Privacy , più tutele nella società digitale

(Intervista di Giovanna Gueci, Il Quotidiano del Sud, 1 aprile 2018)

 

Il 25 maggio 2018 il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) – entrato in vigore nel maggio 2016 – sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea. Gli adempimenti previsti riguarderanno tutti i soggetti pubblici e privati che effettuano il trattamento dei dati per un compito di interesse pubblico. Novità in arrivo, dunque, da qui a qualche mese, per cittadini, aziende, enti pubblici, associazioni, liberi professionisti, e per il Garante stesso che, a vent’anni dal suo insediamento, vede rafforzati i suoi poteri di intervento e sanzionatori. Antonello Soro, presidente dell’Autorità Garante per la protezione dei dati personali, e già vicepresidente delle Autorità per la privacy dei Paesi Ue, ci aiuta a capire meglio cosa accadrà.

Presidente Soro, in tema di protezione di dati personali, l’Unione Europea avrà un insieme unico di norme direttamente applicabili in ogni Paese. E’ un importante sviluppo giurisprudenziale, ma fino a che punto per una materia del genere, soggetta alla tecnologia e gestita online, ha senso parlare di confini geografici?

“E’ esattamente questo uno dei punti qualificanti del nuovo Regolamento europeo. Fino ad ora le Autorità Garanti europee non avevano sufficienti strumenti di controllo e sanzionatori sulle società extraeuropee. La tutela della privacy era così spesso costretta a fermarsi di fronte ai confini nazionali, in un mondo digitale che, al contrario, non ha vincoli geografici. Il cosiddetto GDPR, al contrario, amplia la giurisdizione dei Garanti europei della privacy a tutte le società straniere – a partire dai big della rete statunitensi ed asiatici – che offrono servizi a qualunque persona si trovi all’interno dell’Unione europea. Questa innovazione normativa, a partire dal 25 maggio prossimo, abbatterà proprio quei confini scritti dalla storia, ma superati da Internet”.

Per quanto riguarda i danni che Internet ed i social network hanno prodotto e producono sistematicamente nella vita di moltissime persone – soprattutto minori d’età e soggetti deboli – il nuovo Regolamento sarà in grado di offrire una tutela effettiva?

“Per loro è prevista una tutela rafforzata. Come scritto nel GDPR, i minori possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia, nonché dei loro diritti. Imprese ed enti pubblici, quindi, devono garantire una specifica protezione per quanto riguarda l’utilizzo dei dati personali dei giovani, ad esempio per finalità di marketing o per la creazione di profili di personalità. Le misure coercitive e di controllo, però, consentono solamente di limitare l’impatto di eventuali problemi legati al non corretto utilizzo dei social network. Tanto per fare un esempio, se la pubblicazione di fotografie e altre informazioni è effettuata per fini personali, magari da un cosiddetto amico, il nuovo Regolamento privacy non offre soluzioni incisive. E’ quindi necessaria una forte azione preventiva, basata sull’educazione e sulla sensibilizzazione anche dei cosiddetti “nativi digitali”, affinchè non siano proprio loro i primi a cadere, a volte non solo metaforicamente, nella rete. Ed anche perché proprio il GDPR individua nella fascia compresa tra i 13 e i 16 anni la soglia di età alla quale la legge nazionale può ritenere validamente prestato il consenso, da parte del minore, al trattamento dei suoi dati nell’ambito dell’offerta diretta dei servizi della società dell’informazione. E’ comunque importante ricordare che il nostro Paese si è dotato, proprio nel 2017, di un ulteriore strumento contro la violenza digitale, ovvero la legge sul cyberbullismo. Essa consente al Garante, alla Polizia postale e ad altre istituzioni di intervenire rapidamente per bloccare, ad esempio, foto e video offensivi, oppure pagine web o post sui social network in cui si è vittime di minacce, offese o insulti”.

L’introduzione, per le imprese e per gli enti, del “Responsabile dei dati personali” e l’aumento delle sanzioni, che potranno arrivare ad un massimo di 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, sono elementi che preoccupano da un punto di vista organizzativo ed economico i soggetti interessati, ancora in larga parte impreparati. Tutelare i dati sarà un “costo” ulteriore e troppo alto per aziende e P.A.?

