Diritto dell'Unione europea

Il GDPR: proteggere i dati da noi stessi nell’epoca di internet

Dal 25 maggio 2018 le nostre vite sono profondamente cambiate e non ce ne siamo ancora resi conto. Dal questa data, infatti, tutti noi siamo stati messi in grado di essere consapevoli dell’importanza di un bene che vale più dell’oro e del petrolio, messi insieme, e che sarebbe nella nostra disponibilità, ma che noi non riusciamo a considerare nel suo valore e letteralmente lo regaliamo a chi ne fa un uso smodato e sconsiderato, gestendo a proprio piacimento le nostre vite ed il nostro quotidiano: questo bene sono i nostri dati personali.
Stiamo parlando di quegli elementi che, nella definizione del Garante per la Protezione dei Dati Personali (per favore cerchiamo di non chiamarlo Garante Privacy, altrimenti, come vedremo, non riusciremo mai a comprendere realmente la questione), sono quelle informazioni che identificano o rendono identificabile, in via diretta o indiretta, una persona e dalle quali si possono trarre informazioni sulle sue caratteristiche, abitudini, stile di vita; addirittura le relazioni personali e lo stato di salute. Non solo, quindi, il nome e gli altri dati anagrafici, ma anche il codice fiscale, il numero di cellulare, la targa di un veicolo, l’indirizzo IP da cui inviamo mail o navighiamo in rete e che permette di risalire alle nostre preferenze in materia di cibo, abbigliamento, musica, e così via.
Non dimentichiamo poi i dati definiti sensibili, vale a dire quelli che rivelano la l’origine razziale od etnica, le opinioni religiose o politiche, l’appartenenza a un sindacato o a organizzazioni fondate su pensiero e ideologia, ma anche la nostra salute e le preferenze sessuali per finire con i dati penali.
Si tratta della nostra storia personale, della nostra vita, del nostro presente e futuro che, adesso, finalmente, saremmo in grado di proteggere e invocare la loro riservatezza, di proteggere la nostra privacy da interferenze esterne. Adesso finalmente la tanto bistrattata Unione Europea, ha messo a disposizione di tutti uno strumento che ci permetterebbe di tutelare la nostra sfera personale. Uso il condizionale per forza di cose, perché, come vedremo, siamo i primi colpevoli nel non volerci tutelare.
Stiamo parlando ovviamente del GDPR, il Regolamento 679/2016, quello lo strumento comune per tutti gli Stati dell’Unione che sta cercando di disciplinare in maniera uniforme e cogente il trattamento e la circolazione dei dati. Ignorata e non capito da molti, e vista con terrore dalle aziende e dai professionisti che sono obbligati ad applicarla, la nuova disciplina consiste in quell’insieme di norme, comportamenti e obblighi che ricadono in capo a tutti coloro che ricevono, in qualsiasi maniera, dati personali e che, adesso, sono obbligati a proteggerli, previa espressa autorizzazione e consenso da parte di chi li concede. Per provare a dirla in maniera comprensibile, non siamo più in presenza della vecchia cosiddetta legge Privacy (D. Lgs. 196/2003) in base alla quale, specialmente nella prassi, si autorizzava genericamente un’azienda a usare in maniera quasi indiscriminata i nostri dati con una semplice firma o un click su computer e cellulari. Oggi chi ci chiede i nostri dati deve chiedere il permesso e garantire l’esercizio di ben identificati diritti.
Perché il GDPR? I legislatori Europei, più di noi stessi, si sono resi conto più dei cittadini, di come il dato sia diventato un bene prezioso e che necessita di protezione e tutela. Furti di dati, accesso ai database, profili clonati, false identità, truffe on line e così via, sono fenomeni di cui si legge sulla stampa quasi quotidianamente, ma di cui non ci rendiamo conto della portata e dei potenziali danni che possono derivare ai singoli e all’intera economia mondiale. Basti pensare che mediante la creazione di identità false, o usando in maniera strumentale i dati di categorie di persone, è possibile incidere sul voto per il presidente degli Stati Uniti così come per determinare il vincitore di un reality show.
