Privacy, le regole europee

Se ne parla da molti mesi e tra pochi giorni, esattamente il 25 maggio, a meno di proroghe sempre possibili, diventerà realtà. Si tratta di un acronimo – Gdpr ovvero General data protection regulation – che diventerà familiare oltre che alle aziende dell’Unione europea (Ue) anche a quelle svizzere che hanno accesso e conservano dati della clientela che risiede nel territorio Ue. In pratica tutte le aziende, non solo quelle che operano nella cosiddetta economia digitale, dovranno mettere in atto le norme previste dal Gdpr per la tutela dei dati personali dei loro clienti. Passato un termine di sei mesi dall’entrata in vigore durante il quale si sarà in un regime di tolleranza, per chi non adempierà ai requisiti richiesti potranno scattare sanzioni fino a 20 milioni di euro (24 milioni di franchi) o del 4% sui ricavi annui. Insomma, non si tratta certo di noccioline.

Per prima cosa bisogna sapere cosa è un regolamento europeo. Non è nient’altro che uno degli atti legislativi dell’Unione europea, insieme a direttive e decisioni. A differenza di queste ultime, si caratterizza per avere portata generale (vale in tutti i Paesi) e applicabilità diretta in tutti i suoi elementi. In pratica diventa subito legge, senza dover passare per il recepimento da parte degli Stati membri. I Paesi Ue sono comunque liberi di decidere di rivedere la propria legislazione se si creano incompatibilità evidenti con le nuove regole europee.

La Svizzera sarà comunque toccata dal Gdpr pur non facendo parte dell’Unione europea in quanto il regolamento prevede espressamente tre condizioni di applicabilità: lo stabilimento (succursale o filiale) in un territorio dell’Ue; l’individuazione del cliente (trattamento di dati di persone residenti nell’Ue a cui è rivolto un servizio di un’azienda svizzera). L’esempio classico è quello di un’impresa con sede in Svizzera che vende orologi online a persone residenti in uno o più Stati Ue. E infine, come terza condizione, il trattamento di dati personali di residenti nell’Ue effettuato da un’impresa stabilita nella Confederazione. È il caso dell’albergatore, per esempio, leventinese che crea dei profili dei suoi clienti italiani, svedesi e tedeschi per proporre loro delle offerte per altri soggiorni. Oppure il caso di un gestore di un sito che ricorre al web tracking per seguire le attività dei suoi visitatori o per osservare il loro comportamento di navigazione e poter risalire agli interessi o abitudini. È sufficiente che una sola di queste condizioni sia adempiuta per far scattare l’applicabilità del Gdpr anche in Svizzera.

I 99 articoli del Gdpr, in estrema sintesi, mirano a tutelare i dati di tutti noi consumatori e utilizzatori di piattaforme online, ovunque situate. In pratica, in un’epoca di ‘big data’ in cui ‘il prodotto siamo noi’ (facebook, google, amazon eccetera) si cerca di ridare ai singoli utenti il pieno controllo sulle proprie informazioni istituendo, tra gli altri, il diritto all’oblio (gli utenti possono chiedere di rimuovere dati a proprio riguardo); la portabilità dei dati (si possono scaricare e trasferire dati da una piattaforma all’altra, senza vincolarsi a un determinato account) e l’obbligo di notifica in caso di ‘data breach’ (le aziende che subiscono un furto di dati devono comunicarlo entro 72 ore).