Il GDPR, lo sconosciuto che protegge i nostri dati personali
Nonostante che il Regolamento Generale sulla Protezione dei Dati (meglio conosciuto col suo acronimo inglese di GDPR) sia in vigore da più di 4 anni e operativo da più di 2, la comprensione generalizzata dei suoi intenti e delle sue modalità resta abbastanza oscura.
In questo articolo ne racconterò i punti salienti principalmente dal punto di vista di chi ne è tutelato, cioè noi tutti cittadini dell’Unione (e altri, come vedremo).
Nonostante che il Regolamento Generale sulla Protezione dei Dati (meglio conosciuto col suo acronimo inglese di GDPR) sia in vigore da più di 4 anni e operativo da più di 2, la comprensione generalizzata dei suoi intenti e delle sue modalità resta abbastanza oscura.
In questo articolo ne racconterò i punti salienti principalmente dal punto di vista di chi ne è tutelato, cioè noi tutti cittadini dell’Unione (e altri, come vedremo).
Per quello che ho avuto modo di vedere, le reazioni al GDPR sono varie ma quasi tutte tendenti a quello che uno psicologo chiamerebbe evitamento: si passa da una sorta di allergia all'argomento, affidandone la risoluzione ad un consulente privacy con la speranza che ci secchi il meno possibile, fino ad arrivare a fare finta che non esista il problema al limite utilizzando qualche soluzione preconfezionata (tipo quelle fornite da Iubenda) sperando che da sola sia sufficiente a renderci compliant.
Purtroppo la seconda strada da sola non basta e non perché Iubenda sia insufficiente — anzi fornisce degli ottimi strumenti da affiancare alla strategia aziendale di protezione dei dati — ma il problema è che i sistemi automatici (probabilmente installati solo sul sito web) non possono venire in azienda a organizzare come si processano e conservano i dati personali raccolti.
Ma vediamo una cosa alla volta, cominciamo dai fondamentali.
Cosa sono i dati personali?
I dati personali sono qualsiasi informazione relativa ad una persona fisica identificata o identificabile (che si chiama "interessato"), viene considerata identificabile una persona che può essere identificata direttamente o indirettamente.
In altre parole una qualsiasi informazione che da sola o in relazione ad altre permetta di risalire all'identità dell'interessato è un dato personale.
Per esempio, una foto è un dato personale. Se ho una tua foto e altrove trovo un'altra tua foto con associato il tuo nome e cognome (diciamo su Facebook) posso risalire alla tua identità, quindi è un dato personale.
I dati personali sono proprietà inalienabile della persona fisica che identificano.
Cos’è il GDPR?
Il GDPR, General Data Protection Regulation, è il Regolamento (UE) 2016/679 del 4 maggio 2016 entrato in vigore il 24 maggio dello stesso anno ed operativo dal 25 maggio 2018 in cui si prescrive le modalità del trattamento dei dati personali delle persone fisiche.
Estende quella che in Italia viene chiamata legge sulla privacy per renderla adeguata all’attuale pervasività dell’economia delle informazioni.
La territorialità del GDPR e la proprietà dei dati
Il GDPR afferma che i dati personali che vengono trattati in Europa — di chiunque siano, cittadino europeo o meno — appartengono a quel cittadino e sono tutelati, quindi qualsiasi azienda che operi nell’Unione è vincolata dal GDPR.
I proprietari dei dati personali hanno il diritto di sapere come questi vengono trattati, che vengano trattati nel modo corretto e hanno il diritto di cambiare idea e opporsi al loro trattamento in qualsiasi momento.
La titolarità del trattamento dei dati personali
A differenza della legge sulla privacy, il GDPR non prevede nessuna manleva: non è possibile scaricare la responsabilità del trattamento dei dati personali su chi processa i dati come si faceva prima nominando il responsabile privacy.
Per il GDPR il responsabile è il titolare del trattamento (il Data Controller) e il titolare è l'amministratore delegato o comunque chi ha l'ultima parola su ciò che viene deciso in azienda.
Il titolare può incaricare altri soggetti di operare sui dati (i Data Processor) ma senza che la responsabilità del trattamento passi a questi altri soggetti.
Il Data Processor avrà comunque la responsabilità di trattare i dati secondo le procedure che sono state deciso col Data Controller.
In questo senso potreste nominare un DPO (Data Protection Officer) che in italiano si chiama il Responsabile della protezione dati. Il DPO è una figura consultiva che ha come ruolo consigliare la direzione, sorvegliare cosa fa la direzione e di essere l’interfaccia con l’autorità (cioè il garante).
Se un dato personale non è più necessario per la finalità originale deve essere cancellato, ma se c'è un vincolo di legge per la conservazione allora quella diventa la finalità del trattamento e il dato può essere conservato.
Il consenso
Accettando un servizio, ad esempio Gmail, si esprime il consenso al trattamento di tutti i dati personali che sono necessari all’erogazione del servizio stesso: in altre parole se uso Gmail il mio indirizzo email è parte necessaria del servizio e quindi esprimo il mio consenso a Google al trattamento della mia email. Ma, per esempio, analizzare il contenuto delle mie email non è necessario ad erogarmi il servizio e se Google vuole trattarlo per sue specifiche finalità (che mi deve dire esplicitamente) deve ottenere il mio consenso.
Il consenso deve essere informato, libero e revocarlo deve essere facile come lo è stato darlo.
Informato significa che l’informativa deve contenere la spiegazione delle finalità del trattamento formulata con linguaggio semplice e chiaro.
Libero significa totalmente libero, se ti do qualcosa in cambio del tuo consenso questo non è libero: nel nostro esempio se Gmail mi promettesse 50 GB di spazio in più se io dessi il consenso ad analizzare il contenuto delle mie email e i miei pattern di invio, non sarebbe libero consenso.
Quindi per avere il consenso da un utente occorre che noi (come azienda che eroga un servizio) si stabilisca un contratto con lui in cui si dice esattamente cosa verrà fatto coi suoi dati personali e con quali finalità. Una volta accettato siamo vincolati al GDPR e a quel contratto.
Le sanzioni
Le sanzioni sono, diciamo, stellari.
Nel testo si legge che le sanzioni inflitte in ogni caso saranno effettive, proporzionate e dissuasive e alle organizzazioni no-profit viene consentito di portare avanti delle class action a nome dei cittadini.
Il GDPR prevede sanzioni amministrative pecuniarie fino a € 20.000.000,00 o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Conclusioni
In Cantiere, ovviamente, abbiamo la nostra ragionevole dose di allergia ma siamo convinti che trattare i dati personali secondo il GDPR sia la cosa giusta da fare perché i dati personali fanno parte dei diritti fondamentali delle persone e anche perché le sanzioni sono molto dissuasive.
Se avete bisogno possiamo aiutarvi ad essere perfettamente compliant per le applicazioni che realizzerete con noi.
Credits
Le informazioni riportate in questo articolo sono in parte provenienti dal podcast DataKnightmare, nello specifico l’episodio GDPR: cinque pezzi facili usato col permesso della licenza CC BY-SA.
Articolo aggiornato il 7 Luglio 2020 per correggere un’imprecisione sulla territorialità del GDPR.