GDPR [Guida alla Privacy con Parole Semplici]

Ho lavorato in diverse aziende in cui avevo facile accesso ai dati di milioni di utenti e, alla luce della mia esperienza in materia, posso dire con assoluta certezza che l’avvento del regolamento UE n.2016/679, meglio noto anche con l’acronimo GDPR, garantisce per davvero una maggior tutela della privacy di noi cittadini.

Negli ultimi anni, almeno una volta ti sarai imbattuto nel GDPR, oppure avrai notato che questo nuovo regolamento fa capolino fisso nei siti web che usi abitualmente.

Essendo una materia ostica ai più, ho deciso di creare questa guida in cui spiegare il GDPR con argomenti semplici ed esempi pratici: se l’ho compreso io che sono notoriamente un testone, puoi farlo anche tu!

Cosa si intende con l’acronimo GDPR

Il GDPR è l’acronimo di “General Data Protection Regulation”, noto anche come regolamento UE n.2016/679, e tratta la materia della Privacy e relativo Diritto all’Oblio di noi cittadini.

Il GDPR è indubbiamente la normativa europea più importante degli ultimi 20 anni in materia di privacy. Coinvolge le aziende, i professionisti e tutte le organizzazioni in generale che trattano i dati personali delle persone, anche se in realtà punta a una maggior consapevolezza nei cittadini europei stessi, che spesso forniscono tali dati con troppa superficialità.

Il GDPR è composto da ben 99 articoli (non ti preoccupare non li elenco tutti), che oltre a stabilire quali requisiti ci debbano essere per il trattamento dei dati, esplicita tutta una serie di documentazioni da produrre, come ad esempio quella in cui viene messo nero su bianco il consento degli utenti al trattamento dei suddetti.

Volendo usare termini più semplici, il GDPR punta a tutelare noi cittadini ogni qualvolta forniamo i nostri dati per accedere a un determinato bene o servizio. È una normativa che si è resa necessaria soprattutto con l’avvento della Rete, alla quale accediamo quotidianamente e in cui decine di siti web custodiscono i nostri dati (anche sensibili).

Grazie all’avvento del GDPR, inoltre, le aziende non solo devono registrare e monitorare le attività relative ai dati, ma devono dichiarare in maniera evidente per quale finalità custodiscono questi dati, per quanto tempo e soprattutto se questi vengono inoltrati a terzi.

Se sei interessato a un “Bignami” del GDPR, potresti fermarti nella lettura anche qui. In realtà, però, il regolamento UE 2016/697 è così vasto che occorre approfondire almeno qualche altro punto.

Proverò a rendere il testo quanto più discorsivo e “digeribile” possibile, ma ricorda che conoscere bene il GDPR è anche nel tuo interesse.

Lo scopo principale GDPR?

Lo scopo principale del GDPR è quello di proteggere i dati delle persone fisiche dell’Unione Europea (UE) e pertanto non è rivolto alla protezione dei dati di liberi professionisti, aziende, enti.

In altre parole, se sei un agente immobiliare, posso contattarti per telefono o email nell’ambito dello svolgimento della tua professione (esempio: proporti una casa da vendere); viceversa, è richiesto il tuo consenso, se desidero offrirti servizi legati alla persona (esempio: sconti per una vacanza).

Cosa garantisce il GDPR?

Il GDPR garantisce che i dati personali relativi ai cittadini europei e ai residenti dell'UE siano registrati, catalogati a seguito di un consenso espresso dagli interessati e che gli stessi possano richiederne in qualsiasi momento la cancellazione, anche presso terze parti, qualora i dati siano stati divulgati ad altri soggetti.

Chi è soggetto al GDPR?

Tutti i liberi professionisti e persone giuridiche che, nello svolgimento della propria attività a scopo di lucro e non, trattano i dati personali delle persone fisiche (sono pertanto esclusi i fini personali).

Dati personali e Dati sensibili: la differenza

Nel mondo della comunicazione si “parla di dati sensibili” o “dati personali” in maniera confusa, anche se in realtà non tutti sanno di cosa si tratti realmente.

Cosa sono i Dati personali

Con il termine “dati personali”, si indica quell’insieme di informazioni relative alla vita sociale e professionale che qualificano, direttamente o indirettamente, una persona fisica. Tipicamente:

• Nome
• Cognome
• Indirizzo
• Codice fiscale
• Numero documento d'identità
• Fotografie
• Importo dello stipendio
• Targa dell’auto
• Dati sanitari
• ecc.

Probabilmente starai pensando che non c’era bisogno di un GDPR per sapere che non è carino che l’importo del tuo stipendio sia spifferato ai quattro venti, ma grazie a questa normativa adesso i tuoi dati reddituali godono di maggior serenità.

Allora... se non lo dico a nessuno, l’importo del mio stipendio sarà sempre segreto, giusto?

No, sbagliato, ci sarà sempre qualcuno che conosce l’importo del tuo stipendio, come ad esempio l’operatore che crea la tua busta paga per la tua azienda, l’impiegato della banca dove ti accreditano il salario, la società finanziaria che ti ha concesso il prestito per acquistare l’auto nuova, alla quale hai dovuto appunto rilasciare una copia della tua basta paga e via dicendo.

