Tutto quello che c’è da sapere sui dati personali

A partire da maggio 2018 il tanto discusso GDPR di­sci­pli­na la pro­te­zio­ne dei dati non solo a livello europeo ma anche nazionale. Il suo contenuto si concentra in par­ti­co­lar modo sui dati personali, con­si­de­ra­ti par­ti­co­lar­men­te degni di tutela sia dai le­gi­sla­to­ri che dai con­su­ma­to­ri. D’altra parte sono numerosi i rap­pre­sen­tan­ti di imprese la cui capacità com­pe­ti­ti­va, basata lar­ga­men­te sui Big Data, risulta essere mi­nac­cia­ta da norme rigide. Ma che cosa rientra ef­fet­ti­va­men­te nella categoria dei dati personali e quali diritti possono essere invocati dagli in­te­res­sa­ti quando le loro in­for­ma­zio­ni private sono raccolte, me­mo­riz­za­te e suc­ces­si­va­men­te trattate a fini economici?

Gli avvocati pro­ve­nien­ti da ogni parte d’Europa sembrano d’accordo riguardo a una de­fi­ni­zio­ne univoca dei dati personali. Per “dati personali” si intendono tutti i dati e le in­for­ma­zio­ni che con­sen­to­no di com­pren­de­re l’identità di una persona fisica, ossia di una persona “in carne e ossa”. Sono pertanto escluse le persone giu­ri­di­che e le società come ad esempio le S.r.l., a meno che i soci e gli am­mi­ni­stra­to­ri delegati non siano lo stesso individuo.

I dati personali e i dati iden­ti­fi­ca­ti­vi possono essere distinti gli uni dagli altri: i primi sono chia­ra­men­te associati a una persona fisica, mentre i secondi possono essere assegnati a una de­ter­mi­na­ta persona solo con in­for­ma­zio­ni ag­giun­ti­ve e sforzi giu­sti­fi­ca­bi­li. Cio­no­no­stan­te la pro­te­zio­ne dei dati vale per entrambe le tipologie. Fino a poco tempo fa i dati personali dei cittadini italiani erano tutelati dal codice in materia di pro­te­zio­ne dei dati personali. A partire dal 25 maggio 2018, però, è entrato in vigore il GDPR, legge uf­fi­cial­men­te valida in tutti gli stati dell’Unione Europea e quindi anche superiore alla le­gi­sla­zio­ne nazionale.

Le vere in­no­va­zio­ni ri­guar­da­no però soltanto alcuni dettagli: i principi pre­ce­den­ti non sono stati cambiati, al contrario sono stati ri­for­mu­la­ti in modo più chiaro ed esteso, ad esempio con obblighi di notifica più rigorosi in caso di furto di dati e con linee guida per la tutela dei dati nelle tec­no­lo­gie in via di sviluppo (concetto chiave: "Privacy by Design").

Con le clausole di apertura, il GDPR riduce o rafforza anche alcuni aspetti del codice della privacy italiano finora valido, che rimane in vigore come supporto legale nazionale. Le norme più severe ri­guar­da­no in par­ti­co­la­re la raccolta, la con­ser­va­zio­ne e l’utilizzo dei dati personali da parte delle imprese e delle autorità. Inoltre ora il re­go­la­men­to fornisce una de­fi­ni­zio­ne del termine di ap­pli­ca­zio­ne generale, che finora è stata in­ter­pre­ta­ta in modo molto diverso in tutta Europa:

Se invece i dati non possono essere assegnati a una persona specifica perché resi del tutto anonimi, non è ne­ces­sa­rio ri­spet­ta­re alcuna norma di pro­te­zio­ne dei dati. Il problema è ancora una volta quello dei co­sid­det­ti dati pseu­do­ni­miz­za­ti, che, se si dispone delle co­no­scen­ze ag­giun­ti­ve ne­ces­sa­rie, possono essere uti­liz­za­ti anche per indicare una persona di ri­fe­ri­men­to univoca.

In caso di dubbio, pertanto, si applica sempre il principio di prudenza: dato che talvolta è difficile di­stin­gue­re tra dati personali e non personali, è bene partire sempre dai primi per garantire la pro­te­zio­ne delle in­for­ma­zio­ni po­ten­zial­men­te sensibili. Ad esempio le autorità per la pro­te­zio­ne dei dati pre­sup­pon­go­no che anche gli indirizzi IP dinamici ap­par­ten­ga­no ai dati personali, in quanto possono essere assegnati chia­ra­men­te ai ri­spet­ti­vi utenti Internet at­tra­ver­so l’in­te­ra­zio­ne dei fornitori di accesso e di servizi.

