GDPR: un quadro generale sul nuovo regolamento europeo sulla protezione dati

GDPR nuovo regolamento europeo sulla protezione dati

Per capirne di più di GDPR abbiamo chiesto un contributo a Giorgio La Rosa, Project Assistant presso l’European Interactive Digital Advertising Alliance (EDAA), organizzazione europea non-profit che, attraverso la gestione del programma AdChoices, garantisce la trasparenza dell’industria ad-tech nei confronti di consumatori e utenti del web.

Il 25 maggio 2018 la GDPR, ossia il nuovo regolamento europeo sulla protezione dati, entrerà in vigore. Tante le modifiche, sia formali che sostanziali, rispetto al passato. Dall’ambito di applicazione alla definizione di consenso, dai diritti dell’interessato alle sanzioni in caso di non conformità. Diamo un’occhiata insieme.

La General Data Protection Regulation (o GDPR) è destinata a rivoluzionare il modo in cui le aziende e le pubbliche amministrazioni collezionano e trattano i nostri dati personali. Operazioni quali l’internet banking o la geo-localizzazione sono tra gli innumerevoli esempi di situazioni quotidiane in cui, attraverso i nostri dispositivi fissi e mobili, autorizziamo terze parti all’accesso e al trattamento dei nostri dati personali. In questo articolo proveremo a spiegare perché ed in che misura il nuovo regolamento europeo sulla protezione dati abbia un impatto su tutti noi, surfisti del web e non. Il progresso tecnologico inarrestabile da un lato (IoT, VR, AR, AI, Blockchain, etc.), e i fenomeni di leaking di dati personali dall’altro rendono inevitabile l’onere come cittadini ed il dovere come uomini d’impresa di conoscere e rispettare le regole che disciplinano questa materia.

N.B. I concetti di “Privacy” e “Protezione Dati” (termini che verranno molto utilizzati in questo articolo) sono strettamente interconnessi tra loro, e si completano a vicenda, ma non coincidono. In breve: la prima definisce l’accesso autorizzato ai dati (ovvero chi può accedere), mentre la seconda ne garantisce protezione da accessi non autorizzati.

 

Prima della GDPR

In principio era la Dichiarazione Universale dei Diritti dell’Uomo, adottata dalle Nazioni Unite nel 1948, che all’articolo 12 sancisce che:

Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione.

Si tratta certamente di una prima embrionale definizione di diritto alla privacy, che ha tuttavia facilitato il succedersi di strumenti legislativi europei ed internazionali negli anni successivi, fino ad arrivare alla Direttiva sulla Protezione Dati (95/46/EC) prima, ed alla Direttiva sulla ePrivacy (2002/58/EC) poi. Quest’ultima è stata emendata nel 2009 per includere le previsioni sui cosiddetti cookies, piccoli file (mi piace immaginarli della dimensione di un biscottino) che i siti web memorizzano nel nostro dispositivo durante la navigazione, utili a salvare le preferenze e a migliorare le prestazioni dei siti web, ottimizzando in questo modo l’esperienza di navigazione da parte dell’utente.

Anche se i cookies non contengono, generalmente, dati personali dell’utente, essi sono in grado di identificare un dispositivo attraverso l’attività di browsing e per questo motivo la possibilità che essi vengano immagazzinati nei nostri device è sempre soggetta alla nostra autorizzazione (o consenso, come vedremo più avanti). Questa è la situazione in cui ciascuno di noi si è ritrovato almeno una volta durante la visita di un sito web:

cookie policy this marketers life
 

Perché si è arrivati alla GDPR?

Prima di entrare nel merito del regolamento, vale la pena spendere qualche riga sul metodo.

La necessità di un approccio uniforme della normativa a livello europeo è stato da sempre l’obiettivo dichiarato che ha portato la Commissione a proporre una Direttiva sulla Protezione Dati prima, ed una Direttiva sulla ePrivacy poi. Tuttavia, sin dai primi tempi successivi all’entrata in vigore di tali direttive, è apparso evidente come la trasposizione dei principi in tema di privacy all’interno degli ordinamenti nazionali sarebbe inevitabilmente risultata in un disarmonico e frammentato proliferarsi di regole che, tanto nella forma quanto nella sostanza, avrebbero tradito l’intento originario del legislatore europeo (si legga: ogni Stato avrebbe fatto un po’ a modo suo).

Considerato tale approccio come un forte ostacolo allo sviluppo del mercato europeo comune, ed in concomitanza con l’entrata in vigore del Trattato di Lisbona nel 2009 (che ha radicalmente modificato i trattati dell’UE per una maggiore efficienza della macchina europea), la Commissione ha annunciato l’intenzione di procedere ad una revisione della Direttiva sulla Protezione Dati, strategicamente orientata ad un rafforzamento del quadro normativo e ad una armonizzazione trasversale in tutti gli Stati Membri. Il risultato di tale strategia è, appunto, la GDPR.

 

Ambito di applicazione

Alla luce di queste considerazioni, si evince che la scelta dello strumento legislativo del regolamento sia tutt’altro che casuale: a differenza della direttiva che esso va a sostituire, infatti, il regolamento è direttamente applicabile a tutti gli Stati Membri dell’UE e non necessita di ulteriori norme nazionali di attuazione (si legga: niente disarmonie tra Stati).

Da un punto di vista concettuale, la GDPR si applicherà a qualunque informazione personale che possa portare all’identificazione di un soggetto: ad esempio il suo nome o la sua posizione (fisici e/o digitali), così come qualunque altro dato identificativo di carattere economico (le vostre coordinate bancarie vi dicono qualcosa?), culturale, sociale, e via dicendo.

Da un punto di vista territoriale, la GDPR si applicherà a qualsiasi organizzazione che opera all’interno del territorio dell’Unione Europea, nonché a qualsiasi organizzazione al di fuori del territorio dell’Unione ma che offre beni o servizi a clienti o aziende Europee. Il che, considerate le dimensioni e l’impatto del mercato europeo a livello globale, vuol dire che quasi tutte le grandi (e piccole) aziende del mondo verranno colpite dalla GDPR.

 

Consenso

Il consenso è certamente il topic più chiacchierato della GDPR. Ricordate la schermata sul consenso all’utilizzo dei cookies? È possibile che con l’entrata in vigore della GDPR queste schermate si moltiplicheranno, come è invece possibile che spariranno, oppure ancora che saranno diverse rispetto a quelle che siamo abituati a vedere oggi.

Le linee guida (1) per l’interpretazione del concetto di consenso secondo il nuovo Regolamento sulla protezione dati ci dicono che, a differenza che in passato, la definizione di “consenso” è molto più stringente e viene identificata nella manifestazione di volontà libera, specifica, informata e inequivocabile della persona ad assoggettare i propri dati al trattamento di terzi. In altre parole, la decisione di dare il consenso dovrà essere frutto di una scelta trasparente e consapevole, e le informative sulla privacy dovranno d’ora in poi essere espresse in un linguaggio semplice e chiaro. Silenzio assenso e caselle pre-compilate non saranno più ammesse. Infine, tanto complesse saranno le modalità di opt-in (cioè la collezione del consenso) quanto facili dovranno essere le modalità di opt-out (cioè la possibilità di ritirarlo).