Il punto focale, purtroppo, è che manca, specialmente in Italia, la cultura della protezione del dato. Ogni giorno, ognuno di noi, che ha in mano uno smartphone o una un computer dice in media due o tre volte la bugia più diffusa al mondo: ognuno di noi. La bugia è un “sì” alla domanda che viene posta quando si vuole procedere nella navigazione su un sito, acquistare un prodotto, leggere una notizia. La possiamo porre in questi termini, anche se le variazioni sul tema sono molteplici: “Dichiarate di avere letto, compreso e accettato le condizioni per la navigazione, i termini della privacy e l’uso che viene fatto dei vostri dati’” Alzi la mano che legge quelle pagine di caratteri scritti con formati mignon. Siamo quindi consapevoli di dove e in mano a chi vanno i nostri dati?
In una recente intervista il Garante ormai decaduto e non ancora rinnovato, ha parlato di ingenuità dei consumatori ed evidenziato come il sistema di protezione dei dati creato dal GDPR sia un baluardo a difesa di loro stessi che continuano, nei fatti, a non comprendere. Dall’altro lato troviamo peraltro aziende che, spaventate dai costi e indifferenti alle conseguenze delle loro gravi omissioni, ancora non si sono adeguate alla nuova normativa e disapplicano sistematicamente anche ogni norma di normale cautela ed espongono i dati degli utenti, clienti, consumatori, non solo a costanti attacchi di hacker, ma anche a forme di profilazione. Recentemente è stato scoperto su un cloud non protetto un archivio con otre un miliardo di dati personali. In Italia sono state vittime di attacchi sia di hacker che di Anonymous alcuni tra i principali siti anche di posta certificata; l’erede online di Pagine Gialle ha subito pesanti attacchi, ed anche Unicredit ha visto recentemente finire on line i dati dei suoi clienti.
Nella stessa intervista appena menzionata, il Garante è andato oltre, sottolineando come la ricerca della privacy sia la richiesta di un privilegio anacronistico nell’epoca di massima compenetrazione tra uomo e tecnologia: ognuno di noi ha abdicato alla propria privacy nel momento in cui ha acceso il suo primo computer o il suo primo cellulare. Ciò non esime quantomeno dal tentare di tutelarla e con la nuova normativa si prova perlomeno, da un lato, di impedirne l’uso parte senza il nostro consenso, dall’altro a sensibilizzare chi dispone dei dati a proteggerli.
Sarebbe peraltro opportuno e corretto non usare il termine privacy come sinonimo di quello che, in corrette italiano, rende maggiormente l’idea: riservatezza, vale a dire protezione della sfera personale. Proteggere la privacy vuol dire proteggere l’abitazione così come un luogo di lavoro, ed anche lo spazio virtuale in cui oggi ognuno di noi si muove. Possiamo fare mettendo delle tendine alle finestre o non usando social e applicazioni. Questo è dovrebbe essere un preciso dovere di ciascuno di noi.
Il GDPR è una norma rivolta verso chi, per pubblica necessità o per la conclusione di un contratto non può prescindere dall’ottenere i nostri dati. Devono proteggerli non farseli rubare, non divulgarli, non metterli a disposizione di chi ne fa commercio o uso improprio. Ma loro in primis ne devono fare l’uso corretto e mettere l’utente in grado di sapere come vengono utilizzati. L’esempio più banale ma efficace per comprendere è quello di un albergo. Il cliente è obbligato a dichiarare il proprio nome per poter soggiornare; l’albergatore può chiedere un indirizzo mail per inviare offerte o fare pubblicità, ma il cliente deve esserne reso edotto e autorizzare l’invio, accettando espressamente questa tipologia di trattamento dati. Con la vecchia normativa bastava una firma per iscriversi a mailing list, accettare telefonate pubblicitarie, vedere il proprio dato ceduto ad aziende di marketing o di ricerche di mercato. Oggi almeno in teoria tutto ciò non è più possibile. E’ compito non solo degli operatori quello di creare consapevolezza nell’utente che, forse, allora sarà disponibile a comprendere che cosa sia la protezione del dato e dove differisca dalla tutela alla riservatezza (non chiamiamola privacy). Quando si creerà questa consapevolezza? Purtroppo quando per qualcuno sarà troppo tardi. E se nel caso di un singolo sarà quando avrà visto i propri dati essere usati in modo illecito o sarà vittima di una truffa, per qualche azienda sarà dopo avere ricevuto una sanzione da parte del Garante per la mancata applicazione del GDPR. E queste sanzioni partono dalla non modica cifra di ventimila euro.

Avv. Gianni Dell’Aiuto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *