Il caso francese
Il Garante francese per la privacy ha condannato Google a pagare una multa di 50 milioni di euro, utilizzando per la prima volta in Francia le sanzioni massime previste dal Regolamento generale per la protezione dei dati, perché le finalità del trattamento dei dati, i periodi di conservazione e le categorie di dati personali utilizzati per la personalizzazione degli annunci, sono eccessivamente disseminate tra più documenti, con pulsanti e link sui quali è necessario cliccare per accedere a informazioni complementari. In sostanza
all’utente sono quindi richieste troppe azioni per sapere come vengono utilizzate le informazioni raccolte dalla multinazionale e per personalizzare alcuni servizi, tra cui anche il tracciamento Gps. Ma non solo: il Garante francese ha anche riscontrato che in alcuni casi all’utente non è chiaro che le condizioni che deve accettare non sono necessarie al funzionamento del dispositivo ma, al contrario, hanno interesse commerciale.
Cosa prevede il GDPR, General Data Protection Regulation
L’Unione Europea ha alzato gli standard richiesti facendo applicare (dal 25 maggio 2018) a tutti i Paesi facenti parte dell’UE il GDPR una nuova legislazione che cambia le regole per raccogliere, archiviare e usare le informazioni degli utenti e per poter mantenere i contatti esistenti, le aziende stanno informando del cambiamento e in alcuni casi di dare una nuova autorizzazione all’utilizzo dei dati.
A quali dati fa riferimento il GDPR
Il regolamento GDPR si applica a un’ampia gamma di dati personali tra cui nome, numeri di identificazione e ubicazione, nonché indirizzi IP, cookie e altre impronte digitali.
Chi deve rispettare la nuova Legge
L’ambito territoriale prevede che la nuova legge si applichi ai dati di tutti i cittadini europei e a tutte le società che trattano o gestiscono tali dati, a prescindere dal Paese in cui hanno la sede legale o in cui i dati vengono elaborati.
Il consenso al trattamento dei dati
Il consenso al trattamento dei dati deve essere libero, informato ed esplicito, poichè non sarà ammesso in alcun modo il consenso tacito o presunto. Novità per quanto riguarda i minori, il cui consenso sarà considerato valido a partire dai 16 anni, prima di quell’età il consenso deve essere espresso da un genitore o da chi ne fa le veci.
Il Responsabile della Protezione dei dati
Collegato all’ottenimento del consenso è l’introduzione del DPO, cioè del Data Protection Officer (in italiano Responsabile della Protezione dei Dati). Si tratta di una figura indipendente incaricata di assicurare una corretta gestione dei dati personali. Come è stato fatto notare, tuttavia, non è ancora bene chiaro cosa sia e che compiti abbia il DPO.
Quali le sanzioni
Chi infrangerà il GDPR (ad esempio con la mancata acquisizione del consenso) potrà arrivare ad avere multe fino al 4% del fatturato annuo o 20 milioni di euro.
Altri principi istituito dal GDPR
Il GDPR istituisce alcuni principi fondamentali molto discussi recentemente: il diritto all’oblio (gli utenti possono chiedere di rimuovere informazioni a proprio riguardo per sempre), la portabilità dei dati (si possono cioè scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un certo account) e l’obbligo di notifica in caso di data breach (le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo agli utenti di cui hanno i dati entro 72 ore).