Facciamo un esempio: una mobile app che offre un servizio di photo editing chiede ai suoi utenti di attivare la geo-localizzazione come requisito per l’utilizzo del servizio, e informa gli utenti che i dati raccolti verranno utilizzati ai fini di ottimizzare le strategie di pubblicità comportamentale (o behavioural advertising). Tanto la geo-localizzazione quanto le strategie di pubblicità comportamentale, tuttavia, non sono requisito necessario alla prestazione di un servizio quale il photo editing. Per quanto si tratti, in questo caso, di un tipo di consenso probabilmente informato, di certo esso non è esercitato liberamente: se l’utente non accetta le condizioni poste dall’app, non sarà in grado di usufruire del servizio. Si tratta di un caso di non conformità con il regolamento.

consenso richiesto da un'app

Facciamo un altro esempio: una Pay TV raccoglie i dati personali dei propri abbonati, previo consenso già ottenuto in sede contrattuale, al fine di migliorare il servizio di feedback e fornire consigli per la visione basati sull’interesse del singolo utente. Dopo qualche tempo, la Pay TV decide di cedere tali dati a terze parti per fini di pubblicità comportamentale personalizzata in base alle attività dell’utente all’interno della piattaforma. Per adempiere al principio di specificità del consenso, ed essere dunque conformi al regolamento, una nuova e specifica richiesta di autorizzazione alla raccolta ed al trattamento dei dati è necessaria per il nuovo fine perseguito.

 

Diritti dell’interessato

Altro forte indizio di trasparenza e tutela del titolare dei dati personali sono i numerosi diritti dell’interessato elencati dal regolamento, che gli dedica un intero capo e più di dieci articoli. Dal momento che, però, vorrei arrivaste alla fine di questo di articolo, non ve li elenco tutti (ma se siete interessati, eccovi il link dove approfondire). Mi limiterò a soffermarmi sugli aspetti più interessanti e, se vogliamo, rivoluzionari.

Il diritto all’oblio

Sin da quando esiste Google, e forse anche prima, sentiamo parlare del cosiddetto diritto all’oblio: il diritto ad essere dimenticati, ovvero il diritto a non restare esposti a tempo indeterminato alle conseguenze dannose che possono derivare al proprio onore e alla propria reputazione da fatti commessi in passato o da vicende nelle quali si è rimasti coinvolti e che sono divenuti oggetto di cronaca. Esso consente a chi lo desideri che i propri dati vengano eliminati una volta per tutte da ogni piattaforma digitale. Ma è realmente possibile una cosa simile? In realtà, è doveroso precisare che la GPDR non prevede un diritto all’oblio assoluto. Piuttosto, il diritto si applica solo in circostanze specifiche ed una richiesta di essere dimenticati può essere respinta per motivi di interesse generale o di libertà di espressione: ad esempio, quando quei dati suscitano ancora (o nuovamente) interesse pubblico all’informazione.

Opporsi al trattamento dei dati

Secondo la GDPR, un soggetto interessato dovrà in qualunque momento avere accesso ai propri dati personali gratuitamente e potrà anche opporsi al trattamento degli stessi. Esempio emblematico sono i fenomeni di direct marketing: l’opposizione del soggetto al trattamento dei propri dati da parte dei fornitori di servizi di direct marketing è perentoria e non potrà essere contestata in alcun modo. Se chiederò ad un’azienda di cancellarmi dai loro elenchi di telefonate promozionali, avrò diritto che ciò avvenga.

Notifica di eventuali violazioni

Last but not least, nel caso in cui una organizzazione sia oggetto di violazione di dati personali (pensiamo, ad esempio, ai recenti attacchi informatici alle istituzioni sanitarie britanniche) essa avrà l’obbligo di notifica tanto all’organo di vigilanza competente quanto agli interessati. In particolare, l’obbligo si riferisce alle violazioni che potrebbero comportare un rischio per i diritti e le libertà individuali, nonché portare a discriminazioni, danni alla reputazione, perdite di carattere finanziario, lesioni alla riservatezza e qualsiasi altro svantaggio economico o sociale. La violazione dovrà essere segnalata all’organo di vigilanza competente entro 72 ore dal momento in cui l’organizzazione ne viene a conoscenza.

 

Sanzioni

Per quanto riguarda le sanzioni in caso di non conformità con la GDPR, mentre quelle di carattere penale rimarranno di competenza degli Stati Membri, le sanzioni amministrative a seguito di mancata conformità al regolamento ammonteranno – nei casi più gravi – a 20 milioni di euro o, se superiore, al 4% del fatturato annuo globale dell’azienda.

sanzioni google shopping commissione europea

A meno di 2 mesi dall’entrata in vigore, poche aziende (se non addirittura nessuna) sembrano aver attuato tutte le misure necessarie richieste dalla GDPR. Voci di corridoio vogliono la Commissione Europea fare la voce grossa con i big players (senza fare nomi, e tanto per cambiare: Google, Facebook, Amazon), con l’obiettivo di dare un chiaro segnale verso l’uniformità di attuazione. Oltre alle ingenti sanzioni pecunarie, queste grandi aziende rischierebbero anche un significativo danno di immagine, nel caso in cui dovessero essere punite per mancata conformità al regolamento.

 

E in Italia?

Come molti di voi sapranno, in materia di privacy in Italia è in vigore il Codice per la protezione dei dati personali (D. Lgs. 196/2003), testo unico che dà attuazione alla Direttiva europea sulla Protezione Dati citata a inizio articolo.

Nell’ottobre 2017 il Parlamento italiano ha approvato una legge di delega (L. 163/2017) al Governo per l’adozione di una serie di decreti che agevolino l’attuazione delle previsioni contenute nella GDPR all’interno dell’ordinamento nazionale. Un recente comunicato stampa del Consiglio dei Ministri – riunitosi il Marzo scorso – ha approvato, in esame preliminare, un decreto legislativo che, in attuazione della stessa legge delega, sancisce la definitiva abrogazione del Codice per la protezione dei dati personali in favore della diretta applicabilità della GDPR.

 

Dopo la GDPR

Sempre nel quadro di riforma generale avanzato dalla Commisione negli ultimi anni, è al momento in discussione sui tavoli dei legislatori europei la proposta di un Regolamento sulla ePrivacy, che prenda il posto della omonima direttiva menzionata all’inizio di questo articolo. Spesso definito come il fratello minore della GDPR, il nuovo Regolamento sulla ePrivacy perseguirebbe uno scopo di armonizzazione della materia nella sfera della libera circolazione dei dati di comunicazione elettronica all’interno dell’UE. Un focus nettamente più digital, dunque, che contribuirebbe ad assicurare consistenza e complementarietà con la GDPR.

È ancora presto per effettuare una valutazione dell’impatto che la GDPR avrà tanto sulla nostra privacy quanto sulla nostra browsing experience o sulla nostra azienda. E se vi state chiedendo in che misura la GDPR vi aiuterà ad evitare di fare la stessa fine del giovane protagonista di una puntata di Black Mirror (Stagione 3, episodio 3), costretto a girare per la città a costo di rimediare ad una tremenda violazione della sua privacy, beh… probabilmente non vi sarà più di aiuto di quanto non potesse già esserlo coprire la webcam con il nastro adesivo.

 

Nda: L’autore del presente articolo scrive a titolo personale e non per conto di EDAA.

 

(1) Le linee guida, pubblicate il 28 novembre 2017, sono state redatte dal gruppo di lavoro ex Articolo 29, organismo consultivo e indipendente composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal Garante europeo della protezione dei dati e da un rappresentante della Commissione Europea.

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

Il Progetto
This MARKETERs Life nasce per essere il punto di riferimento per un life style fresco, cool, intraprendente, stimolante e creativo. In una parola alla "marketers". This MARKETERs Life non ha semplicemente qualcosa da dire, vuole appassionare, creare networking, essere sul pezzo. Un progetto dedicato a chi come noi ama fare cose e pianificare.
Social
Newsletter

This Marketers Life - 2015

made by digimade

Questo sito usa dei cookies per migliorare l'esperienza di navigazione. Continuando a navigare acconsenti all'utilizzo dei cookies. Per maggiori informazioni leggi la privacy policy. Info

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi