“Signore e signori,
sono contenta di essere tornata alla DLD (Digital , Life, Design). Dalla sua fondazione nel 2005, questa conferenza permette a persone provenienti dal mondo degli affari, della tecnologia, dei media e della politica di scambiare sogni e esperienze circa la trasformazione dei mercati, delle culture e delle società attraverso il digitale, le tecnologie digital e Internet.
Questa trasformazione richiede un contributo speciale da parte della politica: un contributo che la Commissione Europea si accinge a offrire. Questa sarà una riforma fondamentale della politica in Europa, una delle regole che governeranno la libera circolazione dei dati personali nel mercato unico europeo, con la migliore tutela possibile dei dati, in un’era così digitale.
Sapete più di chiunque altro che oggi viviamo in un mondo di incredibili possibilità . Siamo in grado di inviare istantaneamente messaggi a persone in un altro continente con il tocco di un dito su uno schermo. Siamo in grado di aggiornare istantaneamente i nostri amici e familiari circa la nascita di un bambino o le fotografie delle ultime vacanze. Possiamo affidare i nostri dati privati a un fornitore di servizi cloud senza sapere dove e come i dati personali saranno memorizzati ed elaborati.
Tutti questi sviluppi tecnologici sono i driver di creazione di innovazione, crescita e occupazione e sono certamente benvenuti.
Tuttavia, i cambiamenti tecnologici portano anche nuove sfide normative. Internet, il cloud computing e i dispositivi mobili consentono a ciascuno di noi di accedere ai nostri dati ovunque e in qualsiasi momento; i nostri dati corrono da Monaco a Miami e Hong Kong in frazioni di secondo e in questo mondo lasciano tracce digitali in ogni momento e ovunque.
Questo è importante? Le persone si preoccupano di come i loro dati sono protetti? Le nostre regole devono essere rafforzate per dare alla gente più fiducia e per rendere più agevole per le aziende operare in un mercato digitale unico europeo?
La risposta è semplice: sì. In Europa, la gente se ne preoccupa. Il 72% degli europei ha rivelato, in un recente sondaggio, che si preoccupa per come le aziende usano i dati personali.
Le aziende sono altrettanto preoccupate; i loro dati sono correttamente protetti nel cloud? Perchè hanno bisogno di rispettare norme ormai superate? Perchè dovrebbero fare i conti con 27 diverse regolamentazioni se vogliono lavorare su tutto il continente UE? Perchè non possono avere la certezza legale quando lavorano con un mercato di 500 milioni di cittadini, ormai tutti clienti potenziali?
Dobbiamo considerare queste preoccupazioni come "importanti" e dobbiamo dare una risposta ai cittadini e alle imprese. L’attuale Unione Europea è dotata di leggi di protezione dal 1995, dai tempi pre-Internet. Nel 1993, Internet rappresentava solo l’1% di tutte le informazioni nelle TLC: oggi, la cifra è salita a oltre il 97%.
Oggi i dati personali sono diventati uno dei beni più preziosi delle imprese: il mercato per l’analisi di grandi insiemi di dati sta crescendo nel mondo del 40% l’anno. L’economia di Internet continuerà a crescere in modo esponenziale sotto una pre-condizione: la fiducia deve prevalere.
I dati personali rappresentano l’attuale valuta del mercato digitale, e come ogni moneta hanno bisogno di stabilità e fiducia. Solo se i consumatori avranno fiducia che i loro dati siano ben protetti continueranno ad avere fiducia nelle imprese, ad acquistare on-line, ad accettare nuovi servizi – i nuovi servizi che voi, qui come audience, inventate e sviluppate. Regole applicate in modo coerente renderanno l’elaborazione dei dati più sicura, più economica e potranno ispirare la fiducia degli utenti.
Possiamo solo immaginare come la tecnologia cambierà la nostra vita domani, i dettagli non li conosciamo ancora. Questo è il motivo per cui il nuovo quadro regolamentare deve essere a prova di futuro, di neutralità tecnologica; ecco perchè “privacy by design” deve diventare standard. E’ necessario eliminare le attuali barriere nel nostro mercato digitale per consentire agli inventori di andare avanti con le idee e cogliere le opportunità . Dobbiamo ripristinare la fiducia dei cittadini e delle imprese in relazione ai nuovi sviluppi di Internet.
Questa settimana, presenterò le mie proposte per una riforma delle norme di protezione dati dell’Unione europea. Ma già oggi posso delinearvi le caratteristiche principali della nuova legislazione che renderà il mercato digitale unico più accessibile, sia per le imprese che per i consumatori, che renderà l’Europa più competitiva e che diventerà un set di standard internazionale in termini di regole moderne sulla protezione dei dati.
