X

Argomenti popolari

Incontri

Super giro di vite sulla privacy

Il 25 maggio è entrato in vigore nell'Unione europea il nuovo regolamento su come le imprese devono conservare i dati personali e rispettare la privacy. Quali sono le novità e quali conseguenze per la Svizzera? A colloquio con l'avv. Zulay Menotti, esperta di diritto comunitario.

29 maggio 2018

Zulay Menotti, avvocata ed esperta di diritto comunitario e angloamericano.


L'intervista

TESTO: DAVIDE MARTINONI - FOTO: MASSIMO PEDRAZZINI

Dal 25 maggio vengono applicate nei Paesi dell'Unione europea le norme del Regolamento 2016/679, detto GDPR, in materia di protezione delle persone fisiche riguardo al trattamento dei dati personali. Il GDPR fa parte del cosiddetto “pacchetto protezione dati” approvato nell'aprile del 2016 dal parlamento europeo. Ne abbiamo parlato con Zulay Menotti, avvocato europeo ed esperta  in materia. 

Avvocato Menotti, quali sono gli obiettivi del GDPR?
In generale, il Regolamento vuole dare agli stati membri dell'UE un quadro normativo armonico. Più in particolare, gli scopi sono essenzialmente tre: proteggere i dati personali, implementare l'economia digitale e rafforzare la fiducia delle persone in essa. Il GDPR non vuole essere uno strumento sanzionatorio, ma intende rafforzare la competitività delle imprese sul mercato, renderle aggiornate e pronte ad affrontare nuove sfide tecnologiche.

Cosa intende il legislatore europeo con “dati personali”?
Intende ogni informazione in base alla quale la persona sia identificata o identificabile attraverso una serie di elementi – nome, ubicazione, caratteristiche fisiche, psichiche, economiche, culturali e sociali – ma anche tramite identificativi online (indirizzi IP, cookies, tags di identificazione a radiofrequenza).

Sono previsti divieti?
Il Regolamento indica che la libera circolazione dei dati non dev'essere vietata o limitata in ragione della loro protezione, ma stabilisce che ciò deve avvenire nel più rigoroso rispetto di tutti i principi prescritti. Sono soggetti a GDPR i trattamenti di dati interamente o parzialmente automatizzati, inseriti in una banca dati o destinati a esserlo. Per contro, non vi sottostanno le attività di trattamento degli utenti sui social network, in quanto qualificate a carattere prettamente personale o domestico. È chiaro a tutti che talvolta, purtroppo, la diffusione di dati senza controllo nei social da parte dei privati può essere molto più lesiva e pericolosa rispetto al trattamento dei dati da parte di organizzazioni aziendali ben strutturate.



Parliamo allora di aziende o enti pubblici. In che modo devono cambiare il loro approccio al trattamento dei dati di tutte le nostre “individualità”?
Il legislatore europeo pretende innanzitutto che ogni comunicazione inerente al trattamento dei dati personali delle persone fisiche venga trasmessa in modo comprensibile e facilmente accessibile. V'è l'obbligo di un'informativa chiara e leggibile, senza formule oscure o arzigogolate, soprattutto a tutela delle categorie più vulnerabili, fra esse in particolare i minori. L'informativa riguarda temi come natura, finalità e contesto del trattamento dei dati, e deve indicare quali sono i flussi di dati in entrata, che saranno poi la base per il sistema di gestione del trattamento stesso. Il consenso dell'interessato – ogni persona fisica di cui sono trattati i dati – andrà inteso come manifestazione di volontà libera, informata, specifica e inequivocabile. Insomma, non devono esserci dubbi che la persona abbia prestato il proprio consenso a che i suoi dati siano oggetto di trattamento. L'importante, fondamentale è che il titolare, cioè l'azienda o l'ente, soggetto pubblico o privato, possa dimostrare che il consenso  è stato dato liberamente.

Prima non era esattamente così…
Infatti, c'è un “cambio di paradigma” rispetto alla normativa precedente. Ora, l'informativa rientra fra i diritti dell'interessato – è anzi il primo di essi – e non più fra i doveri del titolare, e deve indicare come esercitare tali diritti. A proposito del citatissimo “diritto all'oblio”, è possibile farne specifica richiesta. Riguarda un'eliminazione completa da link, motori di ricerca e da qualunque accesso a internet che riconduca a una persona. Quando l'interessato esercita uno dei diritti che gli sono riconosciuti, il titolare è tenuto a rispondere 
immediatamente.

Si fa quindi appello ad una 
maggiore responsabilità aziendale e istituzionale?
Il principio di responsabilizzazione, la cosiddetta accountability, è un concetto fondamentale. Stabilisce che il titolare del trattamento deve adottare meccanismi organizzativi specifici che gli permettano di dimostrare che ha fatto di tutto per proteggere i dati personali, oltre a essere costantemente conforme alle prescrizioni del regolamento: dalla progettazione del trattamento stesso 
e poi durante tutto il periodo in cui esso avviene. Parliamo di misure tecniche e di sicurezza non fissate specificamente, ma che il titolare può scegliere e applicare investendo in base alle proprie  possibilità.

Il discorso riguarda le grandi aziende, ma vale anche per le piccole e le medie…
Sì, per mantenersi a norma, esse possono investire in consulenti o in personale qualificato, e avvalersi di una serie di cautele suggerite dalla stessa normativa, come la “pseudonimizzazione” (una tecnica che tutela dati e informazioni sulle persone rendendoli incomprensibili se non abbinati ad un altro pacchetto di informazioni, ndr), la cifratura, la capacità di resistere ad attacchi incidentali o dolosi e quella di ripristinare immediatamente il funzionamento della propria rete.

E la Svizzera? In che modo l'onda lunga della normativa europea tocca il nostro Paese?
Nel 2019, infatti, cambierà anche la legge svizzera sulla protezione dei dati, che si adeguerà a quasi tutte le prescrizioni del GDPR, allo stesso modo in cui tanta normativa europea è già stata assimilata. 
Il GDPR fa comunque espresso riferimento anche alla Svizzera, laddove – tra i criteri di applicazione territoriale – disciplina i trattamenti effettuati da enti e aziende che, pur non essendo stabiliti sul territorio dell'Unione europea, trattano dati di persone che invece vi risiedono o che sottostanno al diritto dell'UE o di un suo stato membro. Va detto e sottolineato che già moltissime imprese elvetiche si sono mosse, hanno preso a cuore l'argomento e iniziato ad adeguare la propria organizzazione aziendale, anche formando chi è responsabile  del trattamento dei dati.

Facciamo l'esempio molto concreto delle “carte fedeltà”, che tracciano profili, gusti e orientamenti della clientela. In che modo sarà possibile evitare, anche in Svizzera, che il rapporto azienda-cliente sfoci nell'intrusione?
L'azienda verrà chiamata a verificare se l'informativa “vecchia” sia conforme a quella nuova. Se emerge che non tutte le precauzioni erano già state prese, ne divulgherà una nuova, richiederà il consenso e “resetterà” i trattamenti già in corso. Dal 2019 dovrà attenersi scrupolosamente alla nuova normativa elvetica e parallelamente vegliare affinché 
i clienti residenti in Paesi dell'Ue vengano adeguatamente informati.

---------

Zulay Menotti è avvocato iscritto all'ICAM (Ilustre Colegio de Abogadas de Madrid) e consulente legale e cultore della materia all'Università Cattolica di Milano in Istituzioni e storia del diritto romano. Collabora con la commissione di diritto processuale civile e scrive per piattaforme giuridiche. Sta dedicando lavori monografici a istituti di diritto dell'UE e di diritto angloamericano.