Il futuro dei dati personali

Nicola Bernardi

Con il Regolamento Europeo arriveranno nuove tutele e nuovi diritti per gli interessati al passo con i tempi. Ad esempio, sarà introdotto esplicitamente il diritto all’oblio: per motivi legittimi, ogni persona potrà, finalmente, richiedere la cancellazione dei propri dati in possesso di terzi.

Nella società tecnologica e ossessivamente “on-line” in cui viviamo, il concetto di privacy ha vissuto continue evoluzioni, passando, in pochi anni, da materia intricata, riservata agli addetti ai lavori, ad argomento quotidiano, penetrando sottilmente non solo negli uffici, ma anche nel privato delle nostre abitazioni, non di rado dibattuto in famiglia davanti ad un tg della sera o a seguito di una telefonata promozionale.
In effetti, sembrano trascorsi secoli da quando cominciammo a sentirci chiedere una firma in più per ogni banale contratto che dovevamo sottoscrivere: “é per la legge sulla privacy” ci veniva spiegato. Per diversi anni, nel pensare comune, quei moduli sono stati considerati solo “carta buttata via, la solita noiosa burocrazia”. Si trattava della legge 675 del 1996, introdotta dal Governo del nostro Paese per recepire la direttiva comunitaria 95/46/EC. Se, all’epoca, firmavamo tutti passivamente quelle informative, quando oggi ci viene chiesto di fornire i nostri dati ed esprimere un consenso con una firma, siamo quantomeno assaliti da qualche dubbio del tipo: “come saranno utilizzate le informazioni che mi riguardano?”
Già, perché praticamente tutti abbiamo sperimentato, almeno un volta, cosa significhi vedere invasa in una certa misura la propria sfera privata. Una telefonata all’ora di cena che ci propone un’offerta commerciale, una serie di telecamere che osservano ogni nostro movimento mentre facciamo shopping, avvisi pubblicitari mentre navighiamo in internet così corrispondenti ai nostri gusti personali da sembrare studiati apposta per noi. Con tutta probabilità, e a nostra insaputa, lo sono davvero.
In questi ultimi anni, le insidie alla nostra privacy hanno assunto sfaccettature ancora più complesse, addirittura non completamente conosciute dalla maggioranza, forse quasi inimmaginabili allo stesso legislatore quando sfornò la prima normativa sulla protezione dei dati personali nel 1996.
Ad esempio, è ultimamente in aumento, anche attraverso certi social network, l’utilizzo di sistemi di geolocalizzazione che, più o meno consapevolmente, consentono a terzi di conoscere ogni nostro piccolo spostamento, mentre portiamo tranquillamente in tasca la spia, che altro non é che il nostro cellulare.
Ma, anche con la rapida diffusione del “cloud-computing”, mentre ci affanniamo a capire come saranno utilizzati i nostri dati personali, dovremmo cominciare a domandarci anche dove vanno a finire.
Tutte le trappole finalizzate al furto d’identità, come il phishing, utilizzate da hacker senza scrupoli per spillare soldi dai nostri conti, ci fanno sentire, inoltre, sempre più vulnerabili e ci fanno avvertire quanto i ladri del terzo millennio si avvalgano sempre meno di passamontagna e pistola, mirando direttamente ad impossessarsi delle nostre informazioni personali per i loro scopi criminali. È mai capitato a qualcuno che conoscete, o direttamente a voi, di essere derubati, anche solo di una piccola somma, dal vostro conto o dalla vostra carta di credito da parte di sconosciuti? Se la risposta è no, probabilmente è perché non utilizzate alcuna carta di credito e tenete i vostri soldi sotto il materasso o, più semplicemente, siete stati fortunati.
Anche se è vero che il cittadino può godere di una certa tutela (l’ultima volta in cui il legislatore ha messo mano all’impianto della normativa privacy in Italia risale al D. Lgs. 196/2003, tutto sommato, di recente), è pure dato di fatto che la data-protection costituisca un campo in cui, a motivo dell’inarrestabile progresso tecnologico, le regole devono essere scritte mentre si gioca la partita, poiché ogni pur ottimo impianto normativo messo a punto, dopo poco tempo risulta già non completamente adeguato a causa del mutamento degli scenari. Ecco, quindi, che la tecnologia corre più veloce della legislazione, e quest’ultima si trova a dover rincorrere gli eventi.
Poiché ogni intervento normativo pare puntualmente risultare solo un tentativo più o meno efficace di garantire un assetto stabile alla materia, la sfida della data-protection del futuro si gioca nella dinamicità di un impianto che contenga quanti più principi immutevoli nel tempo, non poggiando su regole rigide che possano divenire in breve tempo di ardua applicazione a causa di nuovi strumenti o nuove tecniche poco prima neanche esistenti.
