E’ comprensibile la fretta di Viviane Reding sulla nuova normativa privacy – in fondo si tratta di una questione su cui la sensibilitá pubblica va aumentando – ma il rischio di approvare cattive regole è elevatissimo, ed in tal senso rinviare la chiusura al dopo-elezioni europee non sarebbe a questo punto un gran male.
La proposta di regolamentazione della Commissione soffre di un male tipico delle regole sulla protezione dei dati: molte definizioni sono generiche, a partire dal “consenso esplicito” al trattamento dei dati che rischia di restare solo sulla carta.
Un simile problema riguarda la definizione di “dati personali”, che sembra estremamente complicata: non puó essere troppo dettagliata per via della continua evoluzione tecnologica, ma neppure troppo generica affinché la norma sia efficace. Molti altri punti della proposta soffrono di simili difetti, o rinviano a stadi successivi la definizione dei dettagli.
Gli ostacoli che sono sorti qualche mese fa sulla questione del “one-stop-shop” (ovvero, la possibilità per un’azienda di interagire con una sola Data Protection Authority per l’intero continente) sembrano dare ragione al gruppo di Paesi che giudicano la proposta come troppo severa per le imprese. Questo é un punto sul quale si rischia che lo stallo perduri, e dovrebbe essere reintrodotto considerato che la Commissione lo usó come uno dei modi per “addolcire la pillola” della riforma.
Se non lo faranno, i costi per le piccole imprese rischiano di lievitare notevolmente; già ora, le stime sui costi e benefici economici della normativa sono fortemente discordanti tra loro, considerato che la Commissione ritiene che ci sará un risparmio complessivo di circa 2.3 miliardi di € all’anno, mentre altri lo vedono come un notevole fardello (come il governo inglese, che prevede un costo annuo ulteriore tra i 100 ed i 360 milioni di £ per l’economia britannica).
Inoltre, un grosso problema é dettato dall’efficacia delle sanzioni, specialmente verso i colossi di internet statunitensi, i quali spesso devono scegliere tra quale normativa rispettare.
Le sanzioni in USA per chi si rifiuta di inoltrare dati ad un organismo pubblico sono severissime, e nelle condizioni attuali molti colossi dell’informatica sceglierebbero di violare le regole europee pur di non infrangere quelle americane. Servirebbe un sistema di penalitá tale da non danneggiare eccessivamente le aziende piccole (si pensi alle tante “tech start-up” sempre piú coinvolte nel trattamento di dati), ma al tempo stesso deterrente a sufficienza per quelle piú grandi; ma la proposta attuale sembra molto lontana dal raggiungere un obiettivo simile.
In questo senso, sarà importante vedere anche il dettaglio delle regole sul trasferimento dei dati verso i paesi non-UE. Altri trattati che riguardano il tema, come il “Safe Harbour”, potrebbero essere rimessi in discussione; ma se l’UE vuole negoziare con piú efficacia, deve prima completare la propria riforma della “data protection”.
