Tutto quello che c’è da sapere sui dati personali

A partire da maggio 2018 il tanto discusso GDPR disciplina la protezione dei dati non solo a livello europeo ma anche nazionale. Il suo contenuto si concentra in particolar modo sui dati personali, considerati particolarmente degni di tutela sia dai legislatori che dai consumatori. D’altra parte sono numerosi i rappresentanti di imprese la cui capacità competitiva, basata largamente sui Big Data, risulta essere minacciata da norme rigide. Ma che cosa rientra effettivamente nella categoria dei dati personali e quali diritti possono essere invocati dagli interessati quando le loro informazioni private sono raccolte, memorizzate e successivamente trattate a fini economici?

Gli avvocati provenienti da ogni parte d’Europa sembrano d’accordo riguardo a una definizione univoca dei dati personali. Per “dati personali” si intendono tutti i dati e le informazioni che consentono di comprendere l’identità di una persona fisica, ossia di una persona “in carne e ossa”. Sono pertanto escluse le persone giuridiche e le società come ad esempio le S.r.l., a meno che i soci e gli amministratori delegati non siano lo stesso individuo.

I dati personali e i dati identificativi possono essere distinti gli uni dagli altri: i primi sono chiaramente associati a una persona fisica, mentre i secondi possono essere assegnati a una determinata persona solo con informazioni aggiuntive e sforzi giustificabili. Ciononostante la protezione dei dati vale per entrambe le tipologie. Fino a poco tempo fa i dati personali dei cittadini italiani erano tutelati dal codice in materia di protezione dei dati personali. A partire dal 25 maggio 2018, però, è entrato in vigore il GDPR, legge ufficialmente valida in tutti gli stati dell’Unione Europea e quindi anche superiore alla legislazione nazionale.

Le vere innovazioni riguardano però soltanto alcuni dettagli: i principi precedenti non sono stati cambiati, al contrario sono stati riformulati in modo più chiaro ed esteso, ad esempio con obblighi di notifica più rigorosi in caso di furto di dati e con linee guida per la tutela dei dati nelle tecnologie in via di sviluppo (concetto chiave: "Privacy by Design").

Con le clausole di apertura, il GDPR riduce o rafforza anche alcuni aspetti del codice della privacy italiano finora valido, che rimane in vigore come supporto legale nazionale. Le norme più severe riguardano in particolare la raccolta, la conservazione e l’utilizzo dei dati personali da parte delle imprese e delle autorità. Inoltre ora il regolamento fornisce una definizione del termine di applicazione generale, che finora è stata interpretata in modo molto diverso in tutta Europa:

Se invece i dati non possono essere assegnati a una persona specifica perché resi del tutto anonimi, non è necessario rispettare alcuna norma di protezione dei dati. Il problema è ancora una volta quello dei cosiddetti dati pseudonimizzati, che, se si dispone delle conoscenze aggiuntive necessarie, possono essere utilizzati anche per indicare una persona di riferimento univoca.

In caso di dubbio, pertanto, si applica sempre il principio di prudenza: dato che talvolta è difficile distinguere tra dati personali e non personali, è bene partire sempre dai primi per garantire la protezione delle informazioni potenzialmente sensibili. Ad esempio le autorità per la protezione dei dati presuppongono che anche gli indirizzi IP dinamici appartengano ai dati personali, in quanto possono essere assegnati chiaramente ai rispettivi utenti Internet attraverso l’interazione dei fornitori di accesso e di servizi.

Oltre agli esempi di dati personali già elencati, la legge sulla protezione dei dati definisce anche i dati personali "speciali" relativi a persone fisiche. In particolare si fa riferimento a:

• origine etnica e culturale
• opinioni politiche, religiose e filosofiche
• stato di salute
• orientamento sessuale
• appartenenza a un sindacato
• informazioni genetiche (ad esempio test del DNA) e dati biometrici (come fototessera e impronte digitali)

A causa della sensibilità di queste informazioni, le rispettive norme di sicurezza sono molto più severe. Di conseguenza l'articolo 9, paragrafo 1, del GDPR vieta in linea di principio il trattamento di categorie particolari di dati personali, a meno che la persona interessata non vi abbia espressamente acconsentito (una dichiarazione di consenso per il trattamento di dati personali generali non è sufficiente) o che vi sia un legittimo interesse pubblico a tali informazioni, ad esempio nell'ambito di un procedimento penale. Sebbene la decisione della nomina di un responsabile professionale della protezione dei dati sia di norma di competenza dell'amministratore delegato, è obbligatoria per il trattamento dei dati personali speciali.

Ad oggi ormai tutti sono consapevoli del fatto che le grandi aziende di Internet come Google e Facebook raccolgano su larga scala dati e informazioni personali sui propri utenti. La maggior parte di essi le utilizza per fare pubblicità personalizzata e generare così profitti. Ma i Big Data rappresentano anche un fattore competitivo significativo, se non il più importante, per la maggior parte delle aziende di qualsiasi tipo orientate al mercato.

Non importa che si tratti di imprese che operano nel settore bancario, dell’educazione, della salute o del retail: i dati personali degli utenti possono persino rappresentare le fondamenta del proprio modello di business. Le informazioni personali sono infatti utilizzate principalmente per l'ottimizzazione delle strutture di vendita e per l'individuazione dei meccanismi di marketing.

Simile approccio è in netto contrasto con la figura del consumatore, il quale negli ultimi anni si è evoluto fino a diventare sempre più maturo e informato, la cui paura legittima è che, creando profili utente dettagliati, si trasformi in preda ideale della sorveglianza di massa. Il cosiddetto digital trust deficit nei confronti non solo di imprese ma anche di autorità è stato dimostrato anche dai risultati di uno studio del fornitore di servizi di media RSA: ben il 42 % degli italiani intervistati ha ammesso di falsificare le informazioni personali per paura di pubblicità e hacker.

Casi ricorrenti di furto e abuso di dati tramite phishing e l'uso di Trojan alimentano ancora di più questa paura. Perché quanto più circolano informazioni sensibili su un individuo, tanto più aumenta il pericolo che ne deriva per la sua esistenza finanziaria e sociale.

Le norme sulla protezione dei dati responsabilizzano pertanto i principali interessati alle preziose informazioni personali, le aziende e le autorità: esse sono ora obbligate per legge a garantire la protezione delle informazioni relative ai propri utenti e clienti. Ciò implica il rispetto di seguenti principi e pratiche stabiliti dal GDPR:

• Legalità del trattamento dei dati: la raccolta, la memorizzazione, l'utilizzo e la trasmissione di dati personali a terzi sono consentiti solo con l'espresso consenso dell'interessato.
• Trasparenza: le aziende e le autorità sono soggette a responsabilità, documentazione e prove complete. Su richiesta dell'interessato, esse devono fornire informazioni su tutte le procedure di trattamento dei dati personali che lo riguardano.
• Subordinazione allo scopo: l’uso dei dati deve sempre essere legato agli scopi predefiniti e non può avvenire in maniera arbitraria.
• Minimizzazione dei dati raccolti: le organizzazioni sono tenute a raccogliere solo i dati necessari per i propri scopi e a mantenere generalmente bassa la quantità di informazioni memorizzate.
• Correttezza dell’elaborazione dei dati: i dati salvati devono sempre essere corretti e aggiornati e in caso di necessità rinnovati.
• Limite di archiviazione: i dati vanno regolarmente cancellati se non sono più necessari allo scopo del detentore, se sono stati salvati senza permesso o se è scaduto il termine di prescrizione.
• Integrità e confidenzialità: le imprese e le autorità devono adottare misure di ampia portata per la protezione interna dei dati. Oltre all'utilizzo di programmi di cifratura e di software di sicurezza, è prevista anche una formazione dettagliata del personale incaricato del trattamento dei dati.

La violazione di questi principi può comportare una multa fino a 20 milioni di euro o fino al 4 % del fatturato annuo mondiale di un'azienda ai sensi dell'articolo 83, paragrafo 5, del DSGVO - una regola che fornisce un incentivo finanziario per rispettare le linee guida, ma che non può garantire la sicurezza assoluta dei dati personali. Per questo motivo in ultima analisi spetta agli stessi consumatori proteggere la propria vita privata di propria iniziativa.

Il risparmio di dati è quindi un principio efficace anche per la navigazione in Internet. Oltre a ciò si raccomanda anche di cancellare o almeno falsificare i dati personali, l'indirizzo e le coordinate bancarie inseriti dopo aver completato un acquisto online. Infine, ma non per questo meno importante, conviene prepararsi sui propri diritti nei confronti di aziende e autorità.

In particolare il GDPR stabilisce tre diritti essenziali che devono essere invocati dalle persone interessate i cui dati personali sono raccolti, memorizzati e trattati:

Nel diritto europeo in linea di principio i dati personali devono essere considerati di proprietà di una persona fisica. In pratica ciò significa che la raccolta, la memorizzazione, l'elaborazione e la trasmissione dei dati sono consentite solo con il consenso esplicito e attivo della persona interessata. Riconoscere implicitamente la privacy di un servizio online in materia di protezione dei dati non è pertanto sufficiente. Non è neppure consentito abbinare più consensi, per cui un'impresa o un'autorità non può rilasciare determinati servizi solo contro il consenso senza lasciare all'utente la libertà di scegliere.

Ai sensi dell'articolo 15 del GPRD le persone interessate hanno anche il diritto di richiedere informazioni alle imprese e alle autorità alle quali forniscono i loro dati personali. Le seguenti domande esplicite sono utili per avere una buona visione d'insieme della portata e della procedura di memorizzazione dei dati:

• Quali dati sulla mia persona vengono salvati?
• Dove sono salvati questi dati?
• In che modo sono stati raccolti questi dati?
• A quale scopo sono stati salvati?
• A chi sono stati trasmessi tali dati?

Sebbene aziende e autorità siano obbligate per legge a fornire informazioni agli utenti, in alcuni casi bisogna fare i conti con una certa riluttanza. È qui però che la persistenza paga: invocando i propri diritti, fissando una scadenza e minacciando di consultare il Garante per la protezione dei dati, sarete sicuramente in grado di ottenere finalmente le risposte alle vostre domande. Se poi non siete d'accordo sul modo in cui i dati vengono raccolti o se le informazioni sono inesatte, obsolete o persino memorizzate o trasmesse illegalmente, potete sfoggiare la vostra ultima arma legale: il diritto di correggere, cancellare e bloccare i dati (articolo 15, paragrafo 1e del GDPR).

Vi preghiamo di osservare la nota legale relativa a questo articolo.