A distanza di 17 anni, l’Europa raccoglie di nuovo questa sfida e lo fa in maniera anche più ambiziosa ed imponente rispetto al passato. Se, all’epoca, emanò la cosiddetta Direttiva Madre 46/1995, la quale doveva essere recepita entro 18 mesi da ogni singolo Stato membro con una legge nazionale ad hoc, il 25 gennaio del 2012 la Commissione Europea ha invece presentato l’impianto di un nuovo Regolamento Europeo che, terminato il suo iter legislativo, sarà direttamente applicabile nei 27 Stati membri, senza necessità alcuna di legiferare da parte dei singoli Governi. Questi dovranno occuparsi solamente di far rispettare le nuove regole.
Se dovessimo assegnare un voto a questa scelta dell’Europa, quella di proporre un’unica normativa all’intera Comunità Europea, per coraggio meriterebbe, fin d’ora e senza alcun dubbio, un bel 10, per la corretta valutazione dell’importanza e della delicatezza del problema e per la decisione di “prendere il toro per le corna”.
Sotto questo aspetto, ci attende una legge sulla privacy immodificabile autonomamente, sulla quale nessuno Stato membro UE potrà decidere da solo di apportare interventi per semplificare o inasprire la materia, a seconda degli orientamenti politici dei Governi che, negli anni, si succederanno.
Con il Regolamento Europeo arriveranno, inoltre, nuove tutele e nuovi diritti per gli interessati al passo con i tempi. Ad esempio, sarà introdotto esplicitamente il diritto all’oblio: per motivi legittimi, ogni persona potrà, finalmente, richiedere la cancellazione dei propri dati in possesso di terzi. Questo accadrà, per esempio, on-line, quando un utente farà eliminare i propri dati detenuti da un social network o altro servizio web. Non è poco, dato che, di fatto, la prassi oggi è che questi operatori continuino a conservare i dati dei loro utenti vita natural durante.
Più in generale, gli interessati avranno diritto alla massima trasparenza e ad essere compiutamente informati su ogni trattamento dei loro dati personali, anche quando associato a complesse ed articolate filiere di sub-appalto (si pensi, appunto, al caso del cloud computing). Inoltre, si provvederà espressamente a proteggere i dati dei minori: almeno in questo, la UE sembra avere imparato qualcosa dalla privacy d’oltreoceano.
Per le imprese ed i loro preposti, saranno introdotte nuove responsabilità, come il principio di “accountability” che comporterà l’onere di dimostrare l’adozione di tutte le misure e le cautele sulla privacy in capo a chi tratta i dati, senza troppi formalismi, com’è stato finora, ma badando, piuttosto, alla sostanza.
Altra grande novità per le aziende con più di 250 dipendenti, e per tutti gli enti pubblici, sarà l’obbligo di nominare un “privacy officer”, interno oppure anche esterno, una figura di stampo manageriale, indipendente, competente e in diretta relazione con i vertici aziendali. A questo proposito, nei tempi di crisi occupazionale che il mercato del lavoro sta attraversando, è se non altro rincuorante evidenziare che, stando alle statistiche attuali, solo in Italia la nomina obbligatoria del privacy officer offrirà nuove opportunità professionali a circa 24.000 persone.
Nel caso in cui si verifichi una violazione di dati personali (ad esempio, un hacker che ruba i nostri dati dal sito web della nostra banca), avremo la garanzia aggiuntiva di dover essere avvisati tempestivamente (l’obbligo di notifica dovrà essere eseguito sia a noi come diretti interessati, sia alle autorità).
Anche in tema di multe, con l’Europa non si scherzerà: le imprese che non rispetteranno le suddette regole e tutte le altre contenute nel Regolamento Europeo rischieranno sanzioni salatissime, che potranno arrivare fino al 2% del volume d’affari annuale.
Probabilmente ci vorrà ancora un altro anno prima che il Regolamento Europeo sulla privacy venga definitivamente approvato, ma possiamo già osservare come il lavoro fin qui svolto segni davvero una svolta storica rispetto alle precedenti normative. Finalmente, sotto la direzione europea, la legge si occuperà in modo concreto dei pericoli più evoluti che minacciano la nostra privacy, specialmente quelli che incontriamo on-line. Probabilmente questo non segnerà una vittoria (siamo piuttosto noi che dobbiamo imparare a difendere la nostra privacy con i denti), ma possiamo comunque affermare che l’Europa ha raccolto la sfida della privacy nel migliore dei modi. In qualità di cittadini, potremo beneficiarne più di quanto possiamo immaginare al presente.

Nicola Bernardi
Presidente Federprivacy – Federazione Italiana della Privacy

Massimiliano Fanni Canelles

Viceprimario al reparto di Accettazione ed Emergenza dell'Ospedale ¨Franz Tappeiner¨di Merano nella Südtiroler Sanitätsbetrieb – Azienda sanitaria dell'Alto Adige – da giugno 2019. Attualmente in prima linea nella gestione clinica e nell'organizzazione per l'emergenza Coronavirus. In particolare responsabile del reparto di infettivi e semi – intensiva del Pronto Soccorso dell'ospedale di Merano. 

Tags:

Rispondi