Voglio iniziare descrivendo brevemente a che punto siamo oggi e poi delineare la mia visione di come la riforma delle norme sulla protezione dati dell’Unione Europea ridurrà gli oneri sulle imprese per meglio proteggere i nostri cittadini.
Abbiamo attualmente un vero e proprio patchwork di leggi sulla protezione dei dati in Europa; le aziende in Europa hanno a che fare con 27 leggi sulla protezione dei dati, spesso contrastanti, con autorità di protezione dei dati che applicano la legge in modi diversi. Incertezza del diritto e frammentazione giuridica sono un peso per le aziende – piccole e grandi – che vogliono fare affari nel mercato unico europeo. Questa frammentazione di leggi sulla protezione dei dati in Europa non è solo un costo aggiuntivo per le imprese, ma è anche influente sulla crescita economica e l’innovazione.
Inoltre, le aziende molto spesso sono gravate da burocrazia: obblighi di notifica gravosi e costosi per l’elaborazione dei dati senza portare un senso di sicurezza ai cittadini. E spesso le preoccupazioni sulla privacy sono uno dei motivi più frequenti per cui le persone non acquistano beni e servizi online.
Questo deve cambiare.
E’ per affrontare tutte queste sfide che proporrò – questa settimana – una riforma globale delle norme sulla protezione dei dati. Ci saranno due testi legislativi per realizzare questi obiettivi: in primo luogo, un regolamento per migliorare le opportunità per le aziende che vogliono fare affari all’interno del mercato UE, garantendo nel contempo un elevato livello di protezione dei dati per gli individui.
In secondo luogo, una direttiva per garantire un più agevole scambio di informazioni tra le forze di polizia degli Stati membri e le autorità giudiziarie nella lotta contro le forme gravi di criminalità e al tempo stesso per proteggere il diritto fondamentale dei cittadini alla protezione dei dati.
Le nuove regole aiutano le aziende in tre modi:
– in primo luogo, con la certezza del diritto.
– In secondo luogo, con la semplificazione del contesto normativo.
– In terzo luogo, fornendo regole chiare per i trasferimenti internazionali di dati.
Vediamo il primo punto (la certezza del diritto) in modo più dettagliato. Invece di un patchwork di 27 regole diverse in 27 paesi, ci sarà una legge che si applicherà a tutti gli Stati membri in Europa e a tutte le aziende che offrono i loro prodotti e servizi ai consumatori nell’Unione Europea – anche se i loro server fanno base al di fuori dell’EU.
Il regolamento direttamente applicabile creerà un quadro di riferimento legislativo chiaro e uniforme, che contribuirà a realizzare il potenziale del mercato digitale unico europeo. Si potrà eliminare definitivamente la frammentazione oggi esistente, il che consentirà di risparmiare per le aziende circa 2,3 miliardi di euro all’anno. Il nuovo regolamento sarà impostato per rimuovere le barriere di ingresso al mercato – un fattore di particolare importanza per le piccole e medie imprese.
I risparmi saranno ottenuti con una serie di misure. In primo luogo, semplificazione del contesto normativo e drastica riduzione della burocrazia. Non ci saranno più obblighi generali di notifica, le aziende di tutta Europa saranno esse stesse responsabili e garanti per la protezione dei dati personali nel loro settore business. Esse dovranno nominare un responsabile della protezione dei dati – un requisito che per le imprese qui in Germania è già molto familiare. La "demolizione" della regola generale di notifica comporta da sola un risparmio di 130 milioni di euro all’anno.
In secondo luogo, ci sarà un quadro normativo “one-stop-shop” per tutte le imprese in materia di protezione dei dati. Una società dovrà rispettare una legge per tutto il territorio dell’Unione europea, limitandosi ad avere a che fare con una sola autorità di protezione dei dati: l’autorità di protezione dei dati dello Stato membro in cui la società ha la sede principale.
Non sarà più importante con quale autorità di protezione dati si abbia a che fare; tutte le autorità di protezione dati in qualsiasi paese UE avranno gli stessi poteri e strumenti adeguati per far rispettare il diritto comunitario. L’autorità per la protezione dei dati dovrebbe essere in grado di trattare le denunce, svolgere indagini, prendere decisioni vincolanti e imporre sanzioni efficaci e dissuasive, indipendentemente dal fatto che l’autorità francese, irlandese, rumena o bavarese abbia in carico il caso. Questo darà alla normativa la necessaria fermezza e certezza, in modo che le regole possano essere applicate sempre.
