Giovanni Buttarelli ‘Europa all’avanguardia sulla Data Protection’

La data retention a sei anni? Non rientra nell’approccio europeo. Gli accordi con gli Usa? Poche garanzie sulla sorveglianza. 

Sono anni intensi per chi si occupa di protezione dei dati e di privacy in Europa. Nel maggio 2016 entrava in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR), che diventerà definitivamente applicabile nei Paesi membri dal 25 maggio 2018 e che dovrebbe irrobustire la difesa delle informazioni personali conservate da aziende e pubbliche amministrazioni. Anche se queste sembrano ancora indietro nella capacità di adeguarsi. Inoltre sempre nel 2016, anche sull’onda lunga delle rivelazioni di Edward Snowden sui programmi di sorveglianza di massa americani, la Commissione Ue e il governo Usa rinegoziavano un accordo sui meccanismi di trasmissione dei dati dei cittadini europei negli Usa: il precedente Safe Harbor veniva dunque sostituito dal Privacy Shield.

Ora proprio a ottobre la Commissione ha presentato un primo rapporto di valutazione del funzionamento di tali meccanismi. Il verdetto suona diplomatico: dice che l’accordo sembrerebbe funzionare, anche se necessitano miglioramenti. Nel mentre, sempre nel dicembre 2016, e per la seconda volta a distanza di due anni, la Corte di Giustizia dell’Unione europea si pronunciava contro la raccolta di massa, indifferenziata, di traffico telefonico e telematico da parte dei governi, la cosiddetta data retention. Tema che in Italia è diventato particolarmente caldo visto che il Parlamento ha da poco approvato proprio una estensione a sei anni dei tempi di conservazione di questi dati.

In questo contesto abbiamo rivolto alcune domande a Giovanni Buttarelli, magistrato italiano e dal 2014 Garante europeo della protezione dei dati (GEPD), che nei giorni scorsi si trovava a Milano per partecipare a un convegno organizzato da Deloitte su come le aziende si stanno preparando agli obblighi previsti dal nuovo Regolamento Ue.

Partiamo proprio dal Regolamento, in vista della sua piena applicazione attesa per maggio. Cosa cambia dal punto di vista dei cittadini? Quali sono i vantaggi rispetto a prima?

«Vorrei partire da un aneddoto. A un evento all’università di Leuven (Belgio) è stato presentato uno studio su come i dati relativi alla dislocazione dei nostri apparecchi, che di fatto ormai sono delle protesi mobili dei nostri corpi, siano scambiati 5398 volte nel giro di 14 giorni. Ma non solo tra quei pochi operatori principali che usiamo via cellulare, bensì attraverso una serie di misteriosi partner che vengono a beneficiare di informazioni granulari sulla nostra vita privata. E tutto ciò senza che noi ne abbiano consapevolezza, o solo perché abbiamo ceduto per comodità alle app l’accesso ai nostri contatti, dislocazioni, microfono. Ecco il fenomeno appena descritto è esattamente quello che il Regolamento vuole modificare, non per ridurre l’innovazione, ma perché non tutto ciò che è tecnicamente fattibile è anche eticamente sostenibile. In pratica vogliamo cambiare le regole per chi da remoto fa business in Europa, magari attraverso succursali, chiedendo che i dati siano trattati in base alle regole e alle garanzie europee».

E su una pubblica amministrazione o un’azienda quanto incide? L’obbligo di notifica in caso di violazione dei dati entro 72 ore e le sanzioni previste verranno applicati in modo efficace?

«La protezione dei dati diventa seria. E le sanzioni sono molto rigorose, prevedendo fino al 4 per cento del fatturato globale annuo. Ma anche l’obbligo di valutazione dei rischi dovrà essere personalizzato, e andrà oltre un semplice documento programmatico sulla sicurezza. In pratica si chiede di prendere precauzioni prima, non di aspettare. La riforma dà anche più poteri alle Autorità garanti dei vari Paesi, anche se quella italiana ne aveva già di più».

Sul fronte dell’accordo con gli Usa sul trasferimento dei dati di cittadini europei, il Privacy Shield, come è andata la prima valutazione? Certamente le aziende statunitensi si stanno certificando. Ma da parte dell’accesso ai dati del governo Usa che garanzie abbiamo?

«Il Privacy Shield aumenta le garanzie sul piano commerciale, fa dei passi in avanti, ma non è stato considerato soddisfacente dalle Autorità garanti. Esportare dati negli Usa resta un’eccezione perché quel sistema non è adeguato. La revisione dell’accordo ha rivelato che molte delle misure previste sono state prese all’ultimo momento. Forse per l’amministrazione Trump il Privacy Shield non era prioritario, ma pacta sunt servanda. Diciamo che abbiamo più rassicurazioni sul piano commerciale che su quello della sorveglianza del fatto che questi dati siano usati in maniera proporzionata e necessaria».

E cosa può fare l’Europa dunque? Che ruolo può avere a questo punto?

«Soffriamo un forte divario internazionale sul fronte dei big data. Ma nello stesso tempo siamo leader sul piano dei valori e delle regole. E sul tema privacy e protezione dei dati possiamo fare da avanguardia, anche dal punto di vista dello sviluppo di professionalità specifiche.»

 

Leggi qui l’intervista completa di Carola Frediani su La Stampa

Fonte: La Stampa | di Carola Frediani

© 2017 Associazione Privacy Italia - C.F. 91039930192 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL