di Ilaria Li Vigni
Oggi 25 maggio 2018 è entrato in vigore il GDPR che contiene le nuove norme in tema di privacy. Cambiano le regole per le società di telefonia, le pubbliche amministrazioni e anche per le aziende che trattano dati personali.
A poco tempo dallo scandalo Facebook sulla cessione di dati personali ad aziende terze, per scopi commerciali e politici, arriva il Regolamento generale sulla protezione dei dati, nuove norme europee in materia di privacy che si propongono di tutelare maggiormente cittadini e aziende nella gestione delle informazioni personali, responsabilizzando coloro che trattano i dati.
Tra le novità più importanti si ricorda che il Regolamento si applica anche ad organizzazioni che non hanno sede nell’Unione europea e che, conseguentemente, devono adeguarsi, come nel caso dei social media o di multinazionali con base extra UE.
Approvato nell’aprile 2016 dal Parlamento Europeo, il GRDP (2016/679) ha lo scopo di rafforzare la tutela nel trattamento delle informazioni per tutte le persone fisiche all’interno dell’Unione Europea, indipendentemente da dove questi vengano custoditi.
Si tratta, dunque, innegabilmente di un miglioramento rispetto alle norme già esistenti.
Sei i principi su cui si basa. Innanzitutto, i dati devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato (art.5). Le finalità della raccolta di informazioni devono essere esplicite e legittime, e il loro uso deve essere limitato rispetto alle finalità stesse e circoscritto nel tempo rispetto all’obiettivo della raccolta. I dati devono essere aggiornati, quindi – se necessario – anche cancellati o modificati in modo tempestivo. Si stabilisce, inoltre, che chi si occupa di acquisire e conservare nomi, cognomi e numeri di telefono dei consumatori si adoperi per la loro custodia con un’adeguata sicurezza, pena sanzioni in caso di violazioni (data breach).
Tra le modifiche introdotte dal nuovo Regolamento europeo, quella che stabilisce un trattamento chiaro e specifico dei dati.
Se fino ad ora le aziende si limitavano a chiedere il consenso all’uso di informazioni come nome, cognome, numero di telefono o indirizzo email, ora dovranno specificare se lo scopo della richiesta sia quello di marketing (dunque promozionale), di profilazione (creare un profilo ad hoc al quale inviare messaggi specifici di natura commerciale o di comunicazione), di geolocalizzazione (andando a catalogare dati in base al luogo nel quale ci si trova), ecc.
Altro passaggio importante riguarda poi il linguaggio delle informative, che, finora, rappresentava una criticità. Le società che chiedono il consenso al trattamento dati devono farlo in modo comprensibile, senza ricorso a un linguaggio tecnico. Occorrono caratteri ben visibili, che escludano clausole di difficile comprensione o lettura.
A differenza del passato, una volta dato il consenso al trattamento dei dati personali, il consumatore potrà comunque cambiare idea. Sarà facoltà dei cittadini non solo chiedere di conoscere quali informazioni sullo stesso le aziende detengano, ma, anche, come sono trattati e come sono stati reperiti. Finora, si trattava di una possibilità più teorica che concreta, mentre con la nuova normativa le società saranno obbligate a fornire risposte alle richieste, pervenute tramite raccomandata o posta certificata.
Nel caso in cui le informazioni personali siano trattate in modo non lecito o siano cambiate nel corso del tempo (senza essere opportunamente aggiornate), gli utenti hanno il diritto di chiederne la modifica o la cancellazione. È il caso di informazioni che riguardino, ad esempio, un procedimento giudiziario che ha visto coinvolto un cittadino, poi assolto.
Questi può esercitare il diritto all’oblio, ottenendo che le notizie relative al processo siano cancellate o adeguatamente rettificate. Ciò è valido non solo per i mezzi di comunicazione, ma anche per i motori di ricerca, dove spesso finora rimanevano notizie del passato non modificate o integrate.
Il Regolamento europeo prevede, poi, che sia responsabilità delle società che trattano dati fare in modo che questi siano salvaguardati in maniera efficace. Si tratta dell’accountability, concetto strettamente legato alla violazione della privacy o data breach, in pratica è responsabilità delle aziende farsi carico della sicurezza e, in caso di infrazioni o inosservanze, saranno proprio i possessori delle informazioni (e non chi le ha cedute, come accadeva finora) a risponderne in prima persona, anche con apposite sanzioni.
È il caso di furti o attacchi informatici, che dovranno essere prontamente comunicati dalle società al Garante e dunque anche agli utenti. Le sanzioni previste possono arrivare a 20 milioni di euro o al 4% del fatturato delle aziende stesse detentrici dei dati.
Infine, attenzione particolare è rivolta al trattamento delle informazioni per i minori che non potrà più avvenire, se non in presenza di apposita autorizzazione da parte del genitore. Ciò varrà per i minori di anni 16 e, in particolare, anche per l’accesso ad alcuni servizi internet, compresi i social media.
Trattasi di Regolamento complesso, per ovvi motivi, qui sintetizzato solo per punti, con cui l’Europa impone agli Stati membri e, non solo, particolare attenzione alla diffusione ed alla gestione dei dati personali.
Occorrerà verificare, nei prossimi mesi, le normative tecnico-applicative nei singoli Stati per monitorare la concreta applicazione del Regolamento stesso in un settore in continua, capillare evoluzione di anno in anno.
Ma soprattutto occorrerà sensibilizzare l’utente ad una gestione prudente dei propri dati personali e ad un utilizzo consapevole e corretto dei social networks, in primis, piattaforme potenzialmente molto rischiose per la lesione della privacy.
Solo in questo modo l’indicazione normativa europea potrà apportare un concreto miglioramento nella tutela della riservatezza dei cittadini, diritto basilare per ogni società moderna.
