In arrivo le semplificazioni su privacy e digitale, ma beneficiarne sarà complicato
Tanto tuonò che piovve, e le agognate semplificazioni su privacy e digitale sono finalmente sbucate dal cilindro della Commissione Europea, che lo scorso 19 novembre ha ufficialmente presentato il “Digital Omnibus”, ovvero la proposta legislativa che ha come obiettivo dichiarato quello di ridurre il carico burocratico di almeno il 25% per tutte le imprese e del 35% per le PMI, cercando così di fornire una risposta alle preoccupazioni espresse nel rapporto Draghi sulla competitività europea, anche se leggendo il testo sorge più che il semplice dubbio che a beneficiarne maggiormente saranno le grandi aziende tecnologiche e non quelle paneuropee.
Quello messo in cantiere dall’UE non è infatti un semplice snellimento della burocrazia, ma un massiccio intervento che è destinato a produrre un vero e proprio cambio di paradigma nella protezione dei dati come l’abbiamo vista in Europa negli ultimi trent’anni, che anziché concentrarsi su divieti e diritti, spiana adesso la strada all’intelligenza artificiale e al business del digitale.
Basti pensare che, una volta approvata definitivamente la riforma, le aziende tecnologiche potranno legittimamente allenare gli algoritmi delle loro intelligenze artificiali prendendo i dati personali presenti su social network, piattaforme online e siti web senza necessità di ottenere alcun consenso dagli utenti. E ci saranno meno vincoli anche per gli sviluppatori di sistemi di AI, che potranno processare legalmente categorie sensibili di dati come informazioni dalle quali è possibile dedurre convinzioni politiche o religiose, etnia o salute, per finalità di training e operatività.
Con le semplificazioni, gli utenti smetteranno inoltre di visualizzare continuamente i fastidiosi banner dei cookie, perchè basterà indicare il proprio consenso con un solo click e salvare le proprie preferenze permanenti nel proprio browser e nel sistema operativo del dispositivo elettronico. E anche il perimetro dei dati soggetti agli adempimenti del GDPR sarà ridotto, perché saranno considerati “dati personali” solo quelle informazioni che permettono di identificare direttamente una persona fisica (come il nome e cognome), e non più quelle che permettono di risalire alla sua identità anche indirettamente. In pratica, basterà ricorrere a pseudonimi come “user_123456” per essere esentati dagli adempimenti sulla privacy.
(Nicola Bernardi, presidente di Federprivacy)
Tra le varie novità, sono in arrivo anche semplificazioni per imprese e pubbliche amministrazioni che a seguito di un data breach potranno effettuare le notifiche richieste con un’unica operazione valida sia ai fini del GDPR che di tutte le altre normative in materia. Per le aziende tecnologiche sarà invece più semplice intrufolarsi nei nostri smartphone e computer, in quanto potrebbero essere autorizzate a estrarre dati direttamente dai dispositivi degli utenti per scopi di sicurezza, con tutte le conseguenti criticità in materia di cybersecurity, nonché le legittime perplessità che possa comportare il fatto di sapere che qualcuno potrà potenzialmente accedere a una miriade di informazioni che custodiamo gelosamente nei nostri apparecchi.
Ciliegina sulla torta, se dopo il GDPR erano fioccati tutta una serie di altri regolamenti dall’UE per disciplinare ulteriormente la gestione dei dati, con il Digital Omnibus è prevista una riorganizzazione normativa che comporta un “taglia e cuci” di vari atti normativi per abrogarne alcuni e accorparne altri che neanche avevano fatto in tempo ad entrare pienamente in vigore o ad essere metabolizzati dagli addetti ai lavori della compliance aziendale.
Nel complesso, è quindi un pacchetto di misure che potrà fare felici quelli che affermano di non avere niente da nascondere e le aziende che considerano la privacy una burocrazia inutile, ma neanche per loro è tutto oro quello che luccica, perché la sburocratizzazione e le semplificazioni tecnologiche potrebbero essere più complicate di quanto si possa pensare.
Infatti, se con le semplificazioni proposte dalla Commissione Europea il quadro normativo si orienta verso maggiore flessibilità nell’utilizzo dei dati personali per finalità di AI, la responsabilità dei professionisti della privacy e della cybersecurity diventa paradossalmente ancora più gravosa per districarsi nei nuovi scenari che si affacciano all’orizzonte delineandosi profondamente diversi da quelli attuali, e le aziende non potranno più fare affidamento su espliciti divieti normativi tediosi ma comunque certi, e dovranno esercitare un continuo bilanciamento tra opportunità di business e protezione dei diritti.
Inoltre, migliaia di imprese che avevano investito soldi e risorse per adeguarsi alle prescrizioni attuali dovranno adesso rimettere le mani sui loro modelli organizzativi per aggiornarli alle semplificazioni, senza pensare a modulistica e montagne di documentazione formalistica che presto potrebbe non servire più, e che necessiterà perciò di una revisione generale per non risultare erronea o fuorviante. Perfino chi aveva virtuosamente inserito un Data Protection Officer dovrà rifare le opportune valutazioni per verificare se sarà sempre necessario mantenerlo o organizzarsi per farne a meno. Tirando le somme, per beneficiare delle semplificazioni occorrerà rimboccarsi le maniche e avviare un’accurata due diligence per accertare cosa sarà possibile smantellare di ciò che era stato precedentemente fatto, e cosa invece deve essere mantenuto e/o aggiornato.
Pertanto, almeno in una prima fase di transizione, le semplificazioni rischieranno di penalizzare chi aveva investito risorse e denaro per adeguarsi, e daranno invece sollievo a chi finora non aveva fatto niente per adeguarsi, o peggio ancora, chi delle regole europee se ne era infischiato, e a questo riguardo forse lo sguardo andrebbe rivolto oltreoceano.
di Nicola Bernardi (Fonte: Economy)
Sei socio Federprivacy? effettua il login e leggi online il numero integrale del mensile Economy di novembre 2025
