Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024)
Privacy e protezione del dato sono due concetti che vanno di pari passo e che sono strettamente connessi. Capita spesso che siano usati come sinonimi; tuttavia, anche se entrambi sono necessari a tutelare la riservatezza nella vita di tutti i giorni, si tratta di due concetti diversi e complementari. Possiamo infatti dire che mentre la privacy va intesa come strumento per allontanare lo sguardo indesiderato, la protezione dei dati personali pone estrema attenzione ai dati della persona, rappresentando la sua identità (Rendina, 2019).
Soprattutto con lo sviluppo delle tecnologie e dei social media, diventa ormai prioritario proteggere le informazioni legate alla nostra persona, acquisire consapevolezza su cosa condividere o meno in rete. Si sa che qualsiasi contenuto su un social, che si tratti di un’immagine o di un commento, una volta postato appartiene completamene al mondo della rete, e se ne perde il controllo.
Mi torna in mente un video diffuso dall’autorità belga nel 2012, ma ancora attualissimo, che utilizzo spesso durante i corsi che tengo in materia di protezione dei dati, in cui un sedicente indovino fornisce tutta una serie di informazioni personali agli avventori, comprensive anche di dati sensibili quali il conto in banca e le spese sanitarie. In realtà, e a fine video si capisce il trucco, il presunto mago non ha fatto altro che carpire queste informazioni dal web incrociando tutta una serie di banche dati, concludendo con la frase ad effetto Be vigilant, siate vigili, che dovrebbe essere il monito con il quale ci si approccia al mondo digitale. Questo esempio dimostra come tutte le nostre informazioni personali siano strettamente legate e interconnesse tra loro, e come, se non si è attenti, possano essere utilizzate a nostro discapito.
A tutela delle informazioni e dei dati dei cittadini europei, oltre alle varie normative nazionali, il Regolamento europeo Regolamento 2016/679 sulla protezione dei dati, meglio conosciuto come GDPR (General Data Protection Regulation), che vede la luce nel 2016, diventando pienamente operativo a partire dal 25 maggio 2018, ha determinato un cambio di rotta epocale da parte del legislatore europeo. Essendo un regolamento, ha trovato diretta applicazione in tutti gli Stati membri dell’Unione europea. Le normative nazionali presenti nei vari Paesi prima del Regolamento europeo sono state armonizzate per far sì che in Europa vi sia uno spirito e un “senso comune” sulla privacy e sulla protezione del dato.
Questo importante strumento, che chiameremo nel testo Regolamento o GDPR, fa sì che la privacy venga messa al centro, abbia cioè una posizione di preminenza come diritto fondamentale per il cittadino europeo, sancito anche dalla Carta costituzionale europea.
Per comprendere l’essenza del Regolamento, bisogna partire dalla conoscenza del significato di dato personale, ovvero «quel tipo di informazione che è riconducibile a una persona fisica identificata o identificabile» (art. 4 del GDPR). Va chiarito che il concetto di informazione può essere visto da tre punti di vista, che includono (Bendandi, 2020): la sua natura (come una caratteristica attribuita a una persona); il formato con cui l’informazione è resa disponibile (es. audio, grafico, ecc.); infine, dal punto di vista del contenuto è possibile distinguere il dato “comune” (nome, cognome e indirizzo mail) e quello “particolare”, in grado di ricondurre a una caratteristica peculiare della persona (es. sanitario, genetico, biometrico), inquadrato dal Regolamento ai sensi dell’art. 9.
Prima del 2018 esisteva già una normativa privacy: la Convenzione 108 del 1981 – legata allo sviluppo dei primi elaboratori elettronici – garantisce ad ogni persona fisica il rispetto del suo diritto alla vita privata «in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano (protezione dei dati)».
Fermo restando che il quadro normativo è variato nel corso degli anni proprio a partire dal 1981, anno che vede il primo inquadramento sostanziale, all’interno di tutti i trattati e convenzioni europee che si sono susseguiti, si assiste via via ad un nuovo significato del concetto di privacy: dal diritto ad essere lasciati in pace (right to be let alone) ad una concezione di privacy sempre di più inquadrata in un framework normativo nato e cresciuto nel corso degli anni, sino all’avvento del Regolamento europeo.
Centrale in questa evoluzione normativa è il ruolo dell’utente (l’interessato), ovvero colui cui fanno capo le informazioni personali, e che diventa maggiormente tutelato anche a livello di diritti veri e propri sanciti dagli artt. 12 e 15 e ss. del GDPR. Questo vuol dire che l’interessato ha tutta una serie di diritti previsti dal corpo regolamentare e può esercitarli in qualsiasi momento della fase del trattamento dei suoi dati. Si pensi, ad esempio, al diritto di portabilità dei dati ai sensi dell’art. 20 del GDPR, che permette agli interessati di avere un maggior controllo sui propri dati personali, potendoli ricevere da un titolare del trattamento al quale sono stati forniti e trasmetterli senza impedimenti a un altro titolare del trattamento; o ancora al diritto all’oblio ai sensi dell’art. 17 del GDPR, che consente agli individui di tutelare la propria immagine, richiedendo la cancellazione di contenuti online che possono danneggiare gravemente la loro reputazione, entro tempistiche definite qualora il fatto di cronaca non sia più di interesse pubblico.
Il GDPR stabilisce numerosi principi fondamentali come base per garantire il corretto trattamento e la protezione dei dati dell'interessato. Sicuramente il principio chiave, soprattutto ai sensi degli articoli 23-25 del Regolamento, è quello dell’accountability, termine che in italiano si traduce in “responsabilità” e che sottolinea l'importanza della trasparenza nel trattamento dei dati personali, attraverso la rendicontazione del titolare del trattamento, da dimostrare anche e soprattutto in fase di controllo da parte delle autorità preposte.
Il titolare del trattamento, insieme agli altri soggetti coinvolti, deve essere in grado di dimostrare che è stato fatto tutto il necessario per il trattamento lecito dei dati, disponendo di evidenze sia a livello organizzativo, che di sicurezza e strutturale, in modo da confermare l’adozione di comportamenti proattivi al fine di assicurare l'applicazione del regolamento. Per quanto riguarda ad esempio le misure di sicurezza (art. 32 del GDPR), il titolare del trattamento dovrà creare un impianto di sicurezza efficiente nel prevenire episodi di data breach, ovvero gli incidenti di violazione o fuga dei dati.
Il principio cardine del GDPR, infine, è sintetizzato dall'espressione inglese data protection by default and by design, ossia dalla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili «al fine di soddisfare i requisiti» del Regolamento e tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024).
Ordina a questo link: https://tabook.it/prodotto/privacy-al-centro-la/
A breve disponibile nei maggiori store online.