“Gli obblighi previsti da Regolamento, se correttamente intesi, non rappresentano oneri burocratici, ma elementi fondamentali di una più ampia strategia a tutela del proprio business o dei propri compiti istituzionali. Imprese ed enti pubblici avranno maggiori responsabilità, soprattutto nell’analisi dei rischi riguardo al trattamento dei dati, ma potranno godere anche di diverse semplificazioni negli adempimenti. Nell’analisi dei rischi ha un ruolo fondamentale il “Responsabile della protezione dei dati personali”, spesso indicato con l’acronimo inglese DPO, il quale aiuterà soggetti pubblici e privati a individuare le soluzioni migliori per una corretta gestione dei dati personali. Quanto alle sanzioni, l’entità delle somme servirà come spinta per le grandi multinazionali a porre la massima attenzione nel proteggere i dati delle persone”.

Più volte Lei si è espresso sul tema delle libertà dei cittadini nella società digitale, non senza qualche preoccupazione e richiamando alla responsabilità della politica, dei Governi e delle Authority pubbliche, più che a quella del web.

“Non dobbiamo mai dimenticare che la libertà rappresenta un valore fondamentale in una società democratica. Una compressione non ben ponderata dei diritti e delle libertà degli interessati comporta di per sé un grave rischio per la democrazia. Per questo il Garante richiama di frequente le istituzioni, a partire dal Governo e dal Parlamento, ad esercitare con attenzione un corretto bilanciamento di interessi, ad esempio tra sicurezza e privacy, in modo che non si limiti ingiustificatamente o in maniera sproporzionata la sfera privata dei cittadini”.

Come cambia con il nuovo Regolamento il ruolo delle Authority?

“Innanzitutto, la nuova normativa spinge le Autorità privacy a rafforzare le loro attività di “indirizzo” e guida, supportando tutti i soggetti che effettuano un trattamento di dati personali. Viene inoltre accresciuta in maniera considerevole l’attività di cooperazione internazionale tra le Autorità, in modo da garantire decisioni coerenti in tutto il territorio dell’UE. Questa attività di cooperazione e co-decisione, trova una sua sintesi anche nel cosiddetto “sportello unico”, istituito dal GDPR per semplificare l’attività delle società che operano su più Paesi. Dal 25 maggio, una multinazionale che effettua trattamenti transfrontalieri di dati personali non dovrà più confrontarsi con le richieste di molteplici Autorità nazionali della privacy, ma si rapporterà solamente con una autorità “capofila” (Leading Authority) competente sul suo caso, la quale si occuperà di coordinare e trovare un posizione comune con tutte le altre autorità nazionali eventualmente cointeressate”.

Perché facciamo fatica a considerare i nostri dati personali veri e propri beni meritevoli di tutela e la loro concentrazione e conservazione nelle mani di pochi un enorme potere non solo economico? Esiste una cultura della privacy? Ed in questo senso, si può parlare di prevenzione ed educazione digitale?

“E’ proprio la scarsa consapevolezza degli utenti in merito al valore dei propri dati che consente alle multinazionali della rete di sfruttarli, con costi irrisori, per le finalità economiche, sociali, ma anche politiche. Le grandi imprese del digitale sfruttano la naturale pigrizia delle persone per barattare servizi apparentemente gratuiti, che ci semplificano la vita di tutti i giorni, con la costruzione di profili dettagliatissimi dei nostre abitudini e dei nostri gusti, consentendo di scavare senza limiti nella nostra stessa personalità. A questa minaccia per la qualità della nostra libertà futura, si è aggiunto negli anni un serio problema per le aziende europee impossibilitate a competere, nell’economia digitale, con pochi oligopolisti stranieri, che sino ad ora hanno potuto continuare ad accrescere i loro profitti grazie anche alle minori garanzie accordate, nei loro Paesi, ai dati degli utenti, II Regolamento UÈ consentirà di intervenire su entrambe le problematiche. Da un lato, infatti, aumenterà la consapevolezza delle persone interessate, obbligando ogni titolare del trattamento, pubblico o privato che sia, a fornire agli interessati informazioni più chiare e complete su come sono utilizzati i dati personali raccolti. Dall’altro, obbligando le società straniere ad adottare standard di tutela analoghi a quelle europee, dovrebbe spingere a un riequilibrio del mercato dei dati, favorendo così la concorrenza nel rispetto della privacy”.

PRIVACY POLICY