Non finiscono i problemi di Facebook con l’Ue in seguito agli scandali sulla condivisione non autorizzata dei dati degli utenti europei che si sono susseguiti nelle ultime settimane. Con una sentenza, che potrebbe mettere fuori gioco gli strumenti giuridici utilizzati dalle società tecnologiche statunitensi per trasferire i dati degli utenti dell’Ue negli Stati Uniti, l’Alta Corte irlandese ha rifiutato il 2 maggio la richiesta del gigante californiano di non inviare al più alto tribunale europeo di un caso “decisivo” in materia di privacy.

Apple sostiene da tempo di avere a cuore la privacy dei suoi utenti. In parte questo accade per il modello di business (che prevede la vendita di prodotti e servizi e non la monetizzazione degli utenti trattandone i dati con soggetti terzi, come fanno ad esempio Facebook e Google) e in parte per scelta consapevole del suo fondatore Steve Jobs ma soprattutto del Ceo Tim Cook, che guida l'azienda dall'agosto del 2011 e che ha più volte manifestato l'intenzione di proteggere le informazioni dei suoi clienti anche in situazioni complesse, come il caso dell'iPhone bloccato di uno degli attentatori di San Bernardino, che l'FBI aveva chiesto di modificare per poter essere sbloccato (Apple ha rifiutato più volte e poi la FBI ha proceduto con altri mezzi a raccogliere le informazioni ).

Secondo i garanti europei, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione.

Dolo significa volontà, intenzionalità della condotta. Il dolo si può desumere da alcune circostanze esterne. Tra le circostanze indicanti il carattere doloso di una violazione, i garanti europei (WP29) hanno inserito il trattamento illecito autorizzato esplicitamente dall'alta dirigenza del titolare del trattamento oppure effettuato nonostante i pareri del responsabile della protezione dei dati o ignorando le politiche esistenti, per esempio ottenendo e trattando dati relativi ai dipendenti di un concorrente con l'intento di screditare tale concorrente sul mercato.

Il Garante italiano ha chiarito che l'attribuzione delle funzioni di responsabile della protezione dei dati al responsabile per la prevenzione della corruzione e per la trasparenza, considerata la molteplicità degli adempimenti che incombono su tale figura, potrebbe rischiare di creare un cumulo di impegni tali da incidere negativamente sull'effettività dello svolgimento dei compiti che il Regolamento europeo 2016/679 attribuisce al responsabile della protezione dei dati.

Nelle linee guida dei garanti europei (WP29) si danno queste indicazioni operative. Il titolare del trattamento potrebbe seguire questi passaggi. In primo luogo chiede all'utente di dichiarare se sono minori di 16 anni (o età inferiore a quella prevista dai singoli stati per il consenso digitale; se l'utente dichiara al sua minore età la piattaforma informa che è necessario il consenso del genitore.

Nuova, ben pagata, necessaria e in fortissima crescita. È il Data protection officer, una figura che cresce in maniera esponenziale nel Bel Paese, conosciuta nel mondo anglosassone come lo Chief privacy officer (Cpo). E in vista dell'entrata in vigore del decreto europeo del 25 maggio la Privacy della penisola è destinata a cambiare pelle, in un crescendo di assunzioni per il famigerato Dpo. Già lo scorso ottobre l'Osservatorio di FederPrivacy annunciava un fabbisogno di circa 45 mila responsabili dei dati da assumere, con previsioni che sono diventate molto lusinghiere in Italia.

Alla pubblica amministrazione non serve il consenso per trattare i dati. Ma la nomina del responsabile della protezione dei dati è d'obbligo sempre. E per la valutazione di impatto privacy i casi in cui un ente pubblico non è tenuto si conteranno sulle dita di una mano. Il conto alla rovescia per l'adeguamento al Regolamento generale Ue sulla protezione dei dati n. 2016/679 (Gdpr), operativo dal 25 maggio 2018, è cominciato anche per le pubbliche amministrazioni.

Più facile per le pmi la valutazione di impatto privacy (nota anche come Dpia, data protection impact assessment), prevista dall'articolo 35 del Regolamento Ue sulla protezione dei dati n. 2016/679, operativo dal 25 maggio 2018. Il garante della privacy ha collaborato con l'omologa autorità francese (Cnil) e ha inserito sul suo sito (www.garanteprivacy.it) il collegamento al software gratuito e liberamente scaricabile.

E' in onda in questi giorni sui canali radio e TV della Rai lo spot sul nuovo Regolamento europeo intitolato "La protezione dei dati è un diritto di libertà". Il video, realizzato "in house" dal Garante per la privacy e trasmesso negli spazi radiotelevisivi dedicati alla comunicazione istituzionale, intende presentare al grande pubblico le principali novità introdotte dalla nuova normativa europea in materia di protezione dei dati personali.