L’European data protection days è stata occasione per parlare del nuovo regolamento generale europeo sulla protezione dei dati approvato pochi giorni prima: le valutazioni e i commenti degli esperti. Di Adalberto Biasiotti.

Forse più per coincidenza, che per lungimirante calcolo, quando l’anno scorso venne fissata la data per il convegno europeo sulla protezione dei dati personali, che si tiene ogni anno a Berlino, le probabilità che il nuovo regolamento europeo fosse stato già approvato erano ridotte. Invece non solo il regolamento è stato approvato, ma ciò è accaduto solo una settimana prima dello svolgimento del convegno.

L’attenzione di tutti i relatori e dei partecipanti si è quindi concentrata su aspetti pratici, legati all’avvio delle attività, che permetteranno di recepire, entro due anni, i numerosi ed impegnativi dettati di questo regolamento.

Ecco i principali temi trattati, a cura dei più prestigiosi esperti del settore.
Nella prima giornata la relazione introduttiva è stata fatta da Giovanni Buttarelli, supervisore europeo per la protezione dei dati, che ha seguito da vicino tutto il complesso iter legislativo, iniziato nel 2012. Egli ha illustrato i temi principali del nuovo regolamento, dando successivamente la parola ad altri relatori, che hanno approfondito temi di un’estrema importanza.

Ad esempio, nella mattinata del primo giorno Julie Brill, già commissario della Federal Trade Commission negli Stati Uniti, ha toccato il tema dei rapporti tra l’Europa agli Stati Uniti, in tema di trasferimento di dati. Come i lettori ormai sanno, la corte europea ha fatto scadere il precedente accordo, chiamato safe harbor, ed è stato messo a punto un nuovo accordo, chiamato USA-EU privacy shield. Il documento è attualmente all’esame degli organi legislativi interessati e vi sono numerosi punti, che avranno bisogno certamente di un approfondimento.