Le autorità di protezione dei dati devono essere indipendenti da interessi politici ed economici e avere risorse sufficienti per fare il loro lavoro. Avranno bisogno di lavorare a stretto contatto – soprattutto nelle cause transfrontaliere – per assicurarsi che le regole siano applicate in modo coerente in tutta l’Europa .
Il terzo elemento per alleviare gli oneri per le aziende è quello di garantire regole chiare per i trasferimenti internazionali di dati. In un mondo dove la libera circolazione dei dati è fondamentale per i modelli di business e i confini fisici sono privi di significato, abbiamo bisogno di ripensare il nostro modo di trasferire i dati. Sembra strano che dati posseduti da un’impresa europea sono adeguatamente protetti se si trovano all’interno dei confini comunitari, ma non quando vengono trasferiti da quella stessa società in un mercato diverso, in Asia o in Sud America, anche quando vi sono misure di tutela. Nell’era di Internet, le leggi di protezione dei dati devono tener conto di questa dimensione globale. Se si concentrano solo sulle attività di una società all’interno di un determinato paese, non rispecchiano la realtà .
I dati personali possono essere raccolti e trattati a Berlino e a Bangalore. Perciò voglio migliorare l’attuale sistema di norme vincolanti sull’impresa per rendere questi scambi meno gravosi e più sicuri. Io propongo un processo di approvazione coerente e semplificata con un unico punto di contatto per le aziende. E una volta che le regole aziendali sono vincolanti, approvate da un’unica autorità preposta alla protezione dei dati, questi saranno riconosciuti da tutte le autorità di protezione dei dati in Europa. Non dovrebbe esserci bisogno di ulteriore autorizzazione nazionale in caso di ulteriori trasferimenti.
Come risultato, le aziende saranno in grado di vendere beni e servizi secondo le stesse regole di protezione dei dati a 500 milioni di persone, e questa può essere un’opportunità di business molto interessante!
Questo è ciò che l’Europa può fare per aiutare il mercato digitale unico a decollare. Questo è ciò che l’Europa può fare per lavorare verso la realizzazione di standard globali.
Ma voi, aziende che trattate dati personali, avete un ruolo altrettanto fondamentale. Se vogliamo dare un significato reale al diritto fondamentale alla protezione dei dati personali, se vogliamo che le persone abbiano il controllo delle proprie informazioni, deve crescere la responsabilità del business. E’ quanto mai sensato e importante rispettare la privacy dei clienti e aumentare la fiducia in modo da proteggere le persone che decidono di condividere le loro informazioni personali sulla vostra piattaforma; qui, la trasparenza è assoluta è in gioco.
In primo luogo, la gente ha bisogno di essere informata sul trattamento dei suoi dati in un linguaggio semplice e chiaro. Gli utenti di Internet devono sapere che i dati vengono raccolti, per quali scopi e per quanto tempo saranno conservati. Hanno bisogno di sapere come potrebbero essere utilizzati da terzi. Essi devono conoscere i propri diritti e chi è l’autorità da affrontare qualora questi diritti vengano violati. Le persone hanno bisogno di essere in grado di prendere una decisione informata su cosa rivelare, quando e a chi.
In secondo luogo, ogni volta che gli utenti offrono il loro consenso al trattamento dei propri dati, questa procedura deve essere significativa; in breve, il loro consenso deve essere specifico e determinato in modo esplicito.
In terzo luogo, la riforma consentirà ai privati un migliore controllo sui propri dati. Io includerò nelle nuove regole un più facile accesso ai propri dati; la gente deve essere in grado di acquisirli e gestirli facilmente, anche se verso un altro provider, così come deve essere consentito loro di cancellarli se non desidera più utilizzarli.
Le nuove regole prevedono la portabilità dei dati, un altro modo importante per dare alle persone il controllo sui propri dati: il diritto di essere dimenticati. Voglio precisare esplicitamente che la gente ha il diritto – e non solo la possibilità – di ritirare il proprio consenso al trattamento dei dati personali.
Internet ha una capacità di ricerca e di archiviazione quasi illimitata. Così, anche piccoli frammenti di informazioni personali possono avere un impatto enorme, anche anni dopo che sono stati condivisi o resi pubblici. Il diritto di essere dimenticati si baserà sulle norme già esistenti per affrontare meglio i rischi sulla privacy online. E’ l’individuo a essere nella posizione migliore per proteggere la privacy dei propri dati, scegliendo o meno di fornirli. E’ quindi importante dare potere ai cittadini dell’UE, in particolare gli adolescenti, sì da poter avere il controllo della propria identità online; a tal proposito, l’81% dei cittadini tedeschi è preoccupato di non avere più il controllo dei propri dati personali!
Se un individuo non vuole che i suoi dati personali siano trattati o conservati da un responsabile del trattamento, e se non vi è alcuna ragione legittima per mantenerlo, i dati dovrebbero essere rimossi dal sistema.
Il diritto di essere dimenticato, naturalmente, non è un diritto assoluto. Ci sono casi in cui vi è un interesse legittimo e giuridicamente giustificato per mantenere i dati in una base di dati. Gli archivi di un giornale sono un buon esempio. E’ chiaro che il diritto di essere dimenticati non può costituire un diritto della cancellazione totale della storia, nè avere la precedenza sulla libertà di espressione o la libertà dei media.
Le nuove norme UE prevedono disposizioni esplicite che garantiscano il rispetto della libertà di espressione e di informazione. Dopo tutto, sono stato Commissario MEDIA dell’UE per molti anni e non scenderò mai a compromessi nella lotta per i diritti fondamentali della libertà di espressione e la libertà dei media. Questo vale anche nel campo della protezione dei dati, che è un altro importante diritto fondamentale, ma non un diritto assoluto.
Infine, gli individui devono essere rapidamente informati quando i loro dati personali vengono persi, rubati o violati, che i dati degli utenti vengano rubati da un servizio di gaming online o che i dati della carta di credito vengano carpiti sul sito di un impresa: tali violazioni di sicurezza colpiscono milioni di utenti in tutto il mondo. Si sono verificati, da poco, numerosi e gravi incidenti di violazione dei dati che mettono in evidenza perchè le aziende hanno bisogno di rafforzare la sicurezza delle informazioni in loro possesso. Frequenti violazioni della sicurezza dei dati rischierebbero di minare la fiducia dei consumatori nell’economia digitale.
Introdurrò quindi un obbligo generale per i titolari di notifica delle violazioni dei dati. Le aziende che accusano una perdita di dati dovranno informare le autorità di protezione dei dati e le persone interessate e dovranno farlo senza indugio. Come regola generale, senza indebito ritardo, significa per me “entro 24 ore”.
Signore e signori, avremo un quadro di riferimento coerente e a prova di futuro per la protezione dei dati, applicato in modo coerente nelle politiche di tutti gli Stati membri e di tutta l’Unione Europea .
Faremo sì che la nostra normativa di protezione dei dati sia adatta all’età digitale, in modo da incoraggiare l’innovazione e lo sviluppo di nuove tecnologie e servizi.
Noi provvederemo ad adeguare le norme alla realtà delle imprese multinazionali e le adegueremo alla realtà della vita delle persone in un’Europa in cui vivo, lavoro, faccio affari e viaggio liberamente; quindi i dati devono viaggiare altrettanto liberamente e in forma sicura. La riforma sarà un’occasione d’oro per l’azienda: rispettare le leggi dell’UE sulla protezione dei dati porterà a un vantaggio competitivo. Una normativa Europea sulla protezione dei dati diventerà un marchio riconosciuto e di fiducia in tutto il mondo. Avrò piacere se tutti voi qui presenti introdurrete queste nuove regole nel vostro modo di vivere.
Permettetemi un ultimo punto.
Da qualche tempo c’è stato un acceso dibattito sulla libertà di Internet. Secondo la Carta dei diritti fondamentali, la libertà di espressione e la libertà di informazione sono diritti fondamentali per i cittadini d’Europa. Essi sono direttamente collegati a una connessione internet gratuita, che deve quindi essere preservata come tale.
Ma quelle non sono le uniche forme di libertà ; il diritto del creatore al contenuto e al frutto della sua creazione sono ugualmente importanti. Questo diritto deve anch’esso essere preservato.
Per ottenere questo, la politica Europea mira a equilibrare il rispetto di entrambe diritti. Libertà di informazione e diritto d’autore non devono essere nemici, ma partner!
La protezione dei creatori non deve mai essere utilizzata come un pretesto per limitare la libertà di Internet, perchè per l’Europa, censurare o bloccare Internet non è un’opzione”.
Viviane Reding, Vice-Presidente della Commissione Europea, Commissario alla Giustizia dell’Unione europea.
A cura della Segreteria Internazionale di ANORC