A tutti questi soggetti, nello specifico, hai dato necessariamente il consenso al trattamento dei dati personali previsto dal GDPR, proprio perché sono a conoscenza di un tuo dato personale.

E quali sono i Dati Sensibili?

Continuando l’esempio relativo alla busta paga, il tuo stipendio è considerato un dato personale, mentre eventuali sussidi di cura, indennità handicappati, iscrizione al sindacato, sono considerati dati sensibili.

I dati sensibili sono dati che in qualche modo condizionano la concezione che la società civile ha di te, quindi il loro trattamento merita particolare attenzione.

Qui di seguito, elenco alcuni dati sensibili:

• L’orientamento sessuale
• Le opinioni politiche
• L’origine etnica
• La propria fedina penale
• L’appartenenza sindacale
• Il credo religioso
• I dati genetici
• I dati biometrici

In due parole semplici: mario@gmail.com è un dato personale; mario@arcigay.com è un dato sensibile.

Art. 4 GDPR: Consenso al trattamento dei dati personali

Con l’avvento del GDPR, avrai sicuramente notato che il numero delle “scartoffie” da firmare per sottoscrivere un qualsiasi abbonamento o per acquistare un qualunque bene che preveda il rilascio dei tuoi dati personali è aumentato. Questo perché, oltre alla documentazione di rito, da adesso tutte le aziende e le organizzazioni devono chiedere agli utenti il famoso “consenso al trattamento dei dati personali”.

Il Consenso al trattamento dei dati personali è spiegato all’interno dell’art 4 del GDPR, e indica una chiara manifestazione di volontà al trattamento dei propri dati personali.

Questa tipologia di consenso vale solo se il soggetto interessato è chiaramente in possesso di tutte le facoltà mentali per esprimere il proprio assenso, e per certificare tale volontà bisogna apporre una firma su uno specifico documento o esprimere “il proprio interesse in maniera inequivocabile”. Fanno parte di questa seconda categoria tutti i consensi concessi online, dove per ovvi motivi non si può apporre una firma classica e ci si affida a metodi diversi (identificazione OTP e semplice segno di spunta).

Quando consenti il trattamento dei tuoi dati personali, ricorda che, per rispettare l’art. 4 del GDPR, tale consenso deve avere le 6 seguenti caratteristiche:

• Specifico
• Inequivocabile
• Informato
• Verificabile
• Revocabile
• Libero

Tradotto in maniera più semplice e discorsiva: chiunque chieda il consenso al trattamento dei tuoi dati personali deve informarti in maniera chiara sulla finalità a cui servono i suddetti, permettendoti di verificare l’affidabilità delle eventuali terze parti che ne entreranno in possesso, il tutto senza fornirti costrizioni e soprattutto con la possibilità da parte tua di revocare tale consenso in qualsiasi momento.

Differenza fra titolare del trattamento e responsabile del trattamento

Sempre all’interno dell’articolo 4, il GDPR specifica due distinte figure legate al trattamento dei dati personali: da un lato c’è il titolare del trattamento, dall’altro il responsabile.

In linea generale, il titolare del trattamento è colui che riceve i dati personali e ne stabilisce modalità e finalità degli stessi.

Il responsabile del trattamento è invece la figura, spesso esterna all’azienda, che utilizza materialmente i dati del titolare del trattamento.

Rileggendo quanto scritto mi rendo conto che la differenza fra le due figure può sembrare meno netta di quello che è, quindi mi conviene affidarmi a un esempio per essere ancora più cristallino.

Ipotizziamo tu abbia creato una pagina su Facebook per gli amanti della pizza, alla quale accedono ogni giorni migliaia di utenti. In questo caso tu, in quanto amministratore e creatore della pagina, sei il titolare del trattamento dei dati degli utenti che sono iscritti alla tua pagina, mentre Facebook è il responsabile del trattamento.

Art.17 GDPR: il famoso “diritto all’oblio”

In precedenza, quando ho parlato del consenso al trattamento dei dati sensibili, ho chiaramente detto che questo deve essere revocabile in qualsiasi momento, senza dover dare spiegazioni. Il concetto di revocabilità in qualche modo è quello più discusso nel GDPR, soprattutto quello che riguarda l’art.17 e il famoso “diritto all’oblio”.

Qualora non ne avessi mai sentito parlare, il “diritto all’oblio” indica appunto il diritto che ogni cittadino europeo ha di richiedere la cancellazione di qualsiasi tipo di informazioni riguardante la sua persona. Attenzione: qualora i tuoi dati siano stati forniti a terze persone, il diritto all’oblio coinvolge anche loro. Sarà pertanto cura del titolare dei dati informare tutti i responsabili del trattamento coinvolti.

Anche in questo caso, per rendere il concetto più chiaro utilizzerò un esempio pratico.

Ipotizziamo tu sia a una cena fra amici, e uno di loro gira un video dove, fra le risate generali, vieni scoperto