Cosa unisce un ragazzo dai capelli rosa, uno scandalo internazionale, la Brexit le nostre imprese e clienti e utenti di tutto il mondo? Il filo conduttore passa dal  canadese Christopher Wylie, che ha portato a galla lo scandalo della Cambridge Analytica e di come venissero venduti i dati immagazzinati da Facebook a questa sociretà per creare, grazie ad un’app contenente un test di personalità, pubblicità mirate e politicizzate, veicolo di messaggi agli elettori delle elezioni presidenziali americane e del referendum sulla Brexit. Un sistema che ha permesso di spiare i profili Facebook di almeno 50 milioni di persone.

Dal nuovo al vecchio continente il salto è breve, come analizza James Q. Whitman nel suo saggio del 2004 pubblicato dallo “Yale Law Paper” dove paragona quegli spazi di internet dove scriviamo i nostri pensieri per pochi intimi amici ad una vera e propria casa. Mette inoltre a confronto le due culture occidentali, sottolineando la differenza di come viene vissuta l’idea di privacy. Mentre negli USA viene considerata come una questione di libertà, una protezione dall’intromissione del governo, in Europa la privacy è identificata con la dignità, idea originata dal concetto storico di onore, spesso legato alla tutela nei confronti delle intrusioni nella vita privata della stampa.

“La casa è una cittadella di sovranità individuale”          James Q. Whitman

Così lo scandalo fa da involontario apripista al GDPR (General Data Protection Regulation – in italiano Regolamento Generale sulla Protezione dei Dati – Regolamento Europeo UE 2016/679), formato da 99 articoli.

La risposta europea dei problemi legati al data breach (un incidente di sicurezza in cui dati sensibili vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato) è entrata in vigore il 25 maggio 2018 e sostituisce di fatto il vecchio Dlgs 196/2003.

  • A chi è rivolto il nuovo GDPR?

A qualunque persona fisica identificata, o alla cui identità si riesce a risalire, i cui dati personali vengono raccolti e trattati da terzi.

  • Cosa cambia nella sostanza?

Il modo in cui deve essere concepita la tutela della privacy. Non più come una formalità, fatta di frasi incomprensibili e scritte molto in piccolo a cui ci veniva chiesto di apporre la nostra firma. Tutto questo non basta oggi.

  • Nel dettaglio?
  1. INFORMATIVA. Il consenso che si raccoglie dev’essere informato e consapevole. Bisogna rendere partecipe l’interessato di come verranno trattati i suoi dati, per quanto tempo e chi sarà il responsabile alle misure di sicurezza che lo tutelino affinchè non si abbia un data breach. (art. 13 GDPR).
  2. COMPRENSIONE. Deve essere scritto in modo comprensibile a tutti, non un mix di termini giuridici ignorati dai più.
  3. RISCHI. Il metodo di valutazione dei rischi dev’essere il più personalizzato possibile. Non potrà essere quindi copiato dal vicino d’azienda, ma bisogna dimostrare al Garante della privacy di aver valutato in modo concreto, reale e personale quale rischio rappresenti il trattamento svolto per gli interessati e di aver le giuste precauzioni.
  4. Diritto all’oblio. Il consumatore potrà revocare il consenso in qualsiasi momento e quindi l’azienda sarà obbligata a cancellare tutti i dati raccolti;
  5. Portabilità dei dati: si potrà chiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro;• Diritto all’oblio: si potrà chiedere la cancellazione dei propri dati personali online.
  6. Grandi aziende. Obbligo di redazione del registro delle attività di trattamento dei dati personali: tutti i titolari e i responsabili del trattamento dei dati personali, ad esclusione delle imprese o organizzazioni con meno di 250 dipendenti, devono redigere il registro dei dati personali.
  7. Minorenni. Il consenso sarà considerato valido a partire dai 16 anni, prima di quell’età dev’essere espresso da un genitore o da chi ne fa le veci.
  • Che succede se ci si accorge di una violazione dei dati?

Le aziende, se subiscono fughe di informazioni sensibili, devono comunicarlo agli utenti di cui hanno i dati entro 72 ore.

  • Chi è che si occupa di gestire questi dati?

Il responsabile della protezione dei dati (o Data Protection Officer, DPO). Si tratta di una figura nuova, che ha il compito di vigilare sul trattamento e sulla protezione dei dati all’interno della struttura del titolare del trattamento. Collabora anche a valutare le misure di sicurezza opportune da adottare per evitare perdita, distruzione o sottrazione dei dati e collabora, soprattutto in caso di violazioni o inadempimenti, con il Garante della Privacy.

  • Ma chi ha già raccolto nel tempo il consenso privacy? 

Brutta notizia, dovrà richiedere nuovamente il consenso secondo l

 

e nuove disposizioni.

  • Cosa succede a chi non rispetta o non si adegua?

Chi infrangerà il GDPR (ad esempio con la mancata acquisizione del consenso) o non si adeguerà ad esso potrà arrivare ad avere sanzioni fino al 4% del fatturato annuo o 20 milioni di euro.

E voi cosa ne pensate? La paura proveniente dalle grandi imprese e dai loro enormi database è giustificata anche nelle piccole imprese che circondano il nostro quotidiano? Quanto tempo, personale e costi coinvolgeranno il nuovo adeguamento a discapito delle aziende?

Simone Bertolo

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *