L’UE sulla protezione dei dati per la riforma 2012: rendere l’Europa il precursore di nuovi standard per le moderne regole di protezione dei dati

 

“Signore e signori,
sono contenta di essere tornata alla DLD (Digital , Life, Design). Dalla sua fondazione nel 2005, questa conferenza permette a persone provenienti dal mondo degli affari, della tecnologia, dei media e della politica di scambiare sogni e esperienze circa la trasformazione dei mercati, delle culture e delle società  attraverso il digitale, le tecnologie digital e Internet.
Questa trasformazione richiede un contributo speciale da parte della politica: un contributo che la Commissione Europea si accinge a offrire. Questa sarà  una riforma fondamentale della politica in Europa, una delle regole che governeranno la libera circolazione dei dati personali nel mercato unico europeo, con la migliore tutela possibile dei dati, in un’era così digitale.

Sapete più di chiunque altro che oggi viviamo in un mondo di incredibili possibilità . Siamo in grado di inviare istantaneamente messaggi a persone in un altro continente con il tocco di un dito su uno schermo. Siamo in grado di aggiornare istantaneamente i nostri amici e familiari circa la nascita di un bambino o le fotografie delle ultime vacanze. Possiamo affidare i nostri dati privati a un fornitore di servizi cloud senza sapere dove e come i dati personali saranno memorizzati ed elaborati.

Tutti questi sviluppi tecnologici sono i driver di creazione di innovazione, crescita e occupazione e sono certamente benvenuti.
Tuttavia, i cambiamenti tecnologici portano anche nuove sfide normative. Internet, il cloud computing e i dispositivi mobili consentono a ciascuno di noi di accedere ai nostri dati ovunque e in qualsiasi momento; i nostri dati corrono da Monaco a Miami e Hong Kong in frazioni di secondo e in questo mondo lasciano tracce digitali in ogni momento e ovunque.
Questo è importante? Le persone si preoccupano di come i loro dati sono protetti? Le nostre regole devono essere rafforzate per dare alla gente più fiducia e per rendere più agevole per le aziende operare in un mercato digitale unico europeo?

La risposta è semplice: sì. In Europa, la gente se ne preoccupa. Il 72% degli europei ha rivelato, in un recente sondaggio, che si preoccupa per come le aziende usano i dati personali.
Le aziende sono altrettanto preoccupate; i loro dati sono correttamente protetti nel cloud? Perchè hanno bisogno di rispettare norme ormai superate? Perchè dovrebbero fare i conti con 27 diverse regolamentazioni se vogliono lavorare su tutto il continente UE? Perchè non possono avere la certezza legale quando lavorano con un mercato di 500 milioni di cittadini, ormai tutti clienti potenziali?

