(Fotogramma)

Il conto alla rovescia è finito. E se – al netto delle notizie che negli ultimi mesi hanno avuto più risonanza mediatica, in primis lo scandalo Cambridge Analytica e l’uso che dei nostri dati personali fanno i social network come Facebook – la percezione del cambiamento è quasi inesistente tra i comuni cittadini, l’Europa delle aziende e delle pubbliche amministrazioni è in fermento per la rivoluzione del nuovo Regolamento sulla protezione dei dati personali.

Il giorno della svolta è domani: da quando, cioè, a dettar legge in tutti i Paesi membri sarà il nuovo principio di “responsabilizzazione” (il termine tecnico inglese è accountability) di chiunque effettui operazioni di trattamento dei dati personali altrui nell’ambito della propria attività. Niente di teorico, visto che per la prima volta il “tradimento” della suddetta responsabilità – con tutti i cavilli previsti dalla normativa – comporterà sanzioni fino a 20 milioni di euro per i singoli o fino al 4% del fatturato totale annuo per le imprese. E questo indipendentemente da dove si trova la sua sede legale: le multe, cioè, saranno indirizzate anche a chi lede la privacy dei cittadini europei con server posizionati Oltreoceano o nel lontanissimo Oriente. Una prassi comune fino a ieri, specie tra i colossi del web, per sgusciare facilmente tra le cause impugnando deboli legislazioni locali.

Il motto del nuovo Regolamento europeo, d’altronde, è “la persona al centro”. Col suo diritto sacrosanto – da difendere, rispettare e anche da imparare – alla privacy. L’utente deve innanzitutto essere informato «in modo semplice e chiaro» sulle finalità, le modalità e l’ambito dei trattamenti dei dati per cui presta consenso: un capitolo che ha costretto la quasi totalità delle aziende a riformulare questionari e newsletter di prassi, quando non a riformularli ex novo. Sempre lui, l’utente, può revocare in qualsiasi momento il proprio consenso, può fare richiesta di cancellazione dei propri dati qualora vengano utilizzati illecitamente (anche da motori di ricerca come Google), può presentare denuncia all'autorità nazionale se reputa che siano stati violati (e la stessa autorità deve rispondergli, entro tre mesi). E ancora: deve essere informato tempestivamente delle eventuali violazioni dei propri dati, per cui – anche questa una novità dirompente – ogni titolare del trattamento è tenuto ad adottare misure tecniche e organizzative che tutelino i principi di protezione dei dati (crittografia, controllo degli accessi, sorveglianza degli archivi...). A tal fine, d’altronde, è stata istituita la figura del “Dpo”, il responsabile della protezione dei dati, una figura esterna alla struttura dell’azienda che possiede esperienza e competenza nel campo della privacy e che deve occuparsi della applicazione della normativa: una sorta di “controllore” insomma, la cui consulenza diventa fondamentale in ogni ambito per evitare le sanzioni salatissime previste dal Regolamento.

Adeguarsi a tutte le nuove norme – compresa quella delicatissima della tutela della privacy dei minori, che per utilizzare servizi online d’ora in poi avranno bisogno dell’autorizzazione dei genitori fino ai 16 anni – è complicato, nonostante l’entrata in vigore del Regolamento sia stata annunciata la prima volta a fine 2015. Molti i Paesi membri in ritardo tra cui figura – anche se per una volta non fra le ultime posizioni – l’Italia. In particolare il nostro Paese, complice la situazione politica ancora incerta, paga lo scotto di non aver ancora adottato attraverso il voto del nuovo Parlamento le misure nazionali relative al Regolamento. In sostanza, cioè, manca il decreto attuativo che permette l’entrata in vigore ufficiale delle nuove norme e la sostituzione del vecchio Codice della privacy, datato 2003. E che dunque resta in vigore.

Mentre però le medie e grandi imprese – con centinaia di dipendenti, pc e smartphone aziendali, presenza di server, conservazione di banche dati, presenza di videosorveglianza – sono avvantaggiate nel mettersi in pari con le nuove norme, le situazioni più critiche riguardano le piccole realtà e in particolare i commercianti (che fino ad ora non avevano adottato particolari strategie di trattamento dei dati dei propri clienti) e il mondo della sanità, con la sua mole abnorme di dati sensibili da tutelare e diversificare e le incombenze pratiche quotidiane legate alla salute e alla vita dei pazienti. Esemplificativa la richiesta di chiarimento avanzata proprio qualche giorno fa dal Sindacato dei medici italiani (Smi) al Garante della Privacy «affinché vengano precisati alcuni nodi irrisolti» dell’applicazione del Regolamento: «Siamo medici, non burocrati» l’obiezione.