Commissione Ue e Garante: bilanci e prospettive sul futuro della privacy

Nel mese di giugno sono usciti due interessanti documenti rispetto l’analisi del processo di adeguamento alle prescrizioni del GDPR svolto sia da parte di tutti gli stati membri ad opera della Commissione Europea, sia da parte del Garante per quanto riguarda l’attività effettuata su base nazionale.

Di seguito, cercheremo di analizzarne i contenuti in relazione agli aspetti riguardanti le aziende.

Opportunità e sfide per le organizzazioni e per le piccole e medie imprese

La Commissione afferma che le aziende “vedono sempre più spesso un vantaggio competitivo in una rigorosa protezione dei dati” e che le autorità di protezione dei dati in UE hanno aiutato le PMI a conformarsi al GDPR fornendo modelli per l'elaborazione di contratti, per attività di elaborazione dati, istituendo seminari e appositi canali per la consultazione.

Il Garante a partire dall’impatto e dal vantaggio economico che il possesso di una ingente mole di dati possa avere su chi lo detenga, non ha potuto prescindere dall’approfondire gli aspetti relativi al telemarketing effettuato dalle aziende e dalla raccolta e trattamento dati online per finalità di marketing e profilazione per quanto riguarda la sicurezza e la trasparenza delle operazioni.

Mercati data driven, IA e progresso tecnologico

Sul tema la Commissione ha annunciato l'intenzione di consentire l'uso dei dati contenuti nelle banche dati pubbliche con spazi dati supportati da un cloud europeo e, sempre in tema di raccolta e gestione dei dati, non è sfuggita l’opportunità di utilizzarli da parte delle aziende per creare soluzioni di mercato data driven, a patto che i processi di trattamento vengano normati e affinché si possano creare delle strategie globali di protezione degli stessi.

Sul tema al Garante non sono sfuggite le implicazioni etiche della tecnologia, i big data, l'intelligenza artificiale e le connesse problematiche poste dagli algoritmi e dalla monetizzazione delle informazioni personali.

Trasferimento dei dati

Commissione e Garante hanno sottolineato l’importanza che meccanismi di trasferimento condivisi tra stati intra ed extra UE possano rivestire su economie data driven anche per definire strategie di sicurezza comune in tema di trasferibilità dei dati degli interessati.

Le autorità sono concordi nell’intenzione di ammodernare nuovi meccanismi di trasferimento, implementando clausole contrattuali tipo, l’uso della certificazione e di codici di condotta.

Da un lato, l'impegno internazionale della Commissione a favore di trasferimenti liberi e sicuri di dati ha prodotto importanti risultati (da ultimi, l’accordo con il Giappone e la terza revisione del Privacy Shield  con gli Stati Uniti), dall’altro, anche il Garante nella propria relazione si è concentrato sulla necessità di rafforzare procedimenti condivisi in vista della Brexit e ha sottolineato la produzione di Binding corporate rules vincolanti ad opera dell’Autorità del Regno Unito e dell’Autorità belga.

Diritti dell’interessato e portabilità dei dati

Tra le principali conclusioni del riesame si è sottolineato che saranno da predisporre interventi per rafforzare l’esercizio dei diritti, in particolare quello alla portabilità. Il diritto alla portabilità, infatti, unito a un numero crescente di persone alla ricerca di soluzioni più rispettose della privacy, offre il potenziale per ridurre le barriere all'ingresso delle imprese e aprire le possibilità di crescita basate sulla fiducia e sull'innovazione.

Anche il Garante si è espresso sul tema portabilità, al fine di favorire lo sviluppo di nuovi servizi necessari a garantire il pluralismo, la competitività̀ del mercato unico digitale e la libertà d’iniziativa economica e d’impresa.

Procedure di cooperazione ed armonizzazione tra le Autorità per le PMI

La commissione si è espressa sull’importanza della collaborazione e cooperazione tra i Garanti nazionali suggerendo di armonizzare le procedure per lo sportello unico in materia di protezione dei dati: questo sistema prevede che un’impresa che procede al trattamento transfrontaliero di dati abbia come interlocutore un’unica autorità per la protezione dei dati, ossia l’autorità dello Stato membro in cui si trova il suo stabilimento principale; anche il Garante ha sottolineato come sia necessario procedere ad una condivisione di modalità operative per diffondere a livello capillare aziendale la cultura della privacy ed attuare meccanismi operativi efficaci.

Le autorità hanno concluso sul fatto che molto è stato attuato in tema di sensibilizzazione alla privacy in azienda, che resta un elemento strategico l’applicazione del principio della privacy by design e by default, che è necessario implementare misure di sicurezza ed organizzative aziendali adeguate, e che, in una prospettiva futura, sarà sempre più necessaria una cooperazione tra stati membri al fine di unificare le procedure di trasferimento dei dati e per rafforzare i meccanismi di tutela effettiva delle PMI e degli interessati (sia che siano dipendenti che consumatori).