Data protection: nel nuovo quadro Ue meno burocrazia, più certezza del diritto. La ricetta di Viviane Reding

di Alessandra Talarico |

Le nuove norme, pronte per fine anno, introdurranno importanti cambiamenti, tra cui il principio del 'data protection by design' e nuove misure per la sicurezza dei dati e la responsabilità delle aziende.

Unione Europea


Viviane Reding

La crescita dell’internet economy porta con sé notevoli benefici economici ed è, questo, un fattore da prendere in seria considerazione in vista della revisione del quadro normativo comunitario sulla protezione dei dati, che dovrebbe completata entro la fine di quest’anno. Intervenendo allo European Business Summit a Bruxelles in merito all’impatto di questa riforma sulle aziende che trattano dati personali, il Commissario Viviane Reding ha sottolineato la necessità che le nuove regole sulla protezione dei dati raccolgano la sfida della globalizzazione e delle nuove tecnologie e servano da stimolo all’economia e alla crescita.

In questo senso, bisogna agire per semplificare e armonizzare le regole a livello europeo e per ridurre l’attuale frammentazione, fattori dannosi per tutti, aziende e cittadini.

 

Nella riforma, saranno introdotti 4 importanti cambiamenti: innanzitutto, le aziende extra-Ue che però trattano i dati di consumatori europei devono attenersi alle nuove regole comunitarie; in secondo luogo sarà introdotto il principio del ‘data protection by design‘ e rafforzate le attuali regole sulla sicurezza nella fase di elaborazione dei dati e sulla responsabilità di chi deve controllare che tutto avvenga nel rispetto delle regole. Terzo: saranno razionalizzate e rafforzate le procedure per i trasferimenti internazionali di dati e, quarto, si sta pensando anche alla creazione di un meccanismo per fare in modo che anche altri paesi possano aderire volontariamente alle leggi Ue sulla protezione dei dati.
 

“Serve – ha detto la Reding – parità di condizioni” e per raggiungerla occorrerà anche ridurre la burocrazia e i fardelli amministrativi che oggi gravano sulle aziende che trattano dati personali, soprattutto a livello nazionale, e che creano costi e confusione.

“Dobbiamo eliminare – ha spiegato il Commissario – tutti quegli obblighi di notifica e le richieste inutili o inefficaci, per concentrarci sugli aspetti che migliorano la certezza del diritto”.

Il nuovo quadro, dunque, farà chiarezza su quali leggi bisognerà applicare a una compagnia attiva in diversi Stati membri e su come facilitare i trasferimenti internazionali di dati. Il libero flusso delle informazioni è infatti un imperativo per fare business in un’economia globale in cui le informazioni possono essere raccolte in Germania, conservate in India ed elaborate negli Stati Uniti e per fare un esempio basti pensare all’importanza crescente di tecnologie come il cloud computing.

“Stiamo lavorando – ha detto la Reding – per migliorare gli attuali meccanismi e guardiamo al modello delle ‘ norme d’impresa vincolanti’ – codici di condotta basati su rigidi standard Ue per la protezione dei dati. Queste regole potrebbero essere volontarie ma legalmente vincolanti e imponibili. Ma quello che più importa alla Commissione è che i dati siano protetti adeguatamente quando vengono trasferiti ed elaborati al di fuori della Ue”.

 

Solo con delle leggi adeguate si può generare quella fiducia che è un componente essenziale per una società sana e per un’attività di business rispettosa dei diritti dei consumatori e la Ue, ha spiegato ancora il commissario, intende fare tutto quanto in suo potere per soddisfare le esigenze delle aziende che si trovano ad affrontare le sfide della globalizzazione. In cambio, l’esecutivo chiede però che anche le aziende facciano la loro parte, offrendo prodotti e servizi digitali sicuri e trasparenti.

 

Le parole chiave alla base della strategia Ue sulla protezione dei dati sono, dunque, ‘consenso’ e ‘trasparenza’: gli utenti devono dare il loro consenso prima che le informazioni possano essere utilizzate. I dati, pertanto, non possono essere trasferiti senza l’approvazione dei diretti interessati e le aziende non possono usarli per altri scopi se non quelli per notificati ai consumatori, i quali devono sempre essere informati su come queste informazioni vengono usate. I service provider devono aumentare la trasparenza su come viene gestito il servizio, su quali dati vengono raccolti ed elaborati, per quali scopi, dove e come sono conservati e devono garantire le appropriate misure di sicurezza e la ‘privacy by design’ per i nuovi servizi.

 

La Reding si è soffermata quindi sul cloud computing: si tratta – ha detto di un’evoluzione tecnologica che ha “un grande potenziale in termini di efficienza, innovazione e risparmio sui costi” e la Ue vuole assicurarsi che le nuove regole coprano anche l’uso di questi servizi da parte di provider non europei.

Attualmente, il trasferimento di dati fuori dalla Ue è consentito solo tra quei Paesi che assicurano un adeguato livello di protezione o se c’è un contratto per la tutela dei dati, ma per il futuro sarà necessario realizzare dei centri europei per il cloud: alcuni provider stanno già sviluppando offerte per fare in modo che i dati dei consumatori europei vengano elaborati nella Ue o esclusivamente in paesi che forniscono misure di protezione adeguate; altri suggeriscono di sviluppare modelli più flessibili per i trasferimenti in paesi terzi.

Questa discrepanza dimostra che c’è bisogno di migliorare le attuali norme.
 

“Le nuove regole – ha detto ancora il Commissario – aumenteranno la fiducia dei consumatori e miglioreranno la certezza del diritto, riducendo i costi per le aziende che trattano i dati e dando un importante stimolo alla competitività internazionale degli operatori europei”.

 

Infine, la Reding ha anche espresso soddisfazione per la virata degli Stati Uniti, che hanno riconosciuto l’importanza di salvaguardare la privacy per garantire il successo delle nuove tecnologie, seguendo l’approccio europeo alla protezione dei dati.

Positivo, quindi, che anche la Bill of Rights americana riconosca che i dati sulla geo-localizzazione degli utenti debbano essere trattati come dati personali, così da evitare nuovi casi simili a quello degli ‘smartphone spioni’.

Anche le sempre più frequenti violazioni dei sistemi informatici delle aziende, vedi i casi Sony e Amazon, spingono a credere che bisogna fare di più sul versante della sicurezza: le aziende dovrebbero prendere precauzioni più efficaci per evitare i furti di identità e dovrebbero notificare immediatamente eventuali incidenti.
Per questo, la Reding intende estendere l’obbligo di notifica delle violazioni introdotto col pacchetto telecom anche ad altri settori come i dati bancari, le informazioni raccolte dai social network e dalle società di gaming online.

 

Al centro, quindi delle strategie Usa ed Ue, che del resto convergono sempre di più, dovranno esserci “la sicurezza, l’interoperabilità e la protezione dei dati personali. Questo schema – ha concluso – sarà il punto di riferimento per le aziende di tutto il mondo”.