La “Privacy”, foglia di fico della censura totalitaria eu

Ronald Barazond

DWN

 

I  25 maggio 2018 entra in vigore il cosiddetto “Regolamento generale sulla protezione dei dati ” dell’UE. La propaganda della Commissione europea afferma che il nuovo quadro normativo “stimolerà la fiducia dei consumatori”, rilancerà  l’economia e genererà miliardi di dollari in risparmi. Tutte queste benedizioni deriverebbero dal fatto che un regolamento unico è in vigore in tutta l’UE. In realtà, questo regolamento getta le basi per costruire un’altra gigantesca burocrazia che forse protegge i cittadini, ma in pratica deve gravare su tutte le imprese e le istituzioni in conformità con le disposizioni del regolamento. Le violazioni, non definite in anticipo e definite dalle autorità a loro discrezione possono comportare sanzioni fino a 20 milioni (!) Di euro o il 4% del fatturato annuale. Le agenzie governative come la magistratura, la polizia, i servizi finanziari e di intelligence godono di uno status speciale.

Posso inviare una e-mail? Forse no!

A titolo illustrativo, un esempio generalmente comprensibile:

Gli avvocati non sono d’accordo sul fatto che l’invio di una e-mail da una società a una persona sia consentito o meno, se  non ha chiaramente il consenso preliminare a questa spedizione.

  • Una lettura dice: impossibile. Non è possibile inviare una e-mail e chiedere il permesso. È possibile inviare una lettera e richiedere questa approvazione.
  • L’altra lettura: è possibile inviare l’e-mail, ma deve fornire un modo semplice per rifiutare le altre.  E solo se uno non  prende atto  prontamente   di  questo rifiuto, si commette una violazione punibile del regolamento.

Gli inventori di questo regolamento diffuso sembrano non essere consapevoli del fatto che le molestie del destinatario sono fatte da un mittente chiaramente identificabile, che può essere fatto con un “annullamento dell’iscrizione” . Perturbanti e insopportabili sono le innumerevoli e-mail dubbie, fornitori difficili da trovare che ricattano il destinatario, rubano o vogliono coinvolgervi  in macchinazioni criminali.

Questi malfattori sfuggono a tutte le regole e agli accessi governativi dell’UE, mentre minacciano le società regolari che hanno indirizzi di mittenti unici.

La costruzione di una gigantesca burocrazia europea

Secondo questo schema, l’intero regolamento è strutturato in modo tale che le società dovrebbero sempre essere consegnate a un’autorità. Nella protezione dei dati, tuttavia, il sistema di supervisione non è ancora completamente sviluppato, come nel caso del settore finanziario. Tuttavia, il DSGVO, che entra in vigore ora, fornisce le basi.

Non esiste ancora un potente organismo dell’UE come l’EIOPA per le compagnie di assicurazione o l’ABE per le banche o la vigilanza della BCE sulle grandi banche. Ma la prima pietra è già stata gettata: dal 2004 c’è stato il “Garante europeo della protezione dei dati – GEPD”.

Finora, il suo compito era principalmente quello di controllare se le istituzioni dell’UE rispettassero la privacy dei cittadini.

Tuttavia, la seconda area di responsabilità viene ora alla ribalta: “La cooperazione con le autorità nazionali dei paesi dell’UE per garantire una coerente politica di protezione dei dati” è il testo originale. Pertanto, è stato annunciato che il GEPD diventerà una specie di EIOPA per la protezione dei dati.

Il regolamento UE obbliga gli Stati membri a sviluppare gli uffici di protezione dei dati esistenti oa crearne di nuovi che possano eseguire i controlli previsti. Le autorità per la protezione dei dati del governo federale e dei Länder, che lavorano insieme in Germania nel contesto di un coordinamento, devono essere presto ricostituite come un grande ufficio con innumerevoli settori e collaboratori. Lo stesso vale per tutti i paesi, tra cui la “Commissione nazionale per l’informatica e le libertà” (CNIL) in Francia o la “Protezione dei dati” in Austria.

La creazione di uffici per la protezione dei dati a tutti i livelli è accompagnata da un comitato che reca il titolo particolare “Gruppo di lavoro articolo 29”. Questo gruppo riunisce rappresentanti degli Stati membri per fornire consulenza ai responsabili politici e fornire orientamenti e spiegazioni sul regolamento. La stessa Commissione lo sta facendo e ha appena aggiunto integrazioni al regolamento.

Così, il 25 maggio un’armata di sorveglianti comincerà a controllare le aziende che stanno elaborando i dati in qualche modo – e questo è tutto. E dotato del diritto di imporre sanzioni fino a 20 milioni di euro o il 4 per cento delle entrate annuali – è l’importo più elevato – da imporre. Ciò è di fronte a informazioni inesatte e contraddittorie contenute nel regolamento e nelle linee guida, che prevedono un elevato margine di discrezionalità per i supervisori.

Il regolamento sulla protezione dei dati non è un regolamento come gli altri 

Per il regolamento di base sulla protezione dei dati, si applica la stessa norma di tutti i regolamenti dell’UE, ma solo in misura limitata: ha un effetto immediato in tutta l’UE, cioè con l’eliminazione dei parlamenti nazionali. Tuttavia, questo principio è in qualche modo messo in discussione quando si tratta di protezione dei dati perché il regolamento prevede anche la creazione di leggi nuove o modificate negli Stati membri. Queste leggi possono essere utilizzate con margini di modesta entità. Pertanto, il regolamento è in qualche modo simile a una direttiva UE.

Tuttavia, solo la Germania e l’Austria hanno adattato le loro leggi nazionali, ed è stato dimostrato in questi due casi che gli avvocati di Bruxelles, Berlino e Vienna non hanno mai letto e compreso lo stesso testo. In una comunicazione della Commissione, è stato ricordato alla Commissione che un regolamento è direttamente applicabile e che l’autorità dell’UE fornirà l’applicazione diretta nei paesi in cui gli Stati non legiferano e creano autorità pubbliche efficaci. Quindi il GDPR è un regolamento.

Ora c’è la questione su quali misure le aziende devono prendere e quali controlli devono eseguire le autorità. Il regolamento è stato adottato nel 2016 e gli iniziatori nell’UE hanno previsto che tutti i preparativi saranno effettuati nei due anni per l’attuazione nel prossimo maggio. Questo è accaduto solo in misura molto limitata. Comprensibile, quando il contenuto dei regolamenti è ancora sconcertante e le nuove linee guida sono pubblicate su base continuativa. Ora c’è eccitazione, dal momento che le orrende punizioni possono essere imposte da maggio.

I dati devono essere cancellati subito. O non così in fretta.

Si possono elaborare tre principi del regolamento:

  • I dati personali possono essere utilizzati solo con il consenso delle persone interessate.
  • I dati devono essere cancellati “il prima possibile” in ogni caso. I dati devono essere cancellati “tempestivamente” se ciò richiede soggetti interessati.
  • Tuttavia, solo se nessuna condizione legale o di altra natura prescrive o richiede diversamente.

L’esempio sopra descritto, che mostra l’incertezza giuridica sulla base delle e-mail, riguarda solo gli indirizzi e-mail. Nel regolamento, tuttavia, si intendono tutti i dati, ovvero nome, nome, data di nascita, sesso e così via. Viene fatto particolare riferimento al trattamento dei dati sanitari, con dati o dati legalmente rilevanti dei minori. In linea di principio, sono interessate le società con più di 250 dipendenti. Tuttavia, questo principio è già stato messo in discussione dal regolamento, in modo che alla fine tutte le società debbano rispettare il regolamento. E così entra nella macchia di trappole che minacciano tutti.

Dati di dipendenti e clienti nel sottobosco delle trappole

Soprattutto, tutti i dati personali gestiti in un’azienda o istituzione devono essere registrati e documentati. In alcune aziende sarà richiesta la nomina di un “responsabile della protezione dei dati”. Sebbene non sia chiaro quali aziende debbano nominare un responsabile della protezione dei dati, ma se l’autorità ritiene che un ordine sarebbe stato necessario, possono essere imposte sanzioni fino a 10 milioni di euro o il 2% del fatturato annuale.

Oltre alla documentazione, deve essere sempre disponibile una spiegazione sul motivo per cui questi dati vengono gestiti a quali scopi. E soprattutto, perché questi dati non sono stati cancellati.

I dati riguardano naturalmente i dipendenti esistenti e potenziali, i clienti e i fornitori esistenti, precedenti e potenziali.

È ovvio che i dipendenti attivi acconsentono all’uso dei dati personali. Ma che dire degli ex dipendenti? Le controversie possono richiedere la disponibilità di documentazione per gli anni a venire. In che modo è compatibile con l’esigenza di eliminare rapidamente i dati?

Che dire delle domande che vengono respinte oggi, ma che alla fine potrebbero portare all’occupazione dopo mesi? Una società è punita che non cancella i dati dai potenziali candidati? Un ampio campo per le interpretazioni dei sorveglianti.

I clienti esistenti non dovrebbero causare problemi. Dovrebbe. Quando effettui acquisti su Internet, verranno divulgate informazioni personali. Le leggi commerciali e sui consumatori richiedono che i dati vengano conservati a lungo per essere disponibili per eventuali controversie. La protezione dei dati sta spingendo per una rapida eliminazione.

E ancora un argomento apparentemente banale: molte aziende, come gli hotel, raccolgono dati di compleanno e si congratulano nei giorni corrispondenti, spesso anche dopo anni. Senza il permesso delle persone interessate! Punibile o no? La frase di un impiegato dell’hotel presso la reception “Vedo che eri già con noi!”. Portare a una procedura di protezione dei dati?

Anche se il problema con i fornitori non sembra essere immediato, il principio della “minimizzazione” dovrebbe essere preso in considerazione anche per i dati personali di questo gruppo. Solo i dati che sono assolutamente necessari possono essere conservati.

Un’autorità punisce per troppo breve e l’altra per troppo tempo?

Naturalmente, l’importanza speciale dei dati sensibili, come dati sanitari, dati sull’infanzia, dati economici, dati legali come le condanne penali, obbliga gli uffici del personale di società, banche e compagnie assicurative a prestare particolare attenzione e segretezza. Tuttavia, questi sono già obbligatori, ma molte aziende probabilmente dovranno installare un responsabile della protezione dei dati.

Inoltre, l’argomento diventa rapidamente difficile. Un contratto assicurativo completo o un prestito rimborsato devono essere cancellati rapidamente? Il contenzioso può giungere a molti anni dopo. Le normative UE pertinenti richiedono una lunga conservazione, che è  necessaria in vista di possibili controversie legali. Supervisione finanziaria contro supervisione della protezione dei dati? Un’autorità quindi punisce troppo brevemente e l’altra a causa della conservazione troppo lunga?

Un altro argomento: una persona assicurata subisce un incidente, paga i costi e arriva al suo mediatore, può risolvere il risarcimento da parte della compagnia di assicurazione. Per questo, tuttavia, questo deve ricevere i dati sanitari e trasmetterli. Gli avvocati dicono che ha bisogno dell’approvazione dell’assicurato che gli ha appena consegnato i dati.

Il nuovo regolamento sulla protezione dei dati apporta un onere amministrativo supplementare a tutte le società europee, il che crea svantaggi competitivi.

Il regolamento è inefficace laddove la protezione dei dati è importante

Tuttavia, il vero interesse dei cittadini risiede altrove e non è rispettato dal regolamento sulla protezione dei dati: molti vogliono essere sicuri che non circolino messaggi indesiderati sui social network – né le informazioni che si sono inserite in se stesse né le comunicazioni che altri diffondono. Le richieste di protezione descritte devono essere soddisfatte solo se Facebook, Google e altri fornitori offrono ed effettuano cancellazioni affidabili. Qui, sulla scia delle proteste e dei processi e degli interventi della Commissione europea, la situazione è sicuramente migliorata, ma non è affatto una situazione che protegga gli utenti in modo completo, anche per il livello spesso basso di coinvolgimento delle persone interessate.

Soprattutto, il problema della protezione dei dati non è influenzato dal regolamento nell’area cruciale: il problema centrale sta nella possibilità per molti fornitori di spiare gli utenti. Ciò è reso possibile dal fatto che in numerosi programmi sono incorporati molti accessi, che l’utente non vede, ma che forniscono la possibilità di recuperare i dati. Questa pratica dovrebbe essere vietata penalmente,   allora  ci sarebbe un’effettiva privacy. Ma questo non accade, né negli Stati Uniti, dove sono basati i principali social network, né nell’UE o altrove: i programmi senza lacune bloccherebbero anche l’accesso alla giustizia, alla polizia, alla finanza e ai servizi di intelligence. E così rimangono le lacune che aprono le porte alle aziende che vendono i programmi e gli hacker.

Il grottesco va anche oltre: il regolamento sulla protezione dei dati non tocca le lacune nei programmi, ma consente la profilazione,   le abitudini di consumo e altri comportamenti di una persona dai dati del computer, nonché la raccolta di grandi dati, quindi di dati di massa caratteristici .   Ma naturalmente questo viene fatto solo in modo anonimo, altrimenti viene il supervisore dei dati dell’UE.

***

Ronald Barazon è stato caporedattore di Salzburger Nachrichten per molti anni. È uno dei più stimati giornalisti d’affari in Europa e oggi caporedattore della rivista “Der Volkswirt” nonché moderatore dell’ORF.

 

Print Friendly, PDF & Email