dare una risposta, vista l’imminente applicazione della norma.
A. Il GDPR è un regolamento volto a tutelare le persone fisiche in tema di privacy. Al giorno d’oggi, il web è certamente uno dei “luoghi” in cui tale tutela può essere messa più in pericolo.
Per l’utente che è solito utilizzare internet vi è certamente un elemento che contraddistingue ormai la sua quotidianità nella navigazione e, cioè, la presenza di cookie che, sempre più spesso, sono oggetto di attenzione e di preoccupazione. Attraverso i cookie vi è la possibilità/rischio di profilare il “cliente”.
Peraltro vi sono molteplici punti di interesse sotto un profilo legale che possono essere ricondotti a due aree: quella della privacy (cosa viene memorizzato?) e quella della trasparenza (chi sta memorizzando?). Per questa ragione sarà sempre più importante, anche alla luce del nuovo regolamento, offrire informative preventive, trasparenti e consapevoli per l’utente.
In altre parole, potrebbe non essere più sufficiente limitarsi ad una criptica e generica informativa che si limiti, nella sostanza, ad un “click” su “ok”. I consensi devono inoltre essere compiutamente conservati e deve essere offerta la possibilità di modificare il proprio consenso che dovrà essere anche periodicamente rinnovato.
A. Uno dei più importanti punti di “svolta” del GDPR è quello relativo alla accountability e, cioè, alla responsabilizzazione da parte del titolare del rispetto dei principi e dei precetti indicati dalla nuova normativa.
Non vi sono più misure “minime” di sicurezza standardizzate e già predefinite, ma ogni azienda interessata dovrà adoperarsi per assicurare una corretta gestione del trattamento dei dati rispetto alle proprie esigenze ed alle particolari caratteristiche dei dati.
Tutto ciò si traduce anche nella necessità di adottare sistemi e soluzioni informatiche adeguate al caso specifico e che possano garantire tale obiettivo. Ovviamente, in caso di contestazione, bisognerà giustificare le proprie scelte e dimostrare che anche gli strumenti tecnologici adottati siano stati quelli adeguati.
Basti pensare, ad esempio, alle tecniche e modalità di gestione dei registri, alla analisi dei rischi, alle procedure in caso di breach. Le gestione a livello organizzativo del trattamento dei dati ha quindi un significativo impatto anche sulle conseguenti soluzioni tecnologiche che dovranno essere sempre più avanzate anche sotto un profilo software e ciò, ad esempio, per limitare le ipotesi di cyber attacchi o per affrontare casi di perdita oppure di sottrazione di dati.
A. Ovviamente una normativa non può impedire l’avverarsi dei fenomeni di cyber crime, quello però che può fare – e tenta di fare – il GDPR è far predisporre delle misure che riducano tali rischi e tra di esse vi è sicuramente il principio di privacy by design secondo cui è necessario “prevenire” le questioni in materia di privacy sin dalla fase di progettazione.
Proprio per prevenire eventuali abusi, è necessario valutare anche progettualmente i rischi in un momento addirittura precedente all’inizio del “trattamento”. Anche sotto questo profilo il GDPR non vuole essere una risposta “statica” alle esigenze degli utenti, ma aspira a volere implementare un approccio “dinamico” alla risoluzione dei problemi attraverso soluzioni “su misura” e volte, comunque, al rispetto di standard di pseudonimizzazione e di minimizzazione dei dati.
Tali obiettivi si legano anche ad un altro principio ispiratore del GDPR che è quello del privacy by default, secondo cui bisogna trattare i dati personali solo ed esclusivamente nella misura necessaria per le finalità già espresse e per il periodo strettamente necessario a tali fini.
A. Il rapporto tra privacy, da un lato, e diritto di cronaca, dall’altro, è sempre stato foriero di soluzioni tra loro anche disomogenee.
Il GDPR prevede espressamente il “diritto all’oblio” che può essere configurato come il diritto alla cancellazione dei dati in alcune ipotesi previste dal regolamento.
Lo stesso GDPR, però, precisa che tale previsione non si applichi nel caso in cui il trattamento, sia dovuto per l’esercizio del diritto alla libertà di espressione e di informazione, demandando la questione ai singoli ordinamenti nazionali.
Le soluzioni (anche giurisprudenziali) già adottate sembrano quindi potere essere ancora oggi valide. Si può ad esempio ricordare il caso che ha riconosciuto all’interessato, il diritto di ottenere l’aggiornamento di una notizia di cronaca ancora presente nell’archivio on line della testata giornalistica, e ciò per significare che non si tratta di questioni relative alla richiesta di rimozione di news spiacevoli, ma piuttosto del legittimo interesse ad ottenere un aggiornamento sui fatti.