28 Ago 2018

La nostra privacy: Il Regolamento Europeo UE/2016/679

Il Regolamento Europeo UE/2016/679: un argine contro l’uso improprio di dati personali e furti di identità digitali.

La nostra privacy è sotto attacco e con essa la libertà e la segretezza della comunicazione che sono espressione delle libertà personali. L’utilizzo sempre più massiccio di transazioni online e scambi di informazioni attraverso la rete, nonché i recenti scandali legati a un uso improprio dei dati personali, mettono a rischio la nostra libertà di comunicazione. L’azienda di consulenza e marketing online Cambridge Analytica, di recente,  è balzata agli onori della cronaca internazionale in quanto accusata di aver influenzato le elezioni presidenziali americane manipolando i profili di circa 50 milioni di cittadini americani. Cambridge Analytica in pratica non fa altro che raccogliere dati personali per creare profili psicologici degli utenti da usare in campagne di marketing mirate. Questi dati, forniti dagli stessi utenti, provenivano da Facebook, il social più utilizzato al mondo che mette in contatto virtuale milioni di persone.  Zuckerberg, proprietario di Facebook, ha affermato, nel corso della seconda giornata di audizione alla Commissione Energia e Commercio della Camera dei Rappresentanti americana, che Facebook crea “profili fantasma”, incrociando i dati degli amici di vari utenti.  Ma al mondo oltre a Cambridge Analytica esistono innumerevoli altre aziende chiamate “broker di dati”che raccolgono informazioni di ogni genere sulle abitudini e i consumi delle persone per poi rivenderle. Inoltre spesso si assiste ai furti di identità digitale e sempre più numerose sono le aziende che pagano per riottenere i dati dei propri computer presi in ostaggio.

Ora, dopo lo scandalo che ha portato anche a consistenti perdite in borsa, lo stesso Zuckerberg  ha annunciato di porre rimedio modificando i termini dell’uso della privacy a cominciare dall’Europa. Stessa cosa ha annunciato Whatsapp (facente parte della galassia Facebook) innalzando l’età minima da 13 a 16 anni nell’uso della chat. In verità questi annunci sono le conseguenze dell’entrata in vigore in Italia, a partire dal 25 maggio prossimo, del Regolamento europeo UE/2016/679, conosciuto come GDPR (acronimo di General Data Protection Regulation) che impone a diversi soggetti un cambiamento culturale nell’approccio al modello di gestione della Privacy. Di contro i mancati adeguamenti espone i “Titolari del trattamento” a gravi sanzioni.  Questo nuovo approccio richiede un processo valutativo dinamico basato sulla Risk Analisys tipico dei sistemi di gestione di Internal Auditing.

L’attività di valutazione del rischio di violazione della Privacy si basa su un’attività di interpretazione giuridica finalizzata a:

1. verificare che l’assetto organizzativo, l’impianto di regole e documenti adottati siano sufficienti a preservare i dati trattati da violazioni dei propri sistemi informatici.
2. adempiere agli obblighi del Regolamento in tema di diritti degli interessati, delle modalità di trattamento, delle finalità di trattamento, e dei tempi di conservazione e di cancellazione dei dati.

L’attività di valutazione perciò diviene un’attività complessa (e in questo consistono le difficoltà) che viene rimessa alla discrezionalità e alle conoscenze giuridiche e tecniche del Titolare il quale non può far altro, ove non disponga di personale adeguatamente preparato, che ricorrere all’ausilio di professionisti qualificati. A conferma di quanta responsabilità ricada sul titolare, la guida diffusa dal Garante per la protezione dei dati afferma che “Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato non spetta all’Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di “responsabilizzazione” (accountability nell’accezione inglese nda)introdotto dal nuovo pacchetto protezione dati.”

Viene introdotto, tra le novità ad es., il cd “diritto all’oblio” inteso come un diritto alla cancellazione dei propri dati personali in forma rafforzata, cioè è previsto l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su internet) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione

Tra le altre principali novità introdotte dal Regolamento europeo rientrano:

• la nomina del Data Protection Officer;
• la gestione della sicurezza dei dati personali;
• l’obbligo di redazione del registro dei trattamenti;
• l’obbligo di notifica delle violazioni di sicurezza;
• la Valutazione d’Impatto sulla Protezione dei Dati (VIPD);
• la possibilità di ottenere una certificazione volontaria e accessibile rilasciata dagli organismi di certificazione.

L’adozione di tutte queste misure dovrebbe porre un argine ad un utilizzo improprio dai dati personali che di fatto rafforzano le tutele a favore dell’interessato.

Numerosa è la platea di soggetti a cui il Regolamento si rivolge. Basti pensare ai dati trattati da studi medici, laboratori analisi, case di cura private e pubbliche, ospedali, avvocati, consulenti in genere, farmacie, supermercati e negozi che utilizzano i dati personali dei loro clienti per la raccolta punti  e/o utilizzano carte fedeltà,  agenzie pubblicitarie e agenzie viaggi, agenzie di mediazione in affari; oltre naturalmente a tutti quei soggetti che tradizionalmente trattano big data come banche, aziende telefoniche e di erogazione energia elettrica, gas, ecc.

Poiché il GDPR è un Regolamento Europeo che non richiede una norma nazionale di recepimento, esso è immediatamente esecutivo.  La piena applicabilità delle nuove norme decorre dal 25 maggio 2018 salvo rinvii, finora non previsti.

Siamo a disposizione per qualunque chiarimento.