Altri relatori hanno preso in esame la nuova formulazione della informativa e le nuove modalità di raccolta di consenso, che sono molto più incisive e analitiche, rispetto a modelli già oggi esistenti. Non per nulla, gli uffici legali delle più grandi aziende di social network del mondo erano presenti, e le loro relazioni hanno proprio affrontato questo tema, legato anche alle modalità di conservazione e cancellazione dei dati, cui il regolamento ha prestato grande attenzione.
Ormai famoso diritto all’oblio è stato affrontato da più relatori, che hanno messo a disposizione alcuni possibili schemi per il rispetto di questo fondamentale dettato del regolamento.
Neanche a dirlo, il cloud ha attirato l’attenzione sia dei relatori, sia dell’uditorio, perché è un contesto nel quale si incrociano e si sommano numerosi articoli del regolamento, anche se il regolamento non nomina una sola volta in tutto il testo la parola “cloud”.
Nel cloud si parla di trasferimento di dati personali, si parla di rapporti fra titolari e responsabili, si parla di modalità di custodia e cancellazione.
A questo proposito, giunge in soccorso dei responsabili del trattamento, che devono adottare efficienti protezioni dei dati, residenti nel cloud, un relatore, che  ha fatto presente la esistenza della norma ISO/IEC  27018, che proprio fa riferimento alle modalità con le quali è possibile garantire una soddisfacente protezione dei dati personali residenti nel cloud. Oggi almeno tre o quattro grandi aziende mondiali, che offrono servizi di cloud, sono state già certificate secondo questa norma e rappresentano certamente un punto di riferimento attraente per molti titolari del trattamento.
Ricordo ai lettori che il nuovo regolamento prevede tre interventi di valutazione delle modalità di protezione dei dati personali che sono rispettivamente:
  • protezione dei dati fin dalla progettazione,
  • protezione dell’impostazione predefinita,
  • valutazione d’impatto sulla protezione dei dati.
Si tratta di tre nuovi strumenti di valutazione della sicurezza del trattamento, in gran parte ignoti ai titolari del trattamento italiani, ma già noti in altri paesi. La messa a disposizione di alcuni schemi di riferimento ha rappresentato un preziosissima contributo per tutti i presenti.
Un altro tema di estremo interesse ha riguardato la progettazione di applicativi per smartphonee simili, realizzati nel pieno rispetto dei dettati del regolamento. È una sfida molto impegnativa alla quale si confida che gli specialisti di protezione dei dati ed di software potranno dare una risposta soddisfacente.
Grande attenzione è stata prestata alla crescita esponenziale di dispositivi che si connettono ad Internet ed in forma automatica o semi automatica, l’ormai famoso IoT- Internet of Tbings,  che prevede che miliardi di dispositivi potranno essere collegati via Internet, trasmettendo dati personali, come ad esempio quelli provenienti da impianti medici e simili.
È un mondo ancora tutto da scoprire e per il quale indubbiamente nasceranno problemi non trascurabili.
Ampio spazio è stato anche dedicato all’illustrazione del profilo del responsabile della protezione dei dati personali. Questo soggetto, che in Germania era già presente, è figura affatto nuova in tutte le nazioni europee, con la sola eccezione delle istituzioni europee, nelle quali questo profilo era presente da tempo.
Si è parlato di competenze che questo soggetto deve avere, di responsabilità che deve avere, di stesura di tipologie contrattuali in grado di rispettare e tutelare le parti coinvolte e via dicendo.
Il pomeriggio della seconda giornata di sezione di sessione è stato dedicato a temi assai pratici. Ad esempio uno dei maggiori siti commerciali del mondo, eBay, ha illustrato come stia già attuando alcune disposizioni del regolamento, senza aspettare la sua entrata in vigore tra un paio d’anni.
Anche un rappresentante di una compagnia assicurativa ha messo in evidenza come i problemi che essa deve affrontare, soprattutto nella fase di offerta  di informativa e raccolta del consenso, non siano trascurabili.
Si pensi ad esempio al caso in cui si debbano acquisire dati afferenti ad un sinistro, che vede coinvolto un assicurato, per rendersi conto della straordinaria quantità di dati che devono essere acquisiti, in relazione all’altra parte coinvolta del sinistro, ad eventuali risvolti di natura sanitaria, di varia gravità e via dicendo, per rendersi conto come il confine tra una completa e corretta informativa e raccolta di consenso e le esigenze operative delle compagnie sia oltremodo sfumato.
Sempre nel pomeriggio del secondo giorno, si è svolta una sessione parallela, nella quale sono state esaminate le regole in vigore per la protezione dei dati personali in vari paesi del mondo, ad esempio nella comunità economica asiatica, e nell’America Latina.
Due relatori specializzate hanno illustrato la posizione della Cina e della Russia su questi stessi temi. Apparentemente siamo ancora abbastanza lontani da una impostazione armonizzata  a livello mondiale.

Tra l’altro, questa è la ragione per la quale da parte di alcuni intervenuti si è fatto presente che non è sufficiente che l’Europa abbia prodotto il suo regolamento, e che meglio sarebbe se invece venisse sviluppato un progetto sotto l’egida dell’Onu, che potrebbe garantire una uniformità di trattamento di dati personali in tutto il mondo. Non v’è dubbio che la proposta potrebbe essere assai attraente, a condizione però che l’Onu abbia le risorse per affrontare un tema che solo in Europa ha richiesto un impegno legislativo nell’arco di due anni e mezzo.

Ancora una volta, questo convegno ha messo in evidenza come esso rappresenti un punto di incontro e di aggiornamento per tutti coloro che sono coinvolti nel trattamento di dati personali, in quanto permette di scambiare esperienze non solo a livello europeo, ma anche a livello mondiale.
Provvederò per tempo a tenere aggiornati i lettori sulle nuove date per il 2017.
Adalberto Biasiotti

IMI Consulting
Share
Altri articoli dal blog:

Corso Fer 2019

CORSO FER 2019 Per mantenere l’abilitazione FER, ovvero la possibilità di operare su impianti alimentati da Fonti di Energie Rinnovabili, i Responsabili Tecnici delle imprese termiche ed elettriche devono frequentare il corso di aggiornamento di 16 ore entro il 31 dicembre  2019. In mancanza di questa formazione obbligatoria, le imprese già abilitate ai sensi del Dm 37/2008 per l’attività […]

Leggi tutto
POLITICA SUI COOKIE

Per migliorare la tua navigazione su questo sito, utilizziamo cookies ed altre tecnologie che ci permettono di riconoscerti.
Utilizzando questo sito acconsenti agli utilizzi di cookies e delle altre tecnologie descritte nella nostra Cookies Policy.