Gdpr, la rivoluzione della privacy

Manca poco al 25 maggio, giorno di debutto del cosiddetto Gdpr, la normativa comunitaria che riscrive le regole a tutela della privacy. E molti, tra grandi e piccole aziende, professionisti e semplici cittadini stanno adeguando in fretta i loro strumenti, i loro software e le loro procedure, per arrivare in tempo all’appuntamento e non incappare nelle sanzioni draconiane previste per chi sgarra. Di questi temi, tra gli altri, si parla al convegno Banche e Sicurezza, del 22 e 23 maggio a Milano. Tra gli ospiti c’è anche Ernesto Belisario, avvocato esperto di diritto digitale, consulente per ministeri e PA in materia di privacy e autore di libri come “La nuova Pubblica Amministrazione Digitale” e “Silenzi di Stato. Storie di trasparenza negata e di cittadini che non si arrendono”. Lo abbiamo intervistato.

Lo scopriremo strada facendo, visto che la materia è così ampia da coprire un’infinità di situazioni quotidiane, le quali dovranno essere volta per volta esaminate. Di certo, il Gdpr cambierà molto la nostra percezione della privacy. Ci renderà tutti un po’ più attenti, sia nel proteggere noi stessi, sia nel rispettare la vita degli altri in quella parte più intima e spesso segreta che è al cuore della persona.

Il Regolamento è una normativa, unica per tutti i Paesi europei, che adegua il diritto alla protezione dei dati personali alla nuova società dell’informazione, quindi agli strumenti digitali che oggi usiamo ogni momento, ma che fino a pochi anni fa non erano neppure immaginabili: social network, siti web, newsletter, smartphone, cloud computer, internet delle cose e molto altro ancora. In generale, c’è un rafforzamento dei diritti, perché più si usano questi mezzi più i nostri dati vengono disseminati in giro. Consapevolmente, o spesso inconsapevolmente, li lanciamo nella rete e li lasciamo nelle mani dei gestori dei vari servizi. E qui la normativa si preoccupa di tutelare in modo stringente queste sfere personali, definendo norme valide in tutta Europa, che dovranno essere osservate anche da chi tratta i nostri dati operando fuori dai confini dell’Unione. Come i social network che, sebbene basati al di là dell’Atlantico, posseggono informazioni su milioni di cittadini comunitari e italiani.

Tutte le informazioni che sono riconducibili a una persona identificata o identificabile. Quindi nome, cognome, indirizzo, codice fiscale, mail, siti web. Ma anche la registrazione della sua voce, una sua fotografia, notizie su salute, tendenze sessuali, origine etnica, abitudini di consumo o semplici interessi.

No. Ci sono informazioni che i gestori dei servizi web ricavano indirettamente dai nostri comportamenti volontari. Se per esempio mi connetto a un sito da una certa località, oltre al contenuto delle mie attività sto fornendo ragguagli importanti sulla mia posizione geografica, sugli orari abbinati a miei comportamenti e altro ancora. Oppure: se io taggo Tizio su un post, è probabile che Facebook desuma che tra noi due ci sia un rapporto di amicizia. Ed ecco che mi farà balzare i suoi like sul mio profilo, ipotizzando che i suoi gusti influenzeranno i miei. Strategie pubblicitarie molto efficaci”.

L’elenco è lungo. Ci sono le carte fedeltà di supermercati e grandi marchi, i biglietti aerei o ferroviari che tracciano i nostri spostamenti, le dichiarazioni dei redditi, i braccialetti che tracciano il nostro stato di salute, i fascicoli sanitari, le ricette e i referti medici. E poi le newsletter, le cartelle esattoriali, le multe, le telecamere di videosorveglianza. Sono davvero tantissime le occasioni in cui – senza rendercene conto – offriamo la possibilità di esporre in piazza le parti più riservate della nostra vita.

C’è una frase di Snowden molto significativa in risposta a questo: se dici che non ti interessa la privacy perché non hai nulla da nascondere è come se non ti interessasse la libertà di pensiero perché non hai nulla da dire. Basta pensare allo scandalo di Cambridge Analytica: con appena 200 like su Facebook, l’azienda inglese ti conosceva meglio del tuo coniuge. E poteva mandarti messaggi politici tagliati su misura sui tuoi pregiudizi, sulle tue debolezze, sui tuoi desideri più profondi. Fino a condizionare il voto politico, fino a mettere a rischio la stessa tenuta delle democrazie.

La meno grave è la profilazione. Più le aziende che vendono pubblicità, come Facebook o Google, sanno cose di noi, più è preciso, e dunque redditizio, il messaggio promozionale che è possibile indirizzarci. Poi salendo di intensità c’è il pericolo di truffe, dei furti di identità: qualcuno, entrando in possesso dei nostri dati e delle nostre abitudini, potrebbe fare acquisti o attivare servizi a suo vantaggio facendoli pagare a noi senza che ce ne possiamo accorgercene. Potrebbe rubarci le nostre password, fingersi un nostro amico e convincerci a mandargli del denaro, davvero i casi dipendono soltanto dalla fantasia dei lestofanti. Ma non è tutto. Conoscendo illegittimamente le nostre idee politiche, le nostre preferenze sessuali, la nostra fede religiosa, qualcuno potrebbe discriminarci sul posto di lavoro, evitando di assumerci o bloccando la nostra carriera. Di più: un’assicurazione potrebbe aumentare il premio della polizza venendo a sapere che abbiamo una determinata malattia. Non è fantascienza: già oggi alcune compagnie garantiscono sconti ai neopatentati a patto di avere accesso alla loro attività sui social network.

