Forse più per coincidenza, che per lungimirante calcolo, quando l’anno scorso venne fissata la data per il convegno europeo sulla protezione dei dati personali, che si tiene ogni anno a Berlino, le probabilità che il nuovo regolamento europeo fosse stato già approvato erano ridotte. Invece non solo il regolamento è stato approvato, ma ciò è accaduto solo una settimana prima dello svolgimento del convegno.
Ecco i principali temi trattati, a cura dei più prestigiosi esperti del settore.
Nella prima giornata la relazione introduttiva è stata fatta da Giovanni Buttarelli, supervisore europeo per la protezione dei dati, che ha seguito da vicino tutto il complesso iter legislativo, iniziato nel 2012. Egli ha illustrato i temi principali del nuovo regolamento, dando successivamente la parola ad altri relatori, che hanno approfondito temi di un’estrema importanza.
Ad esempio, nella mattinata del primo giorno Julie Brill, già commissario della Federal Trade Commission negli Stati Uniti, ha toccato il tema dei rapporti tra l’Europa agli Stati Uniti, in tema di trasferimento di dati. Come i lettori ormai sanno, la corte europea ha fatto scadere il precedente accordo, chiamato safe harbor, ed è stato messo a punto un nuovo accordo, chiamato USA-EU privacy shield. Il documento è attualmente all’esame degli organi legislativi interessati e vi sono numerosi punti, che avranno bisogno certamente di un approfondimento.
Altri relatori hanno preso in esame la nuova formulazione della informativa e le nuove modalità di raccolta di consenso, che sono molto più incisive e analitiche, rispetto a modelli già oggi esistenti. Non per nulla, gli uffici legali delle più grandi aziende di social network del mondo erano presenti, e le loro relazioni hanno proprio affrontato questo tema, legato anche alle modalità di conservazione e cancellazione dei dati, cui il regolamento ha prestato grande attenzione.
Ormai famoso diritto all’oblio è stato affrontato da più relatori, che hanno messo a disposizione alcuni possibili schemi per il rispetto di questo fondamentale dettato del regolamento.
Neanche a dirlo, il cloud ha attirato l’attenzione sia dei relatori, sia dell’uditorio, perché è un contesto nel quale si incrociano e si sommano numerosi articoli del regolamento, anche se il regolamento non nomina una sola volta in tutto il testo la parola “cloud”.
Nel cloud si parla di trasferimento di dati personali, si parla di rapporti fra titolari e responsabili, si parla di modalità di custodia e cancellazione.
A questo proposito, giunge in soccorso dei responsabili del trattamento, che devono adottare efficienti protezioni dei dati, residenti nel cloud, un relatore, che ha fatto presente la esistenza della norma ISO/IEC 27018, che proprio fa riferimento alle modalità con le quali è possibile garantire una soddisfacente protezione dei dati personali residenti nel cloud. Oggi almeno tre o quattro grandi aziende mondiali, che offrono servizi di cloud, sono state già certificate secondo questa norma e rappresentano certamente un punto di riferimento attraente per molti titolari del trattamento.
Ricordo ai lettori che il nuovo regolamento prevede tre interventi di valutazione delle modalità di protezione dei dati personali che sono rispettivamente:
- protezione dei dati fin dalla progettazione,
- protezione dell’impostazione predefinita,
- valutazione d’impatto sulla protezione dei dati.
Si tratta di tre nuovi strumenti di valutazione della sicurezza del trattamento, in gran parte ignoti ai titolari del trattamento italiani, ma già noti in altri paesi. La messa a disposizione di alcuni schemi di riferimento ha rappresentato un preziosissima contributo per tutti i presenti.
Un altro tema di estremo interesse ha riguardato la progettazione di applicativi per smartphonee simili, realizzati nel pieno rispetto dei dettati del regolamento. È una sfida molto impegnativa alla quale si confida che gli specialisti di protezione dei dati ed di software potranno dare una risposta soddisfacente.
Grande attenzione è stata prestata alla crescita esponenziale di dispositivi che si connettono ad Internet ed in forma automatica o semi automatica, l’ormai famoso IoT- Internet of Tbings, che prevede che miliardi di dispositivi potranno essere collegati via Internet, trasmettendo dati personali, come ad esempio quelli provenienti da impianti medici e simili.
È un mondo ancora tutto da scoprire e per il quale indubbiamente nasceranno problemi non trascurabili.
Ampio spazio è stato anche dedicato all’illustrazione del profilo del responsabile della protezione dei dati personali. Questo soggetto, che in Germania era già presente, è figura affatto nuova in tutte le nazioni europee, con la sola eccezione delle istituzioni europee, nelle quali questo profilo era presente da tempo.
Si è parlato di competenze che questo soggetto deve avere, di responsabilità che deve avere, di stesura di tipologie contrattuali in grado di rispettare e tutelare le parti coinvolte e via dicendo.
Il pomeriggio della seconda giornata di sezione di sessione è stato dedicato a temi assai pratici. Ad esempio uno dei maggiori siti commerciali del mondo, eBay, ha illustrato come stia già attuando alcune disposizioni del regolamento, senza aspettare la sua entrata in vigore tra un paio d’anni.
Anche un rappresentante di una compagnia assicurativa ha messo in evidenza come i problemi che essa deve affrontare, soprattutto nella fase di offerta di informativa e raccolta del consenso, non siano trascurabili.
Si pensi ad esempio al caso in cui si debbano acquisire dati afferenti ad un sinistro, che vede coinvolto un assicurato, per rendersi conto della straordinaria quantità di dati che devono essere acquisiti, in relazione all’altra parte coinvolta del sinistro, ad eventuali risvolti di natura sanitaria, di varia gravità e via dicendo, per rendersi conto come il confine tra una completa e corretta informativa e raccolta di consenso e le esigenze operative delle compagnie sia oltremodo sfumato.
Sempre nel pomeriggio del secondo giorno, si è svolta una sessione parallela, nella quale sono state esaminate le regole in vigore per la protezione dei dati personali in vari paesi del mondo, ad esempio nella comunità economica asiatica, e nell’America Latina.
Due relatori specializzate hanno illustrato la posizione della Cina e della Russia su questi stessi temi. Apparentemente siamo ancora abbastanza lontani da una impostazione armonizzata a livello mondiale.
Tra l’altro, questa è la ragione per la quale da parte di alcuni intervenuti si è fatto presente che non è sufficiente che l’Europa abbia prodotto il suo regolamento, e che meglio sarebbe se invece venisse sviluppato un progetto sotto l’egida dell’Onu, che potrebbe garantire una uniformità di trattamento di dati personali in tutto il mondo. Non v’è dubbio che la proposta potrebbe essere assai attraente, a condizione però che l’Onu abbia le risorse per affrontare un tema che solo in Europa ha richiesto un impegno legislativo nell’arco di due anni e mezzo.