È attesa per stasera o al massimo mercoledì mattina l’accordo delle tre istituzioni dell’Unione Europea (Commissione, Parlamento e Consiglio) del regolamento definitivo sulla protezione dei dati personali, i cui effetti dovrebbero entrare in vigore entro l’inizio del 2017, dando un diverso imprimatur a regolamenti finora adottati solo a livello di singolo Paese e spesso solo dopo ostici passaggi per le aule dei tribunali.
In generale, si può dire che le nuove norme dovrebbero rafforzare il concetto di privacy, considerata alla stessa stregua della libertà di espressione.
Un approccio molto più stringente rispetto a quello adottato negli Stati Uniti e che non mancherà di avere i suoi effetti anche sulle società d’OltreOceano che operano in Europa, dal momento che le nuove regole si applicano a qualsiasi realtà che abbia clienti all’interno dell’Europa e anche nel caso in cui non vi sia una presenza diretta nella regione.
E non è certo un caso che aziende come Google o Facebook si siano trovate in contrapposizione con l’Unione, dal momento che i loro modelli di business si basano su un utilizzo intensivo delle informazioni raccolte online sugli iscritti ai loro servizi.
In particolare, la Commissione Europea ha in questi mesi lavorato per arrivare a un nuovo testo nel quale si consenta alle autorità di multare, per somme anche superiori ai milioni di dollari, le aziende che facciano cattivo uso dei dati personali online, inclusi gli accessi illeciti.
Non solo.
Il testo prevede anche un rafforzamento del diritto all’oblio, dando all’individuo il diritto di chiedere la rimozione dei propri dati che ritenga irrilevanti o obsoleti, impone alle aziende di informare, nel tempo massimo di tre giorni, gli enti regolatori nazionali di eventuali “data breach”, introduce l’obbligo del consenso genitoriale per i minori di 16 anni che desiderano iscriversi a servizi quali Facebook, Instagram o Snapchat.
Se l’impianto legislativo del regolamento è pressoché definitivo, ancora aperta è la questione relativa all’ammontare delle ammende, che potrebbero arrivare a pesare fino al 4 per cento del giro d’affari (ma in ogni caso non al di sopra di un tetto predefinito) complessivo dell’azienda che compie l’illecito. Ed è su questo punto che si concentrano le preoccupazioni delle aziende high tech statunitensi, che considerano alcuni degli aspetti del nuovo regolamento particolarmente penalizzanti, soprattutto in rapporto ai loro diretti competitor europei, decisamente più piccoli in termini dimensionali.
Non solo.
Sul tavolo resta per ora irrisolta la questione relativa a chi spetta l’ultima parola in caso di infrazione.
Facebook, ad esempio, ha aperto contenziosi in Belgio, Francia, Germania, Olanda e Spagna, ma, avendo aperto la propria sede in Irlanda, si dice convinta di doversi attenere alle regole previste in quel Paese, laddove il regolamento sembra lasciare ampio spazio di manovra alle singole autorità nazionali.