Dobbiamo considerare queste preoccupazioni come "importanti" e dobbiamo dare una risposta ai cittadini e alle imprese. L’attuale Unione Europea è dotata di leggi di protezione dal 1995, dai tempi pre-Internet. Nel 1993, Internet rappresentava solo l’1% di tutte le informazioni nelle TLC: oggi, la cifra è salita a oltre il 97%.
Oggi i dati personali sono diventati uno dei beni più preziosi delle imprese: il mercato per l’analisi di grandi insiemi di dati sta crescendo nel mondo del 40% l’anno. L’economia di Internet continuerà  a crescere in modo esponenziale sotto una pre-condizione: la fiducia deve prevalere.
I dati personali rappresentano l’attuale valuta del mercato digitale, e come ogni moneta hanno bisogno di stabilità  e fiducia. Solo se i consumatori avranno fiducia che i loro dati siano ben protetti continueranno ad avere fiducia nelle imprese, ad acquistare on-line, ad accettare nuovi servizi – i nuovi servizi che voi, qui come audience, inventate e sviluppate. Regole applicate in modo coerente renderanno l’elaborazione dei dati più sicura, più economica e potranno ispirare la fiducia degli utenti.
Possiamo solo immaginare come la tecnologia cambierà  la nostra vita domani, i dettagli non li conosciamo ancora. Questo è il motivo per cui il nuovo quadro regolamentare deve essere a prova di futuro, di neutralità  tecnologica; ecco perchè “privacy by design” deve diventare standard. E’ necessario eliminare le attuali barriere nel nostro mercato digitale per consentire agli inventori di andare avanti con le idee e cogliere le opportunità . Dobbiamo ripristinare la fiducia dei cittadini e delle imprese in relazione ai nuovi sviluppi di Internet.
Questa settimana, presenterò le mie proposte per una riforma delle norme di protezione dati dell’Unione europea. Ma già  oggi posso delinearvi le caratteristiche principali della nuova legislazione che renderà  il mercato digitale unico più accessibile, sia per le imprese che per i consumatori, che renderà  l’Europa più competitiva e che diventerà  un set di standard internazionale in termini di regole moderne sulla protezione dei dati.
Voglio iniziare descrivendo brevemente a che punto siamo oggi e poi delineare la mia visione di come la riforma delle norme sulla protezione dati dell’Unione Europea ridurrà  gli oneri sulle imprese per meglio proteggere i nostri cittadini.
Abbiamo attualmente un vero e proprio patchwork di leggi sulla protezione dei dati in Europa; le aziende in Europa hanno a che fare con 27 leggi sulla protezione dei dati, spesso contrastanti, con autorità  di protezione dei dati che applicano la legge in modi diversi. Incertezza del diritto e frammentazione giuridica sono un peso per le aziende – piccole e grandi – che vogliono fare affari nel mercato unico europeo. Questa frammentazione di leggi sulla protezione dei dati in Europa non è solo un costo aggiuntivo per le imprese, ma è anche influente sulla crescita economica e l’innovazione.
Inoltre, le aziende molto spesso sono gravate da burocrazia: obblighi di notifica gravosi e costosi per l’elaborazione dei dati senza portare un senso di sicurezza ai cittadini. E spesso le preoccupazioni sulla privacy sono uno dei motivi più frequenti per cui le persone non acquistano beni e servizi online.
Questo deve cambiare.
E’ per affrontare tutte queste sfide che proporrò –  questa settimana – una riforma globale delle norme sulla protezione dei dati. Ci saranno due testi legislativi per realizzare questi obiettivi: in primo luogo, un regolamento per migliorare le opportunità  per le aziende che vogliono fare affari all’interno del mercato UE, garantendo nel contempo un elevato livello di protezione dei dati per gli individui.
In secondo luogo, una direttiva per garantire un più agevole scambio di informazioni tra le forze di polizia degli Stati membri e le autorità  giudiziarie nella lotta contro le forme gravi di criminalità  e al tempo stesso per proteggere il diritto fondamentale dei cittadini alla protezione dei dati.
Le nuove regole aiutano le aziende in tre modi:
– in primo luogo, con la certezza del diritto.
– In secondo luogo, con la semplificazione del contesto normativo.
– In terzo luogo, fornendo regole chiare per i trasferimenti internazionali di dati.
Vediamo il primo punto (la certezza del diritto) in modo più dettagliato. Invece di un patchwork di 27 regole diverse in 27 paesi, ci sarà  una legge che si applicherà  a tutti gli Stati membri in Europa e a tutte le aziende che offrono i loro prodotti e servizi ai consumatori nell’Unione Europea – anche se i loro server fanno base al di fuori dell’EU.
Il regolamento direttamente applicabile creerà  un quadro di riferimento legislativo chiaro e uniforme, che contribuirà  a realizzare il potenziale del mercato digitale unico europeo. Si potrà  eliminare definitivamente la frammentazione oggi esistente, il che consentirà  di risparmiare per le aziende circa 2,3 miliardi di euro all’anno. Il nuovo regolamento sarà  impostato per rimuovere le barriere di ingresso al mercato – un fattore di particolare importanza per le piccole e medie imprese.
I risparmi saranno ottenuti con una serie di misure. In primo luogo, semplificazione del contesto normativo e drastica riduzione della burocrazia. Non ci saranno più obblighi generali di notifica, le aziende di tutta Europa saranno esse stesse responsabili e garanti per la protezione dei dati personali nel loro settore business. Esse dovranno nominare un responsabile della protezione dei dati – un requisito che per le imprese qui in Germania è già  molto familiare. La "demolizione" della regola generale di notifica comporta da sola un risparmio di 130 milioni di euro all’anno.
In secondo luogo, ci sarà  un quadro normativo “one-stop-shop” per tutte le imprese in materia di protezione dei dati. Una società  dovrà  rispettare una legge per tutto il territorio dell’Unione europea, limitandosi ad avere a che fare con una sola autorità  di protezione dei dati: l’autorità  di protezione dei dati dello Stato membro in cui la società  ha la sede principale.
Non sarà  più importante con quale autorità  di protezione dati si abbia a che fare; tutte le autorità  di protezione dati in qualsiasi paese UE avranno gli stessi poteri e strumenti adeguati per far rispettare il diritto comunitario. L’autorità  per la protezione dei dati dovrebbe essere in grado di trattare le denunce, svolgere indagini, prendere decisioni vincolanti e imporre sanzioni efficaci e dissuasive, indipendentemente dal fatto che l’autorità  francese, irlandese, rumena o bavarese abbia in carico il caso. Questo darà  alla normativa la necessaria fermezza e certezza, in modo che le regole possano essere applicate sempre.
Le autorità  di protezione dei dati devono essere indipendenti da interessi politici ed economici e avere risorse sufficienti per fare il loro lavoro. Avranno bisogno di lavorare a stretto contatto – soprattutto nelle cause transfrontaliere – per assicurarsi che le regole siano applicate in modo coerente in tutta l’Europa .
Il terzo elemento per alleviare gli oneri per le aziende è quello di garantire regole chiare per i trasferimenti internazionali di dati. In un mondo dove la libera circolazione dei dati è fondamentale per i modelli di business e i confini fisici sono privi di significato, abbiamo bisogno di ripensare il nostro modo di trasferire i dati. Sembra strano che dati posseduti da un’impresa europea sono adeguatamente protetti se si trovano all’interno dei confini comunitari, ma non quando vengono trasferiti da quella stessa società  in un mercato diverso, in Asia o in Sud America, anche quando vi sono misure di tutela. Nell’era di Internet, le leggi di protezione dei dati devono tener conto di questa dimensione globale. Se si concentrano solo sulle attività  di una società  all’interno di un determinato paese, non rispecchiano la realtà .
I dati personali possono essere raccolti e trattati a Berlino e a Bangalore. Perciò voglio migliorare l’attuale sistema di norme vincolanti sull’impresa per rendere questi scambi meno gravosi e più sicuri. Io propongo un processo di approvazione coerente e semplificata con un unico punto di contatto per le aziende. E una volta che le regole aziendali sono vincolanti, approvate da un’unica autorità  preposta alla protezione dei dati, questi saranno riconosciuti da tutte le autorità  di protezione dei dati in Europa. Non dovrebbe esserci bisogno di ulteriore autorizzazione nazionale in caso di ulteriori trasferimenti.
Come risultato, le aziende saranno in grado di vendere beni e servizi secondo le stesse regole di protezione dei dati a 500 milioni di persone, e questa può essere un’opportunità  di business molto interessante!
Questo è ciò che l’Europa può fare per aiutare il mercato digitale unico a decollare. Questo è ciò che l’Europa può fare per lavorare verso la realizzazione di standard globali.
Ma voi, aziende che trattate dati personali, avete un ruolo altrettanto fondamentale. Se vogliamo dare un significato reale al diritto fondamentale alla protezione dei dati personali, se vogliamo che le persone abbiano il controllo delle proprie informazioni, deve crescere la responsabilità  del business. E’ quanto mai sensato e importante rispettare la privacy dei clienti e aumentare la fiducia in modo da proteggere le persone che decidono di condividere le loro informazioni personali sulla vostra piattaforma; qui, la trasparenza è assoluta è in gioco.
In primo luogo, la gente ha bisogno di essere informata sul trattamento dei suoi dati in un linguaggio semplice e chiaro. Gli utenti di Internet devono sapere che i dati vengono raccolti, per quali scopi e per quanto tempo saranno conservati. Hanno bisogno di sapere come potrebbero essere utilizzati da terzi. Essi devono conoscere i propri diritti e chi è l’autorità  da affrontare qualora questi diritti vengano violati. Le persone hanno bisogno di essere in grado di prendere una decisione informata su cosa rivelare, quando e a chi.

In secondo luogo, ogni volta che gli utenti offrono il loro consenso al trattamento dei propri dati, questa procedura deve essere significativa; in breve, il loro consenso deve essere specifico e determinato in modo esplicito.
In terzo luogo, la riforma consentirà  ai privati un migliore controllo sui propri dati. Io includerò nelle nuove regole un più facile accesso ai propri dati; la gente deve essere in grado di acquisirli e gestirli facilmente, anche se verso un altro provider, così come deve essere consentito loro di cancellarli se non desidera più utilizzarli.
Le nuove regole prevedono la portabilità  dei dati, un altro modo importante per dare alle persone il controllo sui propri dati: il diritto di essere dimenticati. Voglio precisare esplicitamente che la gente ha il diritto – e non solo la possibilità  – di ritirare il proprio consenso al trattamento dei dati personali.
Internet ha una capacità  di ricerca e di archiviazione quasi illimitata. Così, anche piccoli frammenti di informazioni personali possono avere un impatto enorme, anche anni dopo che sono stati condivisi o resi pubblici. Il diritto di essere dimenticati si baserà  sulle norme già  esistenti per affrontare meglio i rischi sulla privacy online. E’ l’individuo a essere nella posizione migliore per proteggere la privacy dei propri dati, scegliendo o meno di fornirli. E’ quindi importante dare potere ai cittadini dell’UE, in particolare gli adolescenti, sì da poter avere il controllo della propria identità  online; a tal proposito, l’81% dei cittadini tedeschi è preoccupato di non avere più il controllo dei propri dati personali!
Se un individuo non vuole che i suoi dati personali siano trattati o conservati da un responsabile del trattamento, e se non vi è alcuna ragione legittima per mantenerlo, i dati dovrebbero essere rimossi dal sistema.
Il diritto di essere dimenticato, naturalmente, non è un diritto assoluto. Ci sono casi in cui vi è un interesse legittimo e giuridicamente giustificato per mantenere i dati in una base di dati. Gli archivi di un giornale sono un buon esempio. E’ chiaro che il diritto di essere dimenticati non può costituire un diritto della cancellazione totale della storia, nè avere la precedenza sulla libertà  di espressione o la libertà  dei media.
Le nuove norme UE prevedono disposizioni esplicite che garantiscano il rispetto della libertà  di espressione e di informazione. Dopo tutto, sono stato Commissario MEDIA dell’UE per molti anni e non scenderò mai a compromessi nella lotta per i diritti fondamentali della libertà  di espressione e la libertà  dei media. Questo vale anche nel campo della protezione dei dati, che è un altro importante diritto fondamentale, ma non un diritto assoluto.
Infine, gli individui devono essere rapidamente informati quando i loro dati personali vengono persi, rubati o violati, che i dati degli utenti vengano rubati da un servizio di gaming online o che i dati della carta di credito vengano carpiti sul sito di un impresa: tali violazioni di sicurezza colpiscono milioni di utenti in tutto il mondo. Si sono verificati, da poco, numerosi e gravi incidenti di violazione dei dati che mettono in evidenza perchè le aziende hanno bisogno di rafforzare la sicurezza delle informazioni in loro possesso. Frequenti violazioni della sicurezza dei dati rischierebbero di minare la fiducia dei consumatori nell’economia digitale.

