Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

La scadenza è vicina, adempimenti e regole in alto mare

Privacy e sicurezza - Manlio Cammarata - 26 maggio 2018

La scadenza è inderogabile: il Regolamento UE 2016/679, (General Data Protection Regulation) deve essere applicato dal prossimo 25 maggio. Troppi titolari non sono pronti, ma in Italia sono in grave ritardo anche le istituzioni.

Diverse ricerche indicano che molti titolari di trattamenti di dati personali (enti pubblici, aziende, professionisti) non sono pronti ad adeguarsi alle nuove disposizioni entro il 25 maggio. Sembra addirittura che molti non siano ancora al corrente dei nuovi obblighi. Considerando la complessità degli adempimenti, la situazione è grave.
Ma ancora più gravi sono i ritardi da parte delle istituzioni – Parlamento, Governo, Garante – nell'emanazione delle disposizioni che devono disciplinare il cambiamento.

Ci si mette anche l'Unione europea. Manca all'appello un pezzo essenziale della normativa, il regolamento sul rispetto della vita privata e la tutela dei dati personali nelle comunicazioni elettroniche (il cosiddetto "regolamento e-privacy"), che dovrebbe costituire il completamento del GDPR. Era previsto che fosse applicabile dal 25 maggio 2018, insieme al regolamento generale, ma è ancora in alto mare; da Bruxelles si apprende che non sarà pubblicato prima dell'estate.

La causa del ritardo è chiara: l'opposizione delle lobby degli Over The Top, che con le disposizioni previste dall'ultima bozza ufficiale (che risale al lontano 10 gennaio 2017!) vedrebbero limitata in misura sensibile la loro libertà di fare man bassa di dati personali e violare su larga scala, come fanno oggi, la vita privata degli utenti.

Tutto questo si traduce in una prospettiva di grande confusione: il 25 maggio saranno operative tutte le disposizioni del GDPR, ma per la parte delle comunicazioni elettroniche  resteranno in vigore le norme della direttiva 2002/58/CE, fondata sulla disciplina della direttiva del 1995, attuata in Italia nel decreto legislativo 196/03, il cosiddetto "codice privacy". Disciplina profondamente cambiata dal GDPR.

L'aggiornamento del Codice privacy è il secondo problema. Il Parlamento è intervenuto con grande ritardo, approvando solo il  25 ottobre 2017 la delega al Governo per la revisione del testo (art. 13 della legge 25 ottobre 2017, n. 163). Questo dovrebbe essere emanato entro il 21 maggio, appena quattro giorni prima del 25!.
Ma... il recepimento potrebbe non essere completo. Recita infatti il comma 3:

d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell'ambito e per le finalità previsti dal regolamento (UE) 2016/679.

Nel frattempo, per aumentare la confusione, sono stati emanati provvedimenti estemporanei e scoordinati, che rendono sempre più complicato il passaggio al regime del GDPR (vedi l'articolo di Andrea Monti).

Tutto  qui? No, perché entro il 9 maggio deve essere recepita la "direttiva NIS"  2016/11482 (Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione), che "interseca" il GDPR: 16 giorni per mettersi in regola, in particolare per i fornitori di servizi di telecomunicazioni (vedi Sicurezza: dalle misure "minime" alle misure "adeguate" di Andrea Gelpi).

Infine c'è il Garante per la protezione dei dati personali. Ma su questo punto lasciamo la parola a Paolo Ricchiuto,  Regolamento Europeo: ritardi e cose da fare. Subito!, che stila anche una dettagliata To Do List (in italiano... la lista della spesa) sugli adempimenti essenziali a carico dei titolari dei trattamenti.

Ma il quadro non è completo senza un accenno al moltiplicarsi di iniziative di consulenza e formazione che destano non poche perplessità. Personaggi di discutibile competenza che si autopromuovono come consulenti, formatori o addirittura responsabili della protezione dei dati (Data Protection Officer, DPO). Ruolo delicatissimo, che richiede competenze che non si acquistano con un corso di poche settimane

Per non parlare di siti web che si presentano come "guide" all'applicazione del GDPR e si aprono così: "A partire dal 25 maggior 2018 entrerà in vigore il nuovo regolamento europeo sulla protezione dei dati e della privacy. Questo documento andrà ad integrare l’attuale Codice della Privacy italiano".

Peccato che: a) un testo normativo "entra in vigore il..." e non "da" (dalla data stabilita il testo "è" in vigore); b) in ogni caso, il GDPR è in vigore dal 24 maggio 2016; c) il Regolamento non è "sulla protezione della privacy"; d) non è un "documento", ma un testo normativo; e) non "andrà a integrare l'attuale codice", perché è vero il contrario: ciò che resterà del Codice andrà a integrare il regolamento europeo.

E non abbiamo ancora incominciato.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy