Privacy, si volta pagina. Con perfetto tempismo, a poco tempo dallo scandalo Facebook sulla cessione di dati personali ad aziende terze, per scopi commerciali e politici, arriva il GDPR, il Regolamento generale sulla protezione dei dati: si tratta delle nuove norme europee in materia di privacy, che si propongono di tutelare maggiormente i cittadini e le aziende nella gestione delle informazioni personali, responsabilizzando coloro che maneggiano proprio i dati.
Tra le novità più importanti c’è il fatto che il regolamento si applica anche ad organizzazioni che non hanno sede nell’Unione europea e che devono adeguarsi, proprio come nel caso dei social o di multinazionali con base extra UE. Ecco cosa cambia per gli utenti e le aziende.
Cos’è il GRDP
Approvato nell’aprile del 2016 dal Parlamento Europeo, il GRDP (2016/679) entra in vigore a tutti gli effetti il 25 maggio 2018. Ha lo scopo di rafforzare la tutela nel trattamento delle informazioni per tutte le persone fisiche all’interno dell’Unione europea, indipendentemente da dove questi vengano custoditi. Si tratta, dunque, di un miglioramento rispetto alle norme già esistenti.
Sono sei i principi sui quali si basa: stabilisce innanzitutto che i dati devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato (art.5). Le finalità della raccolta di informazioni devono essere esplicite e legittime, e il loro uso deve essere limitato rispetto alle finalità stesse e circoscritto nel tempo rispetto all’obiettivo della raccolta. I dati devono essere aggiornati, quindi – se necessario – anche cancellati o modificati in modo tempestivo. Si stabilisce, inoltre, che chi si occupa di acquisire e consevare nomi, cognomi e numeri di telefono dei consumatori si adoperi per la loro custodia con un’adeguata sicurezza, pena sanzioni in caso di violazioni (data breach).
Ma in cosa consistono le novità?
Le novità per noi consumatori
Tra le modifiche introdotte dal nuovo Regolamento europeo c’è quella che stabilisce un trattamento chiaro e specifico dei dati. Se fino ad ora le aziende si limitavano a chiedere il consenso all’uso di informazioni come nome, cognome, numero di telefono o indirizzo email, ora dovranno specificare se lo scopo della richiesta sia quello di marketing (dunque promozionale), di profilazione (creare un profilo ad hoc al quale inviare messaggi specifici di natura commerciale o di comunicazione), di geolocalizzazione (andando a catalogare dati in base al luogo nel quale ci si trova), ecc.
“Per ciascuna richiesta di consenso dovrà essere chiarità la finalità esatta e non si potrà andare oltre perché altrimenti si incapperebbe nel trattamento illecito” spiega l’avvocato Marisa Maraffino, esperto in Diritto dell’Informatica.” In questo modo le aziende si impegnano a una maggiore chiarezza, ma gli utenti sono responsabilizzati: se danno il proprio consenso, devono almeno leggere l’informativa per sapere quali sono le finalità della raccolta dati” aggiunge Maraffino.
Stop alle clausole incomprensibili
Un altro passaggio importante del GRDP riguarda poi il linguaggio delle informative, che finora rappresentava una criticità. Le società che chiedono il consenso al trattamento dati devono farlo in modo comprensibile, senza ricorso a un linguaggio tecnico. Occorrono caratteri ben visibili, che escludano clausole di difficile comprensione o lettura. “Finora le informative privacy erano più un adempimento obbligatorio: rappresentavano fogli che non si leggevano mai oppure apparivano nei siti o nei form, come per le app o nei concorsi a premi, dove veniva spuntata la casella del consenso, senza aver capito il contenuto” spiega l’avvocato Maraffino. “In generale in questi anni è aumentata l’esigenza di chiarezza nelle leggi, sia a livello italiano che europeo. Le norme sono più chiare e le informative molto più sintetiche, massimo una paginetta che contiene tutte le indicazioni dei diritti dell’utente” aggiunge l’esperta di diritto informatico.
Accesso e cancellazione dei dati
A differenza del passato, una volta dato il consenso al trattamento dei dati personali, il consumatore potrà comunque cambiare idea. Sarà facoltà dei cittadini non solo chiedere di conoscere quali informazioni su di lui le aziende detengono, ma anche come sono trattati e come sono stati reperiti. Fino ad ora si trattava di una possibilità più teorica che concreta, mentre con il GRDP le società saranno obbligate a fornire risposte alle richieste, pervenute tramite raccomandata o posto certificata. È anche possibile richiedere la cancellazione dei dati. “Con le nuove norme le aziende si devono attrezzare a intervenire in modo tempestivo alla cancellazione effettiva e nell’informativa viene indicata la durata minima del trattamento” dice Maraffino.
Diritto all’oblio
Nel caso in cui le informazioni personali siano trattate in modo non lecito o siano cambiate nel corso del tempo (senza essere opportunamente aggiornate), gli utenti hanno il diritto di chiederne la modifica o la cancellazione. È il caso di informazioni che riguardino, ad esempio, un procedimento giudiziario che ha visto coinvolto un cittadino, poi assolto: questo può esercitare il diritto all’oblio, ottenendo che le notizie relative al processo siano cancellate o adeguatamente rettificate. Ciò è valido non solo per i mezzi di comunicazione, ma anche per i motori di ricerca, dove spesso finora rimanevano notizie del passato non modificate o integrate.
La responsabilità delle aziende
Il Regolamento europeo prevede che sia responsabilità delle società che trattano dati fare in modo che questi siano salvaguardati in maniera efficace. Si tratta del concetto di accountability, strettamente legato alla violazione della privacy, o data breach: in pratica è responsabilità delle aziende farsi carico della sicurezza e, in caso di infrazioni o inosservanze, saranno proprio i possessori delle informazioni (e non chi le ha cedute, come accadeva finora) a risponderne in prima persona, anche con apposite sanzioni.
È il caso di furti o attacchi informatici, che dovranno essere prontamente comunicati dalle società al Garante e dunque anche agli utenti. Le sanzioni previste possono arrivare a 20 milioni di euro o al 4% del fatturato delle aziende stesse detentrici dei dati. “Si tratta di sanzioni molto importanti, le aziende lavorano all’adeguamento da un anno, ma occorre anche a una maggiore consapevolezza da parte degli utenti sui dati che cedono” dice l’esperta.
I dati dei minori
Infine, un’attenzione particolare è posta al trattamento delle informazioni per i minori, che non potrà più avvenire se non in presenza di un’apposita autorizzazione da parte del genitore. Questo varrà per tutti gli under 16 e in particolare anche per l’accesso ad alcuni servizi internet, compresi i social media.