Introdurrò quindi un obbligo generale per i titolari di notifica delle violazioni dei dati. Le aziende che accusano una perdita di dati dovranno informare le autorità  di protezione dei dati e le persone interessate e dovranno farlo senza indugio. Come regola generale, senza indebito ritardo, significa per me “entro 24 ore”.
Signore e signori, avremo un quadro di riferimento coerente e a prova di futuro per la protezione dei dati, applicato in modo coerente nelle politiche di tutti gli Stati membri e di tutta l’Unione Europea .
Faremo sì che la nostra normativa di protezione dei dati sia adatta all’età  digitale, in modo da incoraggiare l’innovazione e lo sviluppo di nuove tecnologie e servizi.
Noi provvederemo ad adeguare le norme alla realtà  delle imprese multinazionali e le adegueremo alla realtà  della vita delle persone in un’Europa in cui vivo, lavoro, faccio affari e viaggio liberamente; quindi i dati devono viaggiare altrettanto liberamente e in forma sicura. La riforma sarà  un’occasione d’oro per l’azienda: rispettare le leggi dell’UE sulla protezione dei dati porterà  a un vantaggio competitivo. Una normativa Europea sulla protezione dei dati diventerà  un marchio riconosciuto e di fiducia in tutto il mondo. Avrò piacere se tutti voi qui presenti introdurrete queste nuove regole nel vostro modo di vivere.
Permettetemi un ultimo punto.
Da qualche tempo c’è stato un acceso dibattito sulla libertà  di Internet. Secondo la Carta dei diritti fondamentali, la libertà  di espressione e la libertà  di informazione sono diritti fondamentali per i cittadini d’Europa. Essi sono direttamente collegati a una connessione internet gratuita, che deve quindi essere preservata come tale.
Ma quelle non sono le uniche forme di libertà ; il diritto del creatore al contenuto e al frutto della sua creazione sono ugualmente importanti. Questo diritto deve anch’esso essere preservato.
Per ottenere questo, la politica Europea mira a equilibrare il rispetto di entrambe diritti. Libertà  di informazione e diritto d’autore non devono essere nemici, ma partner!
La protezione dei creatori non deve mai essere utilizzata come un pretesto per limitare la libertà  di Internet, perchè per l’Europa, censurare o bloccare Internet non è un’opzione”.

Viviane Reding, Vice-Presidente della Commissione Europea, Commissario alla Giustizia dell’Unione europea.

 

A cura della Segreteria Internazionale di ANORC