Privacy: la riforma della UE e il “do not track” standard

Riforma Privacy in EuropaGià nel novembre del 2010 l’Europa si era posta il problema della protezione dei dati personali, e in una comunicazione definiva la strategia e gli obiettivi di una riforma radicale della privacy.
La direttiva in materia di privacy del 1995, infatti, risale ad un periodo nel quale l’uso della rete non era così diffuso e pervasivo, da cui l’esigenza di affrontare e risolvere le problematiche sorte a seguito della proliferazione di social network e servizi transnazionali che macinano quotidianamente quantità enormi di dati personali, con le correlate difficoltà per gli utenti di comprendere esattamente quali diritti hanno e a quali legislazioni fare riferimento.

Il 25 gennaio la Commissione europea ha, quindi, annunciato la proposta di riforma che dovrebbe vedere la luce, sotto forma di direttiva, entro il giugno del 2012. L’intenzione è quella di realizzare una normativa che sappia contemperare equamente le esigenze delle parti in causa, quindi da una parte dovrà essere meno dispendiosa per i governi e le imprese, dall’altra dovrà essere in grado di garantire maggiore protezione per gli utenti.

Gli obiettivi che si intendono raggiungere sono vari. Innanzitutto la Commissione europea vuole rafforzare i diritti delle persone, in modo che la raccolta e l’uso dei dati personali sia limitato al minimo necessario. Per raggiungere questo risultato si intende promuovere la trasparenza, cioè gli utenti devono essere correttamente e compiutamente informati sui dati raccolti, sul loro uso e sui tempi di utilizzo, in modo che il consenso sia davvero informato. La proposta di riforma prevede, infatti, la necessità di un consenso esplicito da parte del cittadino, prima che le aziende trattino i loro dati, e in linea di massima i dati dovrebbero essere privati per impostazione predefinita. La riforma, inoltre, si ispira ad un principio di correttezza, nel senso che i cittadini non devono essere costretti a condividere i loro dati, ed infine si intende aumentare il controllo dell’utente sui dati, in modo che egli possa decidere in maniera semplice ed efficace cosa condividere.

L’intenzione è quindi di limitare i modelli di business invadenti, così garantendo un livello di protezione maggiore in modo da consentire a tutti i cittadini europei di cogliere le opportunità offerte dalle nuove tecnologie, spazzando i timori di rischi per la propria privacy.
In tal senso verrebbe regolamentato il diritto all’oblio, inteso come il diritto che ogni utente ha alla cancellazione dei propri dati nel momento in cui non sussistano più ragioni legittime per mantenerli e l’utente ne richieda l’eliminazione. Non si tratterebbe, però, di creare un nuovo diritto che potrebbe portare ad una possibile “riscrittura” del passato, obbligando all’eliminazione delle notizie imbarazzanti, essendo necessario l’equo contemperamento con le esigenze della cronaca giornalistica.
Tale regolamentazione potrebbe, però, creare problemi a fornitori di servizi online (alcuni social network) che notoriamente non cancellano dati degli utenti a seguito di richiesta in tal senso da parte dell’utente, ma si limitano a segnarli per renderli invisibili, mantenendoli però sui server.

La riforma ovviamente dovrà essere improntata alla chiarezza, alla semplificazione e alla flessibilità. L’intento è di realizzare norme chiare e semplici, facili da comprendere ed attuare, che non diano adito a differenti interpretazioni, in modo che gli operatori del settore non dovranno realizzare procedure alternative per evitare “minacce” di denunce, ma potranno servirsi delle procedure standard. Ovviamente si rende necessario anche ridurre gli oneri amministrativi e burocratici, eliminando quelli inutili per le imprese, tenendo conto della praticabilità delle soluzioni da implementare, con procedure e sanzioni proporzionate alle circostanze evitando effetti intimidatori. Le nuove regole ridurranno gli obblighi delle imprese, in particolar modo quelli di notifica alle autorità nazionali di protezione dei dati, nel contempo però verranno introdotti maggiori obblighi in caso di violazione delle norme sul trattamento e perdite dei dati, come quello di informare le autorità entro termini temporali ristretti, preferibilmente 24 ore. Inoltre, il responsabile risponderà comunque dell’uso illecito dei dati.
Secondo la UE la semplificazione degli oneri dovrebbe portare ad un risparmio di circa 2 miliardi di euro per le aziende.

La standardizzazione delle procedure, requisito essenziale della riforma, eliminando le differenze tra le varie legislazioni potrà finalmente portare ad una armonizzazione delle norme e quindi alla realizzazione del mercato unico digitale che sarà di beneficio per tutti. L’intento è di realizzare norme uguali per tutti gli Stati in modo da eliminare le incertezza applicative da parte delle imprese e i dubbi degli utenti sui loro diritti.
In tale prospettiva si prevede un rafforzamento dei poteri di controllo della autorità deputate alla protezione dei dati, migliorandone la cooperazione e il coordinamento. Con la semplificazione le imprese avranno a che fare solo con le autorità di protezione del loro paese di origine, piuttosto che con le autorità di ogni Stato dove operano. Questo, però, vorrebbe dire che i reclami di un cittadino di uno Stato europeo saranno gestiti dall’autorità del paese dove è stanziato il provider, così alimentando l’immagine di una Unione europea burocratica e lontana dai cittadini.
Sarà promossa la realizzazione di elevati standard di interoperabilità tra le varie piattaforme, in modo che il cittadino possa passare facilmente da un concorrente all’altro (diritto alla portabilità dei dati), portandosi dietro i propri dati (ad esempio i contatti di un social network), così incentivando la concorrenza tra le aziende.

Le norme dovranno necessariamente essere flessibili, cioè in grado di adattarsi a tutti gli Stati e tutte le legislazioni, e non solo UE. Infatti, si applicheranno anche alle aziende che effettuano il trattamento di dati fuori dall’Europa, se servono il mercato UE. In particolare l’intento è di garantire un livello di protezione adeguato anche per i dati eventualmente trasferiti al di fuori dalla UE, regolando le procedure di trasferimento dei dati attraverso trattati di cooperazione con i paesi extra UE, in modo che il cittadino europeo possa usufruire dello stesso grado di protezione senza doversi preoccupare della destinazione finale dei dati. È il caso di molti fornitori di servizi online (social network ad esempio) con sede negli Usa, che effettuano il trattamento dei dati direttamente sui server negli Usa, quindi applicando una normativa meno restrittiva rispetto a quella europea.

All’interno della riforma si segnala l’iniziativa del commissario all’agenda digitale, Neelie Kroes, relativa al’implementazione del do-not-track standard (DNT), una standard globale che descrive i dettagli tecnici per l’implementazione di un “segnale” che gli utenti possono attivare per comunicare ai fornitori di servizi online le loro preferenze per quanto riguarda il monitoraggio di determinate attività. Tale DNT porterebbe maggiore semplificazione sia per i provider che per gli utenti, e nel contempo sarebbe un segnale visibile dell’affidabilità dell’azienda medesima in materia di privacy.

Ovviamente la riforma considera la necessità di conciliare la protezione della privacy con la libertà di espressione nel web, laddove spetterà ai singoli paesi definire le esenzioni alle regole sulla privacy, tramite regole che si applicheranno alla stampa e ai media.