Ormai il Gdpr è entrato in vigore da un po’ di giorni ed è terminata la pioggia di mail contenenti informative e richieste di consenso di ogni tipo. Eppure quasi nessuno, compresi gli addetti ai lavori, ha ben capito in cosa consista il cambiamento.
Cerchiamo quindi di fare chiarezza, non tanto per il titolare del trattamento (“il soggetto che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento, ivi compreso il profilo della sicurezza”, cioè chi prende i nostri dati personali e li usa per fare qualcosa, come per esempio l’invio di una newsletter). Il titolare del trattamento, auspicabilmente, avrà già assunto un legale per mettersi in regola, mentre gli utenti, soprattutto in ambito web, possono fare fatica ad individuare eventuali violazioni.
Uno dei problemi principali, è che manca la percezione dell’importanza dei dati personali, come ci ricorda Federico Leone, esperto Gdpr e autore del libro Privacy europea, sicurezza pubblica e antiterrorismo nelle infrastrutture critiche, presentato alla Camera dei Deputati a gennaio 2018: “Il Gdpr è un metodo con cui si monitorano i processi in aziende e enti pubblici: chi raccoglie i dati deve essere appositamente autorizzato e formato per poterli trattare. È uno strumento di direzione generale che ha come obiettivo la protezione dei dati personali, ribadisco, tramite il monitoraggio dei processi”.
Vediamo cosa prevede il Gdpr: sintetizzando all’estremo, se i dati personali di un individuo vengono raccolti e trattati, l’individuo ha il diritto di ottenere, se lo vuole, tutte le informazioni del caso. “Sono le cinque W: who, what, why, where e when” spiega Leone. “Bisogna sapere chi tratta i dati, quali dati raccoglie, con quali finalità, dove questi dati sono raccolti e fino a quando verranno tenuti”. In particolare l’individuo deve essere messo al corrente del motivo per cui i dati vengono richiesti, e ha il diritto di vederli distrutti se non fossero più necessari per portare a termine l’azione prevista dalle finalità esplicitate inizialmente (diritto all’oblio). Ci si può sia opporre alla raccolta dei propri dati personali, che ritirare il consenso al trattamento dopo averlo concesso. In qualsiasi momento, inoltre, si può richiedere al titolare del trattamento che ha raccolto i dati, per capire meglio cosa sa di noi. L’interessato, colui che cede i dati, può anche chiedere che vengano “impacchettati” e trasmessi ad un altro titolare (diritto alla portabilità). C’è l’assoluto divieto per il titolare dei dati di trasferirli fuori dall’Unione Europea senza dire dove e senza il consenso espresso e consapevole dell’interessato.
Leone ci spiega che il Gdpr è un regolamento che impone ad aziende ed enti di essere coscienti del fatto che, raccogliendo dati personali, bisogna fornire garanzie di protezione. “Più che regole da rispettare, ci sono delle regole da darsi, e, in caso di reclamo al Garante, si andrà a verificare ex post se queste regole sono congrue o meno, anche tenendo conto dei costi necessari per mettersi in regola”. In questo senso, anche l’importanza e la concreta verificabilità delle maximulte, che hanno terrorizzato i piccoli imprenditori, va ridimensionata: queste multe sono per chi si dà alla raccolta selvaggia dei dati senza provare nemmeno lontanamente a prendere provvedimenti per mettersi in regola.
“Essere completamente in regola – aggiunge Leone – è più una direzione, che un risultato oggettivo: bisogna andare in quella direzione, monitorando i processi aziendali ed amministrativi per sapere (e far sapere) in ogni momento chi vede quali dati e come. Questa è la manovra economica europea più importante dall’introduzione dell’euro, ma è di cruciale importanza che si dedichi tempo anche alla sensibilizzazione delle persone fisiche, gli interessati”.
Il Gdpr, infatti, tra i tanti obiettivi che si pone, vuole l’alfabetizzazione digitale della popolazione europea: con la sua introduzione, l’utente dovrebbe porre più attenzione quando comunica i suoi dati personali, al valore intrinseco e anche economico che questi dati hanno, ai diritti fondamentali ad essi sono consunstanziali, basti pensare a tutti quei dati che quotidianamente lasciamo nelle app che abbiamo installato sui nostri smartphone: “Bisognerebbe attivare dei corsi per la cittadinanza per diffondere la sensibilizzazione sull’importanza dei dati personali: tramite le operazioni digitali ed elettroniche che le persone effettuano ogni giorno, si può sapere dove sono, con chi, cosa fanno e molte altri fatti della vita privata che non sempre è corretto condividere, soprattutto senza sapere con chi. Per contro, è inutile pretendere standard massimi da aziende ed enti amministrativi, se poi scaricando una app sul telefono mobile, si accetta di regalare foto, chat, contatti, video a chicchessia. Serve un’alfabetizzazione di massa dal punto di vista della protezione dei dati personali ed una maggiore sensibilità circa l’uso della tecnologia da parte dei minori. Gli individui, facendo uso di tecnologia, stanno scrivendo un’autobiografia senza rendersene conto.” conclude Leone.