Data protection. Luigi Gambardella (ETNO) scrive a Viviane Reding: ‘Evitare obblighi che minerebbero lo sviluppo del settore’

Questa settimana, la Commissione europea toglierà il velo alle nuove regole a tutela dei dati personali, che andranno a modificare Direttiva sulla privacy, risalente al 1995 e che necessita una serie di aggiustamenti per meglio rispondere alle esigenze dell’era digitale. Le proposte, contenute in un regolamento e una direttiva, imporranno un insieme unico di standard che si applicherà per la prima volta a tutti i 27 paesi, sovrapponendosi a un patchwork di leggi nazionali spesso divergenti. Il Commissario Viviane Reding ha condotto una lunga mediazione, che potrebbe portare a diverse limature della proposta originale: in particolare, potrebbe essere rivisto l’impianto sanzionatorio per ridurre a un massimo del 2% del fatturato - dal 5% inizialmente previsto - la multa alle aziende inadempienti, (Leggi articolo Key4biz).

Le nuove norme riguardino

Sebbene le nuove norme riguardino, in particolare, compagnie come Google o Facebook, che memorizzano grandi quantità di dati personali, esse introducono importanti novità – quali la creazione, da parte di aziende e uffici, della figura del Data Protection Officer – e avranno impatto su qualunque azienda mantenga dei database che includano informazioni personali quali dati dei clienti, directory delle risorse umane, o qualsiasi altra informazione. Anche le telco, quindi, dovranno rispettarle.

Gli aspetti che maggiormente sollevano

Tra gli aspetti che maggiormente sollevano i dubbi dell’industria, sottolinea anche il Financial Times, rientra in particolare la tematica del ‘consenso’: la Commissione vorrebbe infatti garantire che i consumatori possano dare il consenso esplicito prima che i loro dati vengono utilizzati. E i consumatori, sempre in base alla bozza Ue, dovrebbero avere il diritto di cancellare i loro dati in qualsiasi momento, soprattutto i dati da loro stessi postati su Internet, in base al sacrosanto ‘diritto all’oblio’, com’è stato battezzato. In vista di queste importanti novità, il presidente del Comitato esecutivo di ETNO, Luigi Gambardella, ha quindi scritto al Commissario Viviane Reding per esprimere soddisfazione riguardo la volontà dell’esecutivo di mantenere gli alti standard europei in fatto di protezione dei dati personali e di assicurare, allo stesso tempo, una migliore armonizzazione e il raggiungimento di un mercato interno pienamente operativo. “La revisione in corso – scrive Gambardella – rappresenta un’opportunità unica per sviluppare regole sulla protezione dei dati che siano tecnologicamente neutrali, a prova di futuro e abbastanza flessibili da permettere lo sviluppo di nuovi servizi”. Proprio perché si tratta di un’importante cambiamento, Gambardella ha evidenziato al Commissario alcuni degli elementi più rilevanti per i player europei:“Nell’era del cloud computing, applaudiamo all’impegno di voler rendere l’Europa ‘cloud-friendly’ e ‘cloud-active’”, afferma Gambardella, puntualizzando però che “la semplice estensione degli obblighi del controllore alle entità che elaborano i dati minerebbe lo sviluppo e l’utilizzo dei servizi cloud, principalmente da parte delle piccole e medie imprese”. Secondo Gambardella, i ruoli di controllore ed elaboratore di dati dovrebbero essere semplificati e differenziati gli uni dagli altri.

I dati lo fa per conto del controllore

Chi elabora i dati lo fa per conto del controllore, che rimane in ultima analisi, responsabile nei confronti del titolare dei dati. “Si noti – sottolinea - che in ambiente B2B, le clausole di responsabilità sono chiaramente definite negli accordi sul livello di servizio”. Il presidente del board di ETNO, quindi, sottolinea la necessità di evitare nuovi obblighi amministrativi sui fornitori di servizi cloud – che sono principalmente coloro che elaborano i dati – perchè questo avrebbe un effetto negativo sul successo del Cloud Computing in Europa. “Data l'importanza della dimensione economica della protezione dei dati, le norme proposte non devono soffocare l'innovazione in Europa”. Gambardella si riferisce, in particolare, alle regole sul ‘consenso’, ossia al fatto che gli utenti devono dare il loro consenso prima che le informazioni possano essere utilizzate. Le norme in materia di consenso devono essere consumer-friendly, applicabili e adatte al mondo online, “ma crediamo – sottolinea Gambardella – che richiedere il consenso esplicito ostacoli lo sviluppo di servizi e prodotti innovativi”.

Un meccanismo sistematico

Molto più efficaci di un meccanismo sistematico che richieda il consenso dell'utente, sono principi come la trasparenza, l'informazione, il controllo e la responsabilità. “Questi principi dovrebbero essere la pietra angolare di una nuova architettura che tutelerebbe meglio i consumatori nell’ambiente online senza compromettere l'innovazione” spiega ancora Gambardella. In conclusione della sua lettera alla Reding, Gambardella chiede l’eliminazione di qualsiasi “sovrapposizione” o “contraddizione” tra il futuro regolamento sulla protezione dei dati e l’attuale direttiva ePrivacy, così da “raggiungere la piena neutralità della tecnologia e del settore e una user experience coerente”. “Il futuro regolamento dovrebbe revocare le disposizioni della direttiva ePrivacy che sarebbero coperto da entrambi gli strumenti legislativi, ad esempio l'uso dei dati di localizzazione”, conclude Gambardella. Le due principali associazioni europee di settore – ETNO e GSMA – hanno anche redatto una posizione comune in cui si plaude alla decisione di scegliere lo strumento giuridico del ‘regolamento’, che permetterà di raggiungere la piena armonizzazione, di tutelare i consumatori e di dare slancio a un settore molto importante per l’economia europea, ma si sottolineano anche alcune aree fonte di ‘preoccupazione’. Tra queste, il pericolo che le aziende siano gravate da nuovi costi senza necessariamente riuscire a giungere a un maggiore livello di protezione delle informazioni. Anche la previsione di sanzioni fino al 5% del fatturato è definita ‘sproporzionata’.

La Reding sia stata costretta

Pare però che la Reding sia stata costretta a cedere su questo punto, lasciando agli Stati membri la facoltà di definire l’impianto sanzionatorio, anche per via del pressing del Dipartimento Usa per il Commercio, essendo, queste nuove regole, concepite anche per le aziende americane che trattano dati di cittadini europei. Il Chief Operating Officer per l’Europa di Microsoft, Ron Zink, ha espresso al Financial Times la preoccupazione sul fatto che “queste proposte potrebbero rivelarsi eccessivamente prescrittive”.

(23 gennaio 2012)

© 2002-2012 Key4biz