È ormai in dirittura d’arrivo il nuovo documento sulla protezione dei dati, che è stato caldeggiato sia dalle autorità di governo, a livello europeo, sia dalle organizzazioni di tutela dei consumatori. Vediamo di che si tratta.
Poiché l’obiettivo primario di questo documento è quello di migliorare il livello di protezione dei dati personali dei consumatori, ritengo opportuno illustrare subito il punto di vista dell’ufficio europeo per la protezione dei consumatori.
Questo documento stabilisce delle nuove regole per la condivisione dei dati e per la portabilità dei dati stessi, a protezione dei consumatori.
È ben noto come oggi l’utilizzo di apparecchiature domestiche, che sono connesse in rete, può aumentare in maniera esponenziale la capacità di raccogliere ed utilizzare dati di utilizzo, in modalità spesso assai poco trasparenti nei confronti del consumatore coinvolto.
Ad esempio, i dati che vengono generati da un frigorifero intelligente possono essere catturati per verificare la frequenza d’uso, le modalità di regolazione, ed altre informazioni, anche afferenti a un eventuale malfunzionamento. È opportuno mettere in evidenza questi aspetti, perché talvolta le associazioni di consumatori affrontano in modo prevalentemente negativo la raccolta e condivisione di dati personali, mentre in molti casi questa raccolta potrebbe essere nell’interesse del consumatore.
Il vero problema è che il consumatore deve essere correttamente informato sulla raccolta dei dati e loro utilizzo, ed esprimere con semplicità e immediatezza la sua approvazione o il suo diniego all’uso dei dati in determinati contesti.
Vediamo ora gli aspetti principali di questa nuova disposizione legislativa.
Al proposito, i due organismi di tutela europea, rispettivamente il comitato europeo per la protezione dei dati ed il supervisore europeo per la protezione dei dati, hanno espresso parere congiunto specificamente destinato alla valutazione di questo nuovo provvedimento legislativo.
Innanzitutto, è stato messo in evidenza come questo nuovo documento non altera in alcun modo il vigente regime di protezione dei dati personali. Anzi, esso migliora ulteriormente la definizione dei diritti degli interessati, stabilendo regole oltremodo restrittive sulle modalità di raccolta ed utilizzo dei dati.
Di particolare interesse è il fatto che gli utenti possono utilizzare i loro apparati in maniera anonima, in modo da rendere minima la possibilità di raccolta ed utilizzo illecito dei dati di uso.
L’obiettivo primario di questa disposizione legislativa è quella di stabilire delle regole armonizzate sull’accesso e l’uso di dati, generati da una gran numero di prodotti e servizi, inclusi gli apparati collegati nell’IoT, apparati medici afferenti alla salute e assistenti virtuali.
Il documento migliora anche i diritti dell’interessato, in merito alla portabilità dei dati stessi.
Il documento non si preoccupa solo di garantire un corretto trattamento dei dati, ma anche pone dei limiti o delle restrizioni alla produzione di dati da parte del prodotto o servizio coinvolto, che possono venire a conoscenza di soggetti terzi.
In particolare, vengono introdotte regole assai stringenti circa l’utilizzo di questi dati per attività di marketing diretto, per la tenuta sotto controllo delle attività dei lavoratori, per il calcolo o modifica dei premi assicurativi e per la definizione del livello di affidabilità creditizia.
Particolare attenzione deve essere posta ai limiti afferenti a dati di minori.
Un elemento che ha attirato l’attenzione del comitato e del supervisore europeo riguarda il fatto che in questo documento legislativo sarebbero previste particolari eccezioni, in casi di “situazioni eccezionali”. Non sembra che questa possibilità sia chiaramente definita e non siano stabiliti dei limiti, che dovrebbero comunque essere rispettati, quale che sia la situazione eccezionale sotto esame.
Gli esperti, ad esempio, hanno fatto presente che, in caso di pandemia, la priorità assoluta è quella di proteggere la salute dei cittadini. Tutti sono d’accordo su questa impostazione, ma ciò potrebbe non significare automaticamente che qualunque dato afferente al cittadino possa essere raccolto, proprio alla luce di questa finalità primaria.
Per quanto riguarda le modalità di intervento, per il rispetto di questa nuova disposizione legislativa, sia il comitato, sia il supervisore, approvano la designazione di autorità specificamente competenti e autorizzate, che possano tenere sotto controllo l’applicazione, almeno per gli aspetti afferenti alla protezione dei dati personali.
Si sta discutendo se le esistenti autorità nazionali possano essere in grado di assumere anche questo compito o possa essere opportuno indicare specifiche autorità.
Per consentire ai lettori di prendere diretta visione di questo documento, che non è stato ancora pubblicato, ma è in dirittura d’arrivo, lo allego a questa breve nota.
Vedi allegato(pdf)
Fonti: Puntosicuro.it