Nove giorni fa, una gran quantità di elettroni è stata seriamente incomodata per dirvi che il Parlamento Europeo ha votato una nuova legge sulla privacy, con cui non si scherza (più). Leggete il pezzo se lo avete perso e proseguiamo.
Articolo 26.1
Importante differenza rispetto al passato: se l’azienda X, che vuole avere il sito o la newsletter, appalta la gestione dell’indirizzario alla ditta Y, la quale possiede i server le basi dati e le conoscenze necessarie per realizzare la cosa, va stipulato un contratto con durata determinata, precisa natura e scopo del trattamento. Controllore X e elaboratore Y son corresponsabili, devono darsi un codice di condotta o meccanismi di certificazione sul trattamento dati. Durante, l’elaboratore deve dimostrare aderenza e tenere traccia dell’uso dei dati; al termine del contratto i dati van restituiti al controllore. Rispetto all’attuale stato di cose, in cui tutti i giorni bussano alla nostra porta clienti medi e piccoli le cui competenze di interscambio dati si fermano ai fogli Excel, è un bello sconquasso. Non vorrei essere nei panni degli hard discount del web e delle newsletter, che avranno feroci mal di testa.
Articolo 48
Chi raccogle dati sui visitatori glielo deve dire (subito) e se c’è profilazione farlo presente e spiegare cosa comporta.
Articolo 49
Chi i dati li compra deve avvisare le persone elencate entro un breve periodo. Se i tribunali non annacqueranno questo principio, ciò significa: prendete i vostri indirizzari di nominativi raccolti da elenchi pubblici, buttateli nel water e tirate lo sciacquone. Solo gli indirizzari sotto i cinquemila nomi non filtrati sono esenti; praticamente, le agendine.
Vi conosco, mascherine, state già pensando me la cavo con la solita casellina di spunta obbligatoria che fa accettare al visitatore del sito tutto quel che mi gira. Eh no, leggete:
Articolo 7. Il consenso deve sempre essere limitato negli scopi e perde automaticamente di valdità quando lo scopo cessa, o quando la raccolta di dati non è più necessaria. L’esecuzione di un contratto o la fornitura di un servizio non può venire resa condizionale al consenso della fornitura di dati non strettamente necessari. Revocare il consenso dev’essere facile tanto quanto darlo.
Articolo 23.2
Comunque si conservano solo i dati necessari allo scopo predeterminato, solo per il tempo necessario, dando accesso in azienda solo a chi di dovere. Come già detto anche chi ha dato consenso al trattamento può revocarlo, deve avere facilmente modo di cancellare i dati, (a spese del controllore, articolo 57), ha diritto all’oblio (specie se minorenne ma senza inficiare il diritto di cronaca, articolo 53) e quindi (articolo 12) bisogna predisporre le procedure e i meccanismi che permettano all’interessato di esercitare i propri diritti, compresi i mezzi per introdurre le richieste per via elettronica/telematica, l’obbligo di rispondere entro un termine determinato e di motivare un eventuale rifiuto. Colpo di grazia. Articolo 15: l’interessato può sempre chiedere copia anche integrale di tutti i dati che abbiamo su di lui, e questi debbono venirgli forniti in un formato elettronico strutturato.
Ci sono poi norme che spiegano cosa fare se arriva uno hacker e fa copia dei dati, chi è responsabile in azienda, come si certificano le cose, come devono comportarsi le aziende che operano su più nazioni, eccetera. E comunque, articolo 118, controllore e elaboratore rispondono dei danni anche non economici provocati ai consumatori.
Quindi? Quindi sono finiti i giorni del far west. Gli avvocati che vorranno prepararsi in merito avranno un giorno campale, ma la vera conclusione è che chiunque manipoli anagrafiche sul web deve ripensare il suo lavoro e i rapporti con clienti e fornitori. Tutti hanno diritto alla privacy, e noi dobbiamo lavorarci.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
