28 Febbraio, Giornata Europea sulla protezione dei dati personali.
Il 28 febbraio, ormai dal 2007 si celebra in tutta Europa la “Giornata della protezione dei dati personali”. Si tratta di un’iniziativa promossa dal Consiglio d’Europa con il sostegno della Commissione europea e di tutte le Autorità europee per la protezione dei dati personali con l’obiettivo di sensibilizzare i cittadini sui diritti legati alla tutela della vita privata e delle libertà fondamentali.
Noi di Leasecredi da sempre siamo dalla parte della trasparenza e crediamo fermamente che i nostri clienti debbano essere clienti informati, proprio per questo abbiamo intervistato il maggior esponente e divulgatore in materia: Giovanni Battista Gallus, esperto in Diritto d’autore, diritto penale, tutela della privacy, diritto dell’informatica e profili giuridici dei droni, abbiamo chiesto lui di far chiarezza sulla protezione dei dati personali.
Quali sono i rischi nel rilascio dei propri dati personali e come ci si può proteggere?
Controllare la diffusione dei propri dati personali in rete, scegliere accuratamente cosa e come diffondere, soffermarsi un attimo per informarsi quali siano le “regole di casa” delle piattaforme, come utilizzano o riutilizzano i nostri dati, avere consapevolezza delle conseguenze della perdita dei propri dati, o della loro sottrazione, è un passo importante. Attraverso i dati che diffondiamo in rete oramai esprimiamo il nostro io, spesso in maniera non del tutto cosciente. La prima e fondamentale regola, è, dunque, la consapevolezza. Il che, naturalmente, non vuol dire affatto una chiusura di stampo luddista alle potenzialità della rete e delle piattaforme (che rischia come minimo di creare nuova esclusione sociale), ma informarsi e conoscere i rischi, per acquisire (o riacquisire) il controllo dei propri dati personali.
Quali sono i rischi nel rilascio dei propri dati personali e come ci si può proteggere?
Il GDPR (Regolamento generale sulla protezione dei dati) fornisce degli strumenti importanti, mettendo al centro l’interessato, vale a dire il “proprietario” (per così dire) dei dati personali, che non solo deve essere compiutamente informato, ma può avvalersi di istituti nuovi (o potenziati) quali il diritto all’oblio, o l’innovativo diritto alla portabilità del dato, che consente di trasferire i propri dati da un servizio all’altro. O ancora l ’obbligo per il titolare di avvisare gli interessati in caso di violazione dei dati personali. Questo vuol dire che (salve alcune eccezioni) il gestore di un social (o la mia banca, anche se per gli istituti di credito e per le telco questo istituto è già conosciuto) dovrà informarmi se vi è stata un’intrusione o una perdita o una diffusione accidentale di dati, che sia suscettibile di presentare un rischio elevato per i miei diritti e le libertà fondamentali. I data breach, ossia le violazioni di dati, che prima venivano accuratamente nascosti, ora devono essere comunicati al Garante (e agli interessati). Non solo: il GDPR estende in maniera evidente il proprio ambito di applicazione a tutti coloro che trattano i dati di cittadini dell’Unione Europea, restando quasi irrilevante la sede del gestore della piattaforma o del servizio.
Cosa possono fare tutte le aziende e startup per adeguarsi alle nuove normative europee?
Il primo e fondamentale passaggio è capire il concetto di “responsabilizzazione”. Il GDPR non prevede checklist o elenchi di obblighi, come l’allegato B. del Codice della Privacy. Al contrario, è il titolare del trattamento a dover valutare, in autonomia, quali dati trattare, il livello di rischio, e le misure da adottare. Ma deve essere anche in grado di dimostrare di rispettare i principi del Regolamento. In quest’ottica, diventa quasi indispensabile implementare il registro dei trattamenti (adempimento che assomiglia al “vecchio” DPS) anche nei casi in cui non è obbligatorio, proprio per essere in grado di avere una traccia documentale di quanto si è fatto. È un cambiamento notevole, che deve essere compreso e rispettato. E, proprio per questo, le aziende devono cogliere l’occasione per progettare (o riprogettare) le proprie architetture informatiche sulla base dei principi di data protection by design e by default. I flussi di dati personali, le interazioni tra i trattamenti, le misure di sicurezza organizzative e tecniche non devono essere pensate a posteriori, ma considerate fin dall’inizio. Una startup oggi non può fare a meno di valutare, nella progettazione ad esempio di una app, come questa processi i dati personali, dove siano conservati, a chi siano comunicati. Farlo a posteriori è un’attività sbagliata e controproducente. Non solo: occorre mettere mano alle informative (che devono essere più chiare, e saranno rappresentate anche da icone) e alle richieste di consenso. Da ultimo, bisogna organizzarsi per essere pronti a rispondere alle richieste di portabilità del dato (lo facciamo già per il numero telefonico e per comunicare tempestivamente (entro settantadue ore) i data breach, e per nominare (se tenute) il data protection officer, figura fondamentale nell’impianto del GDPR. Proteggere correttamente i dati che un’azienda tratta, avere a cuore il rispetto dei principi fondamentali, non è solo un obbligo ma può essere anche una utile mossa di marketing.
Come possiamo educare alla protezione dei propri dati personali?
Partire dalle scuole e dalle famiglie, e formare anche un corpo docente consapevole e attento. Non demonizzare gli strumenti (che oramai fanno parte integrante della nostra vita, è totalmente sbagliato continuare a distinguere tra virtuale e reale, come se ci fosse una cesura che è stata cancellata da tempo) ma formare e informare, con competenza e attenzione. Lo stesso andrebbe fatto per tutte le fasce di età, magari con una sorta di “Maestro Manzi 2.0”.
Infine, sempre riguardo la protezione dei dati personali, come secondo te si evolverà il web nei prossimi anni?
L’evoluzione del web, oltre che al GDPR, è legata alla proposta di direttiva E-privacy, che non è detto sia approvata in via definitiva prima del 25 maggio, e che, stando al testo attuale (ma non è detto che sia definitivo) dovrebbe comportare, anche in questo caso, un maggior controllo da parte degli utenti, una riduzione dell’invasività dei cookie e dei banner e una decisa stretta sui web analytics. Per quanto riguarda il GDPR, certamente i principi di privacy by design e by default influiranno nella costruzione dei siti (e nel trattamento dei dati degli utenti), mentre il già menzionato diritto alla portabilità consentirà (o meglio dovrebbe consentire) di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. Ma il più grande cambiamento sarà legato a un altro aspetto sottolineato prima: l’estensione della portata delle norme europee a tutti coloro che trattano i dati dei cittadini dell’Unione. È su questo terreno, nei cambiamenti che le grandi piattaforme dovranno adottare (pena salatissime sanzioni, che arrivano fino al 4% del fatturato globale annuale del gruppo) che si misurerà il successo del GDPR.