Quali sono gli strumenti che ci permettono di tutelare la nostra Privacy?

Carmine De Fusco
Aug 5 · 6 min read

La questione Privacy negli ultimi anni, fortunatamente, è diventata sempre più argomento di dibattito. Tra gli scandali che hanno visto protagonista Facebook e la società Cambridge Analytica o il recente dibattito circa la privacy degli utilizzatori dell’applicazione nota come FaceApp, è chiaro che la tutela dei dati degli utenti vede oggi i legislatori impegnati a legiferare per dare agli internauti gli strumenti per tutelarsi. Sebbene oggi chi naviga sul web sia molto più tutelato che in passato, i nostri legislatori si sono mossi troppo tardi. I colossi del web sono già quasi 20 anni (da quando il web è diventato un fenomeno di massa) che offrono i loro servizi in cambio dei nostri dati, dandoci l’impressione di poter usufruire di tali servizi in maniera gratuita.
Era inevitabile, pertanto, che prima o poi i legislatori, ancora meglio se in ambito di regolamentazione europea, prendessero la situazione in mano. Un primo intervento in ambito europeo è avvenuto con l’entrata in vigore nel 2015 della cosidetta Cookie Law volta a garantire che gli utenti possano essere informati sul fatto che le loro informazioni private vengano usate per scopi di lucro ogni volta che accedono ad un sito web. Un passo in avanti è stato fatto con il GDPR (General Data Protection Regulation) in vigore da maggio 2018. Una cosa da non sottovalutare circa il GDPR è il fatto che essendo un Regolamento è obbligatorio e direttamente applicabile in tutti gli Stati membri dell’Unione Europea. Se fosse stata una direttiva sarebbe servita una legge di recepimento nazionale, in questo caso invece non occorre.

Integrazione rispetto al Codice Privacy D.lgs. 196/2003

Il GDPR può essere visto come un’integrazione che porta molte novità rispetto alla normativa vigente nota come Codice Privacy. Uno degli aspetti più innovativi e interessanti è l’introduzione del concetto di data breach, ovvero la perdita dei dati, e cosa fare per ridurre il rischio che ciò accada.

Altra novità molto interessante è il principio della territorialità che permette ad ogni cittadino dell’UE di essere tutelato a prescindere da dove si trovino i propri dati. Infatti non importa se un’azienda è situata al di fuori dell’Unione Europea (es: USA, Russia), se tale azienda offre servizi a persone che si trovano nel territorio dell’Unione Europea è obbligata a sottostare a quanto dettato dal GDPR. Questo vuol dire che sebbene aziende quali ad esempio Facebook, Google (entrambe Americane) o FaceApp (Russa) non siano situate all'interno dell’Unione Europea, se i dati che gestiscono fanno riferimento ad utenti appartenenti all'Unione, tali utenti sono tutelati dal GDPR. Detto in altri termini quello che vale è la posizione geografica in cui risiede il dato trattato e non la posizione geografica di chi tratta il dato.

Rispetto al precedente Codice Privacy viene data una nuova nomenclatura ai dati personali considerati sensibili i quali ora vengono denominati particolari. Con dato personale si intende qualsiasi informazione che si riferisca ad una persona fisica e che la renda identificabile. Nel dettaglio i dati personali non considerati particolari sono ad esempio: nome, cognome, recapito telefonico, indirizzo di posta elettronica, indirizzo di residenza, ecc. Mentre i dati personali considerati particolari sono ad esempio: Credo Religioso, Preferenze Politiche, Analisi mediche. Quest’ultimi sono considerati particolari perché mentre i primi permettono solo la identificazione di una persona, i secondi riguardano la sfera più intima della vita di una persona.

Il GDPR ad alcune figure già presenti nel Codice Privacy ne aggiunge di nuove. Le figure che erano già presenti sono le seguenti:

  • Interessato del trattamento (Data Subject): Persona fisica a cui si riferiscono i dati personali e pertanto proprietario dei dati.
  • Titolare del trattamento (Data Controller): Soggetto giuridico che (da solo o con altri) definisce le finalità e gli strumenti del trattamento dei dati.
  • Responsabile del trattamento (Data Processor): Persona fisica o giuridica nominata dal titolare del trattamento per elaborare i dati.

Le figure nuove e quindi non presenti nel Codice Privacy sono le seguenti:

  • Responsabile della protezione dei dati (Data Protection Officer): Figura creata ad hoc con varie mansioni come ad esempio informare e dare consulenza al Titolare o Responsabile del trattamento, sorvegliare l’osservanza del regolamento e cooperare con eventuali autorità di controllo.
  • Contitolare del trattamento (Joint Controller): Figura che entra in gioco quando più titolari gestiscono gli stessi dati ma per finalità diverse.

Profilazione e Consenso

Come già accennato, la Cookie Law obbliga i siti web a far sì che gli internauti possano essere consci di come e quale cookie vengono utilizzati, inoltre ogni internauta deve avere la possibilità di poter accettare o rifiutare l’utilizzo dei cookie. Detto in altri termini, ogni internauta deve esprimere il proprio consenso prima che un sito web possa tracciare le attività dell’internauta. Tale attività viene comunemente chiamata profilazione. A tal proposito nel GDPR viene data una vera e propria definizione del concetto di profilazione come indicato di seguito:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Oltre a parlare di profilazione nel GDPR viene fatto riferimento anche al principio del consenso. Viene espressamente richiesto che l’informativa sulla privacy sia chiara, ovvero concisa e scritta in un linguaggio di facile comprensione. L’informativa deve spiegare bene come vengono trattati i dati e con quali finalità, oltre che a richiedere all'internauta l’esplicito consenso per il trattamento. Circa il consenso il GDPR chiarisce in maniera inequivocabile che non si può obbligare un internauta a dare il consenso, in altre parole una condizione necessaria per far sì che il consenso sia valido è che questo possa essere espresso liberamente (quindi senza ricatto).

Tutti gli strumenti che ha l’internauta

Nel GDPR gli strumenti messi a disposizione dell’internauta vengono chiamati Diritti dell’interessato, alcuni di questi sono i seguenti:

  • Accesso: Permette all'interessato del trattamento di accedere ai propri dati richiedendoli al titolare del trattamento.
  • Portabilità: Permette all'interessato del trattamento non solo di accedere ai propri dati ma anche di poterli salvare in in un formato che possa essere trasmesso ad un altro titolare del trattamento.
  • Rettifica: Permette all'interessato del trattamento di richiedere la rettifica dei dati qualora questi siano errati o non aggiornati.
  • Diritto all'oblio: Permette all'interessato del trattamento di richiedere la rimozione dei propri dati personali.
  • Limitazione: Permette all'interessato del trattamento di limitare il trattamento dei dati solo ad alcune ben precise finalità.

Quali sono le sanzioni per chi non rispetta il GDPR?

Il regolamento prevede pesanti sanzioni amministrative per chi non adempie alle regole previste nel GDPR. In particolare il Regolamento stabilisce:

Sanzioni amministrative pecuniarie fino a 10.000.000,00 Euro o, per le imprese, fino al 2% del fatturato globale annuo dell’esercizio precedente, se superiore, nel caso di violazione di determinati obblighi posti dal Regolamento. Sanzioni amministrative pecuniarie fino a 20.000.000,00 Euro o, per le imprese, fino al 4% del fatturato globale annuo dell’esercizio precedente, se superiore, nel caso degli obblighi più stringenti posti dal Regolamento (anche nel semplice caso di inosservanza degli ordini del Garante).

Chiunque può segnalare inadempienze circa il Regolamento direttamente al Garante per la protezione dei dati personali anche attraverso il sito web compilando un apposito modello di reclamo.

Conclusioni

Sembra abbastanza ovvio che oggi nell'era dell’informazione i dati degli internauti siano per alcune aziende più preziosi dell’oro o del petrolio. Avere una regolamentazione che dà garanzie agli internauti con regole chiare e precise e che tutti devono rispettare, a prescindere dal luogo geografico in cui si trova chi detiene quei dati, è un grande passo in avanti. Conoscere quali sono i propri diritti e come potersi tutelare è un dovere di ogni cittadino che naviga sul web per permettere che questa attività sia sempre più sicura. Ogni internauta ogni volta che accede al web deve ricordare che è proprietario dei propri dati e nessuno può farne un uso diverso da quello previsto attraverso il consenso che l’internauta stesso deve aver potuto precedentemente dare.

NB: Tale articolo vuole essere un primo punto di riferimento per fornire gli strumenti minimi che permettono di tutelarsi utilizzando le garanzie date dal GDPR. Molte questioni contenute nel GDPR sono state volontariamente omesse per questioni di semplicità. Se si vuole approfondire l‘argomento rimando al testo integrale del GDPR consultabile presso questo link.

Carmine De Fusco

Written by

Computer Scientist in general, Software Engineer in detail, Visionary for someone. Contact me here: cardefusco (at) gmail (dot) com

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade