Con il GDPR i nostri dati saranno al sicuro?

A poche settimane dallo scandalo Cambridge Analytica, dal 25 maggio avrà efficacia il General Data Protection Regulation. Ecco cosa comporta il nuovo regolamento

Il General Data Protection Regulation – o GDPR – è il nuovo regolamento dell’Unione Europea (UE 2016/679) in materia di trattamento e protezione dei dati personali. Con il Regolamento, la Commissione Europea intende rendere più forte e più omogenea la protezione dei dati personali di cittadini europei e di persone residenti nell’Unione. Nonostante sia stato approvato due anni fa, caso vuole che la data di inizio dell’efficacia del GDPR sia davvero vicina al più clamoroso data scandal del nostro tempo.
Il GDPR è entrato in vigore il 25 maggio 2016 e inizierà ad avere efficacia il 25 maggio prossimo. Andrà a sostituire la precedente normativa europea in materia di protezione dei dati personali (la Direttiva 95/45/CE) e abrogherà le norme del Codice per la protezione dei dati personali – recepito dall’ordinamento italiano dal dlgs. 196/2003. A differenza di una Direttiva, e quindi contrariamente a quanto previsto della normativa precedente, il Regolamento non richiede alcuna forma di legislazione applicativa da parte degli stati membri: il GDPR, quindi, sarà automaticamente applicabile a tutti gli ordinamenti interni dei paesi dell’UE.

Il contesto. A marzo scorso è venuto alla luce un utilizzo inappropriato dei dati personali da parte di Cambridge Analytica, gigante della comunicazione strategica politica. La società britannica, da anni, attraverso il data mining costruisce annunci iper segmentati, mirati per le campagne elettorali. Il problema è sorto nel momento in cui New York Times e Guardian hanno rivelato il modo in cui effettivamente questi dati fossero stati raccolti. Cambridge Analytica ha profilato, inizialmente a scopo accademico, i dati di quasi 90 milioni di utenti Facebook, utilizzandoli poi nella recente campagna elettorale per le presidenziali americane e, poco prima, in quella che ha preceduto il voto nel Regno Unito sulla permanenza o meno in Europa. I dati, quindi, raccolti per scopi accademici e quindi formalmente in maniera regolare (con gli utenti che si loggavano attraverso Facebook dando il loro consenso), sono stati poi venduti a terzi per scopi politici e in qualche modo commerciali.
Chi non conosce Cambridge Analytica, o banalmente chi non ha familiarità con i processi di raccolta dati online – i cookies e via dicendo – si sarà sentito vulnerabile, scoperto, depauperato della propria privacy. Chi invece ha un po’ di familiarità con l’argomento si starà chiedendo di chi sia la colpa, se di Cambridge Analytica, di Facebook che non ha monitorato, o nostra, che abbiamo dato il nostro consenso senza farci troppo domande. Viene da se come si sia tornati a parlare di dati personali e della loro protezione.
Tutto ciò, come detto, è accaduto a pochi giorni dall’introduzione del primo Regolamento unico sulla protezione dei dati personali nell’Unione Europea, che ha l’obbiettivo di semplificare le norme e di armonizzare gli ordinamenti dei paesi membri, oltre ovviamente a quello di garantire una maggiore protezione dei dati dei suoi cittadini e residenti.

Cosa cambia? Il GDPR riguarda, abbiamo detto, il trattamento e la protezione dei dati personali, all’interno e all’esterno dei confini dell’Unione Europea, di persone fisiche, sia che si tratti di cittadini UE sia di residenti nei Paesi dell’Unione. Secondo la Commissione Europea, si intende per dati personali “(…) qualunque informazione relativa a un individuo, collegata alla sua vita privata (…), qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP”. Il Regolamento si applica a imprese o comunque organizzazioni in generale, con sede legale fuori dall’Unione Europea, ma che trattano dati personali di cittadini o residenti UE. Non riguarda invece il trattamento o la gestione dei dati per attività di pubblica sicurezza, ambito lasciato alla competenza delle autorità preposte.
Come accennato in precedenza, poi, prima del GDPR, ogni stato membro aveva la necessità di applicare quanto previsto dalla Direttiva al proprio ordinamento. Dunque, nei fatti, esiste ad oggi in Europa una discordanza tra i vari ordinamenti. Con il GDPR a tutti i Paesi membri dell’UE si applicherà un unico insieme di regole.
Il Regolamento distingue poi fra quattro “tipologie” di dati: il dato personale, che riguarda informazioni relative a una persona fisica, identificata o identificabile; il dato genetico, ereditato o acquisito; il dato biometrico, in cui rientra, tra le altre cose, anche l’immagine facciale (acquisita, magari, tramite face recognition dello smartphone); il dato sulla salute, fisica o mentale, indipendentemente dalla fonte.
Per quanto riguarda responsabilità e consenso, il GDPR introduce il diritto per i cittadini di contestare le decisioni automatizzate, compresa la profilazione (quindi i cookies), specie quando realizzate in base all’attività di un algoritmo o di machine learning e non su valido ed esplicito consenso dell’interessato. In caso di contestazione, il controllore dei dati del soggetto che conserva o tratta i dati stessi deve essere in grado di provare che il consenso sia stato dato in modo esplicito (opt-in). Resta in capo ai cittadini, comunque, la possibilità, in seguito, di ritirare tale consenso o di applicare delle limitazioni.
Il “diritto all’oblio”, inoltre, viene sostituito con un diritto alla cancellazione dei dati personali sulla base della mancata osservanza del principio di legalità. L’interessato deve poter esercitare questo diritto con la stessa facilità con cui ha espresso il suo consenso al trattamento dei dati personali.
Per quanto riguarda il tema della portabilità, infine, Una persona deve essere in grado di trasferire i propri dati personali da un sistema di elaborazione elettronico a un altro senza che questo passaggio venga impedito o ostacolato da chi detiene i dati personali in oggetto.

Il caso Cambridge Analytica ha riportato al centro del dibattito pubblico, in tutto il mondo, la delicata questione dell’utilizzo e della gestione dei dati personali in rete. Il General Data Protection Regulation, quindi, arriva probabilmente nel momento migliore ma, allo stesso tempo, sarà da subito sotto i riflettori e soggetto a critiche e osservazioni, ancor prima di avere gli strumenti per giudicarne l’efficacia e la validità. Ciò che rende l’arrivo del GDPR di estremo interesse è, senza dubbio, l’introduzione di una normativa unica e omogenea per tutti i paesi dell’Unione Europea. La palla ora passa alle aziende, che dovranno farsi trovare pronte e allinearsi con quanto previsto dal Regolamento.