Privacy, il confronto si surriscalda arriva la svolta del regolamento Ue

Di repubblica.it del 16/04/2018

DATI PERSONALI: L’EPISODIO DI CAMBRIDGE ANALYTICA RILANCIA LA QUESTIONE DELLA PROTEZIONE. IN VIGORE A MAGGIO LA MISURA CHE UNIFORMA REGOLE E INTRODUCE SANZIONI. MA RESTANO ALCUNI NEI

Se chiedessimo a 10 persone qualsiasi quante informative della privacy abbiano letto per intero prima di dare il consenso al trattamento online dei loro dati il risultato sarebbe quasi sicuramente prossimo allo zero. È l’emblema di un tema, quello della protezione dei dati personali, rimasto fin troppo tempo confinato nel recinto degli addetti ai lavori. La situazione sembra però in fase di mutamento.

Sull’onda degli ultimi casi eclatanti di cronaca digitale, da Yahoo! a Facebook- Cambridge Analytica, la privacy sta conquistando uno spazio sempre più rilevante nel dibattito pubblico. E chissà che dal prossimo 25 maggio la piena applicazione del regolamento europeo sulla privacy, la General Data Protection Regulation meglio nota con la sigla Gdpr, non le conceda un definitivo e meritato eco mainstream. «La protezione dei dati è sempre più importante perché tutto è ormai data- driven. La Gdpr risponde a un’esigenza di aggiornamento e uniformità mettendo tutti gli Stati sotto un unico tetto, pur lasciando loro la possibilità di precisare alcune regole nazionali», spiega Luca Bolognini, presidente dell’Istituto italiano per la privacy, che individua tre novità dirompenti tra i 99 articoli della normativa UE. A partire dalle sanzioni che arrivano al 4% del fatturato mondiale: «È un cambio di passo che trasforma la privacy in un tema rilevante quanto l’antitrust, portandola all’ordine del giorno dei cda delle aziende, anche grandissime.

C’è poi da sottolineare il principio di “accountability”, che responsabilizza i titolari dei trattamenti puntando sull’adeguatezza sostanziale nella protezione dei dati e non su una lista formalistica di misure preconfezionate dall’alto. E infine l’estensione più dura degli obblighi alle imprese extra-europee che però sarà complicata da applicare, specialmente in assenza di intese tra gli Stati». Queste previsioni potrebbero far pensare a uno scenario idilliaco ma, avverte Bolognini, il regolamento UE è tutt’altro che privo di nei. Uno su tutti: la scarsa lungimiranza. «La Gdpr nasce già vecchia perché non affronta gli scenari in cui il trattamento di dati viene svolto dagli oggetti, siano essi sensori o sistemi di intelligenza artificiale — sottolinea il presidente — La Gdpr è disegnata per responsabilizzare le persone e le organizzazioni di persone ma si troverà a disciplinare un mondo dominato da cose. Questo aspetto è stato sottovalutato, si sta cercando di correre ai ripari con il regolamento e-privacy recentemente proposto dalla Commissione Europa che tuttavia non vedrà la luce prima del 2019».

Altro neo è l’ancoraggio ad istituti che faticano ad avere efficacia, come l’informativa preventiva: «È inutile fornire lenzuolate spesso incomprensibili. Sarebbe più utile immaginare un modello simile all’etichetta alimentare. Mettere sui contenuti profilati un bollino cliccabile che conduca l’utente in una pagina che gli spiega perché vede quel determinato contenuto». Nell’attesa di aggiornamenti futuri, c’è da mettersi in regola con il presente. Il ritardo di aziende ed enti è piuttosto diffuso, soprattutto fra Pmi e PA, ma su questo punto Bolognini professa ottimismo: «Credo che appena scatteranno le prime sanzioni l’attenzione si impennerà.

Un’altra spinta positiva arriverà dalla considerazione dei dati come asset da valorizzare oltre che da proteggere, cioè dal passaggio da una logica di costo ad una di investimento. I temi di diritto dei dati sono sempre più valutati nelle operazioni straordinarie, proprio per questo motivo». Secondo il numero uno dell’Istituto il ritardo più grave è comunque da ricercare altrove: «Il legislatore italiano ha avuto due anni per adeguare l’ordinamento alla Gdpr. Eppure — conclude Bolognini — è intervenuto solo a fine marzo, con uno schema di decreto in palese eccesso di delega. Che esempio diamo a cittadini e imprese?». L’Unione Europea ha adottato un regolamento che punta a favorire la protezione dei dati personali anche attraverso le sanzioni.