Le vicende recenti di Facebook hanno messo in chiara evidenza l’importanza dei dati personali e della loro protezione. Nel quadro che ne emerge ciascuno di noi è chiamato a spendere del tempo per proteggersi e per comprendere appieno quali e quante siano le informazioni condivise e, soprattutto, dove queste vanno a finire.
Negli ultimi due post abbiamo visto come Facebook e Google, da sole, siano in grado di tracciare praticamente un profilo completo della nostra vita e che questo profilo resta memorizzato praticamente a vita: la normativa vigente è ampiamente carente, e i fatti lo hanno dimostrato. Con l’aggravante, se così si può dire, che questa carenza non è nuova ed è emersa già da tempo.
E’ proprio in questo ambito che si innesta la normativa europea 2016/79, detta GDPR o General Data Protection Regulation, un complesso di regolamentazioni che, come dice la codifica normativa, è stata promulgata già due anni fa, con la pubblicazione in Gazzetta Ufficiale Europea datata 4 maggio 2016, e successiva entrata in vigore al 24 maggio dello stesso anno.
Data la complessità dell’impianto legislativo che ne segue, che impone vincoli rispetto a cui le aziende non faticheranno solo ad adattarsi dal punto di vista amministrativo, ma anche tecnologico, l’Unione Europea ha concesso di posticiparne l’attuazione di ben due anni, spostandone l’entrata in vigore al 25 maggio 2018: poco meno di un mese da oggi.
Lo scandalo Cambridge Analytica non è che la punta dell’iceberg del fenomeno della perdita, travaso e trasmissione non autorizzata di dati personali e il GDPR ha come obiettivo proprio di tappare questa falla, alzando decisamente l’asticella dei requisiti in merito alla protezione dei dati personali. La novità essenziale sta proprio alla base dell’intero impianto normativo, secondo cui la tutela dei dati personali rientra nel novero dei diritti e delle libertà fondamentali delle persone fisiche, un importante caposaldo citato espressamente nell’Articolo 1, che vi invitiamo a leggere.
E’ importante sottolineare che il GDPR ha validità entro l’Unione Europea, è quindi ancora da capire quale sarà l’effettivo impatto della sua applicazione nel mondo globalizzato dell’informatica, con particoalre riguardo ai colossi d’oltreoceano come Amazon, eBay, Google, Facebook ed Apple.
Ma cosa cambia veramente con l’introduzione del GDPR? Vediamo in questo articolo una panoramica delle effettive novità in termini di normativa, con conseguente necessità di adeguamento di grandi e piccole aziende.
Veniamo subito ad un punto nodale: quello della territorialità. Se da un lato è vero che il GDPR ha validità in ambito comunitario, la stessa legislazione impone una estensione della giurisdizione normativa che promulga, applicandosi di fatto a tutte le aziende che trattano i dati di soggetti residenti nell’Unione Europea, indipendentemente dalla collocazione geografica dell’azienda titolare del trattamento. Vale a dire che anche se Amazon, Facebook e Google e Apple hanno sede in California, poiché trattano dati di soggetti residenti in UE devono ottemperare in ogni caso agli obblighi di legge.
Sono previste pene severe: la violazione degli obblighi normativi comporta una sanzione che può anche arrivare a 20 milioni di euro o al 4% del fatturato annuo, comminando il massimo tra i due. Pene per violazioni minori possono andare intorno al 2% del fatturato, comunque non certo bruscolini.
Il consenso al trattamento dei dati personali non potrà più essere annegato in un lunghissimo corpo di clausole praticamente illegibili, ma deve essere il più stringato, accessibile, intelligibile e chiaro possibile. Abbiamo visto con i post scorsi che l’aver concesso genericamente a Google di accedere alla posizione GPS del dispositivo ha comportato, di fatto, la registrazione perenne e continuativa di tutto il tracciato record degli spostamenti della persona. Questo, per fare un esempio, d’ora in poi dovrà essere dichiarato in modo chiarissimo e privo di qualsiasi ambiguità.
Il cardine centrale del GDPR è il diritto: la persona fisica avrà il diritto di sapere, entro 72 ore, se i propri dati personali sono stati violati, avrà il diritto di accedere ai propri dati e di sapere con quale modalità e con quale scopo vengono trattati e trasmessi.
Inoltre il titolare dei dati personali dovrà garantire, cosa che già fanno Facebook e Google, la possibilità di scaricare integralmente i dati personali forniti dalla persona fisica. E’ proprio su questa facoltà che abbiamo costruito gli ultimi due post. Abbiamo visto quanto sia lunga la memoria dei sistemi informativi, che conservano le tracce – per intero – di tutte le informazioni che abbiamo condiviso.
Su questo punto cruciale che si innesta il diritto alla cancellazione permanente dei dati (right to be forgotten), comprese le eventuali copie già comunicate a terze parti. L’articolo 17 impone, con particolare attenzione, che la cancellazione rimuova completamente tutti i dati non rilevanti ai fini dell’espletamento del servizio. E’ una rivoluzione copernicana perché le aziende hanno fatto espressamente leva sul consenso, di fatto estorto se si vuole usare il servizio, per ottenere dati che rientrano poco o nulla nell’ambito del processamento necessario per la sua erogazione.
Dovrà essere garantita la portabilità del dato, ovvero il soggetto potrà richiedere una copia ed avrà facolta di trasmettere i propri dati ad un altro fornitore del servizio, senza che quello originale ne mantenga una copia. Questo è un passaggio cruciale per le aziende che forniscono servizi, come ad esempio quelle operanti nel mercato delle Utility (leggi luce e gas) e delle Telecomunicazioni (leggi operatori mobili e fissi): dovranno non solo “migrare” il servizio, ma anche tutti i dati connessi ad esso.
Il GDPR sancisce, per la prima volta al livello normativo, che la privacy non possa essere implementata nei sistemi “a posteriori”, ma che questi dovranno essere progettati espressamente per garantire la privacy. Questo concetto, con cui dovremmo presto tutti fare i conti, va sotto il nome di Privacy by Design e include in modo espresso il concetto di “dato strettamente necessario” (Art. 23). La novità, stavolta sancita al livello normativo, è che non solo non sarà più possibile registrare dati addizionali rispetto a quelli strettamente necessari, ma sarà proprio vietato progettare e realizzare sistemi che li trattano.
Le aziende, comprese quelle italiane, faticheranno non poco ad adattarsi al GDPR perché, attualmente, i software utilizzati sono raramente attrezzati per rispondere a tutti i requisiti. Pensiamo ad un caso classico, in cui un utente abbandona l’operatore di telefonia mobile A per passare all’operatore B: l’operatore A dovrà cedere alla persona per intero tutti i dati personali alla stessa persona che migrerà all’operatore B. Non sarà quindi più possibile ricevere, ad esempio, le classiche telefonate di vendita serali se la persona avrà espressamente richiesto la portabilità del dato, ovvero che tutti i dati precedentemente forniti ad A siano stati trasferiti a B.
E’ una rivoluzione copernicana, indubbiamente, con molti tratti controversi, ad iniziare dai costi per le aziende che potrebbero alla fine scaricarsi sull’utente finale.
-> Vai al testo originale del GDPR
-> Vai alla guida al GDPR a cura del Garante della Privacy