Il primo è il diritto alla trasparenza. Possiamo conoscere chi usa i nostri dati e per quale motivo. Il secondo è un’informativa diversa da quelle che siamo abituati a firmare quando andiamo in albergo o quando ci iscriviamo a un servizio online: dal 25 maggio, infatti, dovrà essere chiara, comprensibile e soprattutto breve. Seguono poi il diritto all’accesso, vale a dire la possibilità di chiedere in ogni momento, per ogni newsletter o messaggio che ci arriva, chi e come è entrato in possesso dei nostri dati, oltre all’uso che intende farne. E ancora il diritto di essere informati se ci sono state violazioni di pirati informatici o di ladri e il diritto al risarcimento dei danni legato alla mancata vigilanza.

I doveri di proteggere i dati personali sono in capo a tutti coloro che in un modo o nell’altro trattano professionalmente aspetti privati delle nostre vite. E dunque le grandi aziende, a cominciare dai colossi come Facebook, Amazon o Google, passando per tutte le imprese di ogni dimensione, gli enti pubblici, i professionisti, i medici, gli avvocati, ma anche un centro estetico, un ristorante con la lista delle allergie dei clienti e via dicendo. Davvero l’elenco è senza fine. In generale, le aziende più strutturate devono nominare un responsabile della protezione dei dati, mentre quelle più piccole devono ricorrere almeno a un consulente capace di mettere in piedi le migliori forme di protezione per la privacy.

Ovviamente dipende dal tipo e dalle dimensioni di ogni azienda. Come criterio valido per tutti, con il Gdpr sarà necessario introdurre sistemi di cifratura per non lasciare i dati in chiaro. In questo modo anche se qualcuno ruba un cellulare o un pc le informazioni riservate restano protette. E poi le misure di buonsenso. Come un buon antivirus e un buon firewall che ci avvisi in caso di attacco o di situazioni anomale sul nostro software.

Non esiste una check list valida per tutti. C’è un principio di responsabilizzazione. Nel senso che ognuno deve dimostrare che ha fatto il possibile per proteggere i dati personali. Da un lato ci sono adempienze di tipo amministrativo e dunque la nomina di un responsabile che è un obbligo per le amministrazioni pubbliche, ma che resta preferibile per tutti. Dall’altro una revisione delle informative per il consenso, in modo da renderle compatibili con le nuove norme, inserendo i nuovi riferimenti di legge.

II primo è il corrispettivo del diritto di cui abbiamo parlato prima. E dunque un dovere di trasparenza. Quando qualcuno chiede conto delle sue informazioni personali abbiamo l’obbligo di rispondere entro 30 giorni. Il secondo riguarda l’allerta in caso di minacce. Se mi accorgo che qualcuno è entrato nel mio computer, se ho smarrito il cellulare o se mi hanno rubato il computer in macchina mentre ero al bar, siamo in presenza del cosiddetto data breach, ossia dell’intrusione nei dati sensibili da parte di estranei. Il Gdpr prevede l’obbligo di comunicare l’evento al Garante della privacy entro 72 ore dal momento in cui si è venuti a conoscenza del problema. E questa è una delle novità più importanti del Regolamento, perché fino ad ora, pensiamo ancora allo scandalo di Facebook e Cambdrige Analytica, gli interessati restavano normalmente all’oscuro degli attacchi sui loro dati. L’autorità di controllo in questo caso può obbligare il responsabile dei dati a informare i soggetti interessati, anche con avvisi sull’home page aziendale o su quotidiani di diffusione nazionale.

Sanzioni che fanno tremare i polsi, perché possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale. Per non parlare delle richieste di risarcimento da parte di chi è stato danneggiato dalla violazione dei suoi dati sensibili. Queste sanzioni saranno però graduate dall’Authority in base alla quantità e alla qualità delle misure adottate come protezione della privacy. Secondo tre criteri: effettività, proporzionalità e dissuasività. Non esiste una protezione sicura al cento per cento: ma se uno dimostra di aver fatto tutto il possibile, stante la tecnologia disponibile, le sanzioni possono essere ridotte o non applicate.

Ce ne sono tanti. Ma io consiglio quello del Garante della privacy, che offre informazioni certificate e semplici per gestire in sicurezza questa sfera così importante della nostra vita.

Perché la privacy è un diritto fondamentale della persona. È la garanzia della nostra libertà, senza la quale non potremmo essere ciò che davvero siamo. Ed è un dovere anche etico per imprenditori, manager e professionisti che trattano queste informazioni personali. Perché rispettare il segreto delle persone che si sono fidate di te è oggi uno dei criteri migliori per valutare la serietà di un’azienda e il modo in cui lavora.