Oltre agli esempi di dati personali già elencati, la legge sulla pro­te­zio­ne dei dati definisce anche i dati personali "speciali" relativi a persone fisiche. In par­ti­co­la­re si fa ri­fe­ri­men­to a:

• origine etnica e culturale
• opinioni politiche, religiose e fi­lo­so­fi­che
• stato di salute
• orien­ta­men­to sessuale
• ap­par­te­nen­za a un sindacato
• in­for­ma­zio­ni genetiche (ad esempio test del DNA) e dati bio­me­tri­ci (come fo­to­tes­se­ra e impronte digitali)

A causa della sen­si­bi­li­tà di queste in­for­ma­zio­ni, le ri­spet­ti­ve norme di sicurezza sono molto più severe. Di con­se­guen­za l'ar­ti­co­lo 9, paragrafo 1, del GDPR vieta in linea di principio il trat­ta­men­to di categorie par­ti­co­la­ri di dati personali, a meno che la persona in­te­res­sa­ta non vi abbia espres­sa­men­te ac­con­sen­ti­to (una di­chia­ra­zio­ne di consenso per il trat­ta­men­to di dati personali generali non è suf­fi­cien­te) o che vi sia un legittimo interesse pubblico a tali in­for­ma­zio­ni, ad esempio nel­l'am­bi­to di un pro­ce­di­men­to penale. Sebbene la decisione della nomina di un re­spon­sa­bi­le pro­fes­sio­na­le della pro­te­zio­ne dei dati sia di norma di com­pe­ten­za del­l'am­mi­ni­stra­to­re delegato, è ob­bli­ga­to­ria per il trat­ta­men­to dei dati personali speciali.

Ad oggi ormai tutti sono con­sa­pe­vo­li del fatto che le grandi aziende di Internet come Google e Facebook rac­col­ga­no su larga scala dati e in­for­ma­zio­ni personali sui propri utenti. La maggior parte di essi le utilizza per fare pub­bli­ci­tà per­so­na­liz­za­ta e generare così profitti. Ma i Big Data rap­pre­sen­ta­no anche un fattore com­pe­ti­ti­vo si­gni­fi­ca­ti­vo, se non il più im­por­tan­te, per la maggior parte delle aziende di qualsiasi tipo orientate al mercato.

Non importa che si tratti di imprese che operano nel settore bancario, dell’edu­ca­zio­ne, della salute o del retail: i dati personali degli utenti possono persino rap­pre­sen­ta­re le fon­da­men­ta del proprio modello di business. Le in­for­ma­zio­ni personali sono infatti uti­liz­za­te prin­ci­pal­men­te per l'ot­ti­miz­za­zio­ne delle strutture di vendita e per l'in­di­vi­dua­zio­ne dei mec­ca­ni­smi di marketing.

Simile approccio è in netto contrasto con la figura del con­su­ma­to­re, il quale negli ultimi anni si è evoluto fino a diventare sempre più maturo e informato, la cui paura legittima è che, creando profili utente det­ta­glia­ti, si trasformi in preda ideale della sor­ve­glian­za di massa. Il co­sid­det­to digital trust deficit nei confronti non solo di imprese ma anche di autorità è stato di­mo­stra­to anche dai risultati di uno studio del fornitore di servizi di media RSA: ben il 42 % degli italiani in­ter­vi­sta­ti ha ammesso di fal­si­fi­ca­re le in­for­ma­zio­ni personali per paura di pub­bli­ci­tà e hacker.

Casi ri­cor­ren­ti di furto e abuso di dati tramite phishing e l'uso di Trojan ali­men­ta­no ancora di più questa paura. Perché quanto più circolano in­for­ma­zio­ni sensibili su un individuo, tanto più aumenta il pericolo che ne deriva per la sua esistenza fi­nan­zia­ria e sociale.

Le norme sulla pro­te­zio­ne dei dati re­spon­sa­bi­liz­za­no pertanto i prin­ci­pa­li in­te­res­sa­ti alle preziose in­for­ma­zio­ni personali, le aziende e le autorità: esse sono ora obbligate per legge a garantire la pro­te­zio­ne delle in­for­ma­zio­ni relative ai propri utenti e clienti. Ciò implica il rispetto di seguenti principi e pratiche stabiliti dal GDPR:

• Legalità del trat­ta­men­to dei dati: la raccolta, la me­mo­riz­za­zio­ne, l'u­ti­liz­zo e la tra­smis­sio­ne di dati personali a terzi sono con­sen­ti­ti solo con l'e­spres­so consenso del­l'in­te­res­sa­to.
• Tra­spa­ren­za: le aziende e le autorità sono soggette a re­spon­sa­bi­li­tà, do­cu­men­ta­zio­ne e prove complete. Su richiesta del­l'in­te­res­sa­to, esse devono fornire in­for­ma­zio­ni su tutte le procedure di trat­ta­men­to dei dati personali che lo ri­guar­da­no.
• Su­bor­di­na­zio­ne allo scopo: l’uso dei dati deve sempre essere legato agli scopi pre­de­fi­ni­ti e non può avvenire in maniera ar­bi­tra­ria.
• Mi­ni­miz­za­zio­ne dei dati raccolti: le or­ga­niz­za­zio­ni sono tenute a rac­co­glie­re solo i dati necessari per i propri scopi e a mantenere ge­ne­ral­men­te bassa la quantità di in­for­ma­zio­ni me­mo­riz­za­te.
• Cor­ret­tez­za dell’ela­bo­ra­zio­ne dei dati: i dati salvati devono sempre essere corretti e ag­gior­na­ti e in caso di necessità rinnovati.
• Limite di ar­chi­via­zio­ne: i dati vanno re­go­lar­men­te can­cel­la­ti se non sono più necessari allo scopo del detentore, se sono stati salvati senza permesso o se è scaduto il termine di pre­scri­zio­ne.
• Integrità e con­fi­den­zia­li­tà: le imprese e le autorità devono adottare misure di ampia portata per la pro­te­zio­ne interna dei dati. Oltre al­l'u­ti­liz­zo di programmi di cifratura e di software di sicurezza, è prevista anche una for­ma­zio­ne det­ta­glia­ta del personale in­ca­ri­ca­to del trat­ta­men­to dei dati.

La vio­la­zio­ne di questi principi può com­por­ta­re una multa fino a 20 milioni di euro o fino al 4 % del fatturato annuo mondiale di un'a­zien­da ai sensi del­l'ar­ti­co­lo 83, paragrafo 5, del DSGVO - una regola che fornisce un incentivo fi­nan­zia­rio per ri­spet­ta­re le linee guida, ma che non può garantire la sicurezza assoluta dei dati personali. Per questo motivo in ultima analisi spetta agli stessi con­su­ma­to­ri pro­teg­ge­re la propria vita privata di propria ini­zia­ti­va.

Il risparmio di dati è quindi un principio efficace anche per la na­vi­ga­zio­ne in Internet. Oltre a ciò si rac­co­man­da anche di can­cel­la­re o almeno fal­si­fi­ca­re i dati personali, l'in­di­riz­zo e le coor­di­na­te bancarie inseriti dopo aver com­ple­ta­to un acquisto online. Infine, ma non per questo meno im­por­tan­te, conviene pre­pa­rar­si sui propri diritti nei confronti di aziende e autorità.

In par­ti­co­la­re il GDPR sta­bi­li­sce tre diritti es­sen­zia­li che devono essere invocati dalle persone in­te­res­sa­te i cui dati personali sono raccolti, me­mo­riz­za­ti e trattati:

Nel diritto europeo in linea di principio i dati personali devono essere con­si­de­ra­ti di proprietà di una persona fisica. In pratica ciò significa che la raccolta, la me­mo­riz­za­zio­ne, l'e­la­bo­ra­zio­ne e la tra­smis­sio­ne dei dati sono con­sen­ti­te solo con il consenso esplicito e attivo della persona in­te­res­sa­ta. Ri­co­no­sce­re im­pli­ci­ta­men­te la privacy di un servizio online in materia di pro­te­zio­ne dei dati non è pertanto suf­fi­cien­te. Non è neppure con­sen­ti­to abbinare più consensi, per cui un'im­pre­sa o un'au­to­ri­tà non può ri­la­scia­re de­ter­mi­na­ti servizi solo contro il consenso senza lasciare al­l'u­ten­te la libertà di scegliere.

Ai sensi del­l'ar­ti­co­lo 15 del GPRD le persone in­te­res­sa­te hanno anche il diritto di ri­chie­de­re in­for­ma­zio­ni alle imprese e alle autorità alle quali for­ni­sco­no i loro dati personali. Le seguenti domande esplicite sono utili per avere una buona visione d'insieme della portata e della procedura di me­mo­riz­za­zio­ne dei dati:

• Quali dati sulla mia persona vengono salvati?
• Dove sono salvati questi dati?
• In che modo sono stati raccolti questi dati?
• A quale scopo sono stati salvati?
• A chi sono stati trasmessi tali dati?

Sebbene aziende e autorità siano obbligate per legge a fornire in­for­ma­zio­ni agli utenti, in alcuni casi bisogna fare i conti con una certa ri­lut­tan­za. È qui però che la per­si­sten­za paga: invocando i propri diritti, fissando una scadenza e mi­nac­cian­do di con­sul­ta­re il Garante per la pro­te­zio­ne dei dati, sarete si­cu­ra­men­te in grado di ottenere fi­nal­men­te le risposte alle vostre domande. Se poi non siete d'accordo sul modo in cui i dati vengono raccolti o se le in­for­ma­zio­ni sono inesatte, obsolete o persino me­mo­riz­za­te o trasmesse il­le­gal­men­te, potete sfoggiare la vostra ultima arma legale: il diritto di cor­reg­ge­re, can­cel­la­re e bloccare i dati (articolo 15, paragrafo 1e del GDPR).

Vi preghiamo di osservare la nota legale relativa a questo articolo.