Cancellazione sicura: la regola per la nuova Privacy dei dati in Europa

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento sulla protezione e la libera circolazione dei dati personali. Si applicherà a partire dal 25 maggio 2018 a tutti gli Stati Membri dell’Unione Europea e in Italia sostituirà il D.Lgs 196 del 2003. Ne parliamo con Gabriele Faggioli, legale e presidente del Clusit (Associazione Italiana per la Sicurezza Informatica), Adjunct Professor del MIP-Politecnico di Milano e membro del Gruppo di esperti sui contratti di Cloud Computing della Commissione Europea.

Professor Faggioli qual è la novità più rilevate?

Sicuramente il fatto di  essere passati da una normativa costruita intorno a un elenco di adempimenti, e sanzioni in caso di inottemperanza, a un nuovo sistema più articolato e bilanciato, che definisce i concetti intorno ai quali deve ruotare il trattamento della privacy. Penso al concetto di tracciabilità e dimostrabilità delle scelte effettuate o documentabilità e alla possibilità di certificare  le modalità di adempimento al Regolamento. Intorno a questo sistema - che disegna una politica generale di sicurezza dei dati - ruotano importanti nuove regole, per esempio sull’analisi dei rischi, sulla valutazione di impatto, sulla trasparenza, sul diritto alla portabilità dei dati o sull’oblio e molto altro. È un deciso salto di qualità normativo.

Anche il profilo sanzionatorio cambierà?

Sì, questa parte occupa un posto di rilievo: la sanzione per mancata compliance normativa è destinata a salire notevolmente. Fino al 4% del fatturato annuo mondiale dell'azienda inadempiente. Ma dobbiamo attendere di vedere cosa decideranno i legislatori nazionali.

A che punto siamo In Italia?

Il Regolamento entrerà in vigore alla fine di maggio del 2018 e c’è molto tempo per prepararsi. Su alcuni temi, comunque, alcune grandi aziende o singoli settori hanno  già adottato regole simili a quelle che entreranno in vigore. Per loro il passaggio sarà più semplice. In ambito sanitario, per esempio, con riferimento al dossier è già oggi obbligatoria la segnalazione della violazione dei dati personali. Lo stesso accade per il data breach nel settore delle TLC dopo il D.Lgs 69/2012. La banche hanno regole simili, ma non sono obbligatorie (la segnalazione dei data breach in ambito bancario è infatti norma di moral suasion). E si può dire che anche per quanto riguarda l’istituzione della figura del DPO (Data Protection Officier) esistono già buone prassi in molte grandi aziende. Con il nuovo Regolamento tutte queste differenze verranno meno perché sarà richiesto a tutti lo stesso livello di adeguamento alla normativa sul trattamento della privacy.

Il Regolamento prevede norme specifiche per il Cloud?

No. Non esiste un corpo specifico di norme, ma impatterà comunque moltissimo. Tuttavia la nozione di “portabilità dei dati” è una novità assoluta che avrà notevoli conseguenze nelle relazioni contrattuali coi cloud provider. Lo stesso si può dire rispetto ai compiti del DPO. Il Regolamento imporrà ai fornitori di essere molto più trasparenti verso i clienti.

Che cosa cambierà per chi vorrà cambiare fornitori?

Oggi la contrattualistica di molti servizi IT, per esempio nell’ambito del Cloud, è pesantemente sbilanciata a favore dei provider. Cambiare fornitore è difficile e vincolante: c’è un lock-in molto forte. Con il Regolamento europeo dovrà essere garantita la portabilità dei dati: i clienti guadagneranno forza contrattuale e libertà. Le stesse regole sulla responsabilità del trattamento dei dati saranno più stringenti e approfondite e questo favorirà ulteriormente i clienti.

Che cosa accadrà ai loro dati personali?

Già oggi si prevede la cancellazione: la normativa attuale impedisce che i dati di clienti che erano parte di un contratto possano restare presso un ex fornitore. Il Regolamento sarà più stringente e chiederà che la cancellazione dei dati sia anche “sicura”, ovvero garantisca che il dato non possa più essere recuperato in alcun modo. Il provvedimento legislativo, in altre parole, darà maggior forza a questo tipo di azione e di procedura: occorrerà dimostrare che la cancellazione sia definitiva. Ogni procedimento che non lo certificherà potrà essere considerato illegittimo.

Questo richiederà servizi professionali, come quelli di Ontrack: siamo preparati in Italia dal punto di vista tecnologico?

In generale abbiamo a disposizione buone prassi e ottimi servizi. Penso, a ogni modo, che la domanda di servizi professionali crescerà. Tutti i servizi legati alla sicurezza informatica avranno un notevole sviluppo in futuro: è un tema sempre più di attualità. La spinta normativa porterà sicuramente verso questa direzione. Un’indicazione ancora più puntuale si potrà comunque avere quando verranno pubblicati gli schemi di certificazione. Le metodologie sulla cancellazione sicura delle informazioni saranno sicuramente prese in considerazione e regolate: diventeranno un capitolo importante per il rispetto della privacy.

Il nuovo Regolamento si applicherà a tutti?

Sì, è una regola erga omnes. 

È confidente sull’impegno dell’Italia verso l’attuazione del nuovo Regolamento?

Sì, l’autorità italiana si è spesa molto perché il Regolamento venisse approvato: ha tutto l’interesse a procedere più speditamente possibile. Con Giovanni Buttarelli come Garante europeo della protezione dei dati ritengo che l’Italia non dovrebbe destare particolari sorprese, anzi sarà in prima fila verso l’innovazione in questo ambito.