Gdpr: una rivoluzione pacifica

Il nuovo regolamento europeo sul trattamento dei dati personali è uno strumento normativo avanzato in grado di proteggere dati e privacy e di inaugurare una nuova era che mette al centro il cittadino e i suoi diritti.

Ben poche norme sono state attese con un tale mix di timore – da parte di imprese piccole, medie e grandi per le severe sanzioni in caso di inadempimento o violazione – e curiosità, prerogativa quest’ultima del cittadino comune che, alla luce dei recenti scandali come quello di Cambridge Analytica, ha iniziato a guardare con un certo disagio al mondo del web senza però riuscire a farne a meno.
Quel che è certo è che il GDPR, ovvero il General Data Protection Regulation varato dalla Ue e in vigore nei 28 Paesi membri dal 25 maggio 2018, rappresenta una opportunità inaspettata per ognuno di noi, perché tutti produciamo dati che poi finiscono nell’universo digitale. Il nuovo regolamento introduce diverse novità sia in termini di diritti per i cittadini sia sul fronte degli adempimenti in capo alle aziende. Vediamo i punti più importanti.

Per ognuno di noi:

• DATA PORTABILITY. Si tratta di un concetto simile a quello di number portability del mondo della telefonia. Questo principio è enunciato dall’articolo 20 del regolamento e consente al proprietario del dato, ovvero a ognuno di noi, di ricevere «in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti».
  
• UN CONCETTO DI DATO PIU’ AMPIO. Non solo nome e cognome, informazioni giudiziarie o sensibili in genere (stato di salute, convinzioni religiose, opinioni politiche) ma anche qualsiasi comportamento che abbia lasciato una traccia digitale che qualcuno ha memorizzato: dalla posizione Gps della nostra auto alla cronologia di navigazione su un determinato browser passando per le immagini e le comunicazioni elettroniche.
  
• BLOCCO AUTORIZZAZIONE. Il nuovo regolamento, a differenza delle precedenti normative, consente anche di rivolgersi a qualsiasi azienda per bloccare o limitare in qualsiasi momento l’autorizzazione al trattamento e alla fornitura dei dati a terzi dando così la possibilità di arginare fenomeni indesiderati come per esempio l’uso di milioni di profili di un noto social network per essere profilati a fini di propaganda politica.
  

I principali obblighi per le aziende:

• ACCOUNTABILITY. L’articolo 24 del regolamento introduce questo principio molto anglosassone secondo il quale il titolare del trattamento, e cioè chiunque tratti dati personali, deve essere in grado di dimostrare di avere adottato misure giuridiche, organizzative e tecniche adeguate per la protezione dei dati personali e per l’ascolto e l’esercizio dei diritti dei cittadini che hanno dati presso l’azienda stessa.
  
• REGISTRO TRATTAMENTO DEI DATI. Un documento che dovrà contenere una serie di informazioni sulle attività riguardanti il trattamento dei dati, ad esempio, una descrizione chiara delle finalità del trattamento e dei soggetti coinvolti, nonché un elenco preciso delle categorie di destinatari dei dati.
  
• VERIFICA PERIODICA: tutti i titolari avranno l’obbligo di verificare periodicamente il livello di protezione dei dati e comunicare al Garante della privacy eventuali violazioni della sicurezza entro 72 ore e comunque senza ingiustificato ritardo. Se la violazione – il c.d. “data breach” – presenta rischi elevati anche per gli utenti, allora, di massima, occorrerà informare anche loro.
  
• ISTITUZIONE DEL DPO: l’articolo 37 del Gdpr prevede la figura del Data Protection Officer. La nomina di questo professionista è obbligatoria nel caso in cui il titolare dei dati sia un soggetto pubblico, oppure se le attività principali del titolare del trattamento richiedono il monitoraggio regolare e sistematico degli utenti su larga scala ovvero riguardano particolari tipologie di dati personali quali, ad esempio, la videosorveglianza, la geolocalizzazione, dati che rivelino l’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici e biometrici.
  

​La legge rappresenta un dispositivo normativo all’avanguardia – tanto da essere stata citata da Mark Zuckerberg (con un certo disappunto, sembrava) nella sua audizione in Senato in seguito allo scandalo di Cambridge Analytica – e soprattutto flessibile. Inoltre introduce un sistema di sanzioni non da sottovalutare neanche da parte dei colossi tecnologici stranieri che, lo ricordiamo, anche se non hanno sede in Europa, sono tenuti al rispetto del GDPR se conservano e trattano informazioni relativi a cittadini europei. In caso di violazione le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo lordo.

Non deve sfuggire che il GDPR, proprio per la combinazione ora vista di diritti per le persone e di doveri per le aziende, assume un grande valore etico per la sua capacità di riconoscere in capo alla persona una maggiore protezione di qualcosa che è riconosciuto come estremamente importante (oggi e domani), cioè il dato, e a una sostanziale libertà di azione della persona stessa nei confronti di organizzazioni strutturate.

Tuttavia, come spesso avviene per ogni nuova legge, per buona che sia, i principi e i diritti sanciti nero su bianco rischiano di rimanere disattesi se non si costruisce una reale capacità da parte del cittadino di farli valere. Il GDPR ci sta trasportando velocemente in una nuova era ma il rischio di non sfruttarne tutte le opportunità è concreto: difficile immaginare milioni di persone che singolarmente richiedano alle aziende di vedere i propri dati o operino concretamente l’iter che serve per bloccarne l’uso.

Il problema non è la mancanza di competenza da parte del singolo quanto, più spesso, l’assenza di tempo o semplicemente di “energie” da dedicare (anche) a tutto ciò. Per questo motivo la figura di una sorta di class actor digitale, peraltro auspicata dal GDPR, in grado di “coalizzare” le persone, potrebbe consentire a chiunque di agire coerentemente con il regolamento, senza particolari difficoltà e fatiche. Potrebbe consentire, addirittura, di contare anche su un tornaconto economico nel caso in cui la persona optasse per il conferimento dei propri dati in una piattaforma (magari il class actor stesso) in grado di valorizzarli, in maniera aggregata, dal punto di vista economico e di fornire un payback. Del resto come dimenticare che i big data sono il nuovo petrolio? Nel 2020 il mercato dei dati avrà un valore globale di 200 miliardi di euro e soltanto in Italia, oggi vale qualcosa come 2,3 miliardi all’anno. Un fiume di denaro che i produttori di questa ricchezza, ovvero ognuno di noi, non vedono neppure scorrere e finire nelle casse dei colossi tecnologici e di aziende di ogni tipo.

L’introduzione del GDPR ci traghetta, quindi, in una nuova fase nella quale fare “massa critica” per far valere i propri diritti digitali può rappresentare una strada facilmente percorribile e soprattutto auspicabile: la storia ci insegna che il singolo difficilmente ha voce in capitolo quando si confronta con le grandi organizzazioni ma che le cose cambiano se a muoversi è un grande gruppo di persone. In questo senso il GDPR può diventare il vero strumento di una “rivoluzione pacifica” ​dalla portata epocale che, se ben sfruttato, consentirà al cittadino non solo di godere di un elevato livello di protezione, finalmente adeguato ai tempi, ma anche di trovarsi al centro di un processo economico che fino a oggi lo ha visto tenuto ai margini dai grandi colossi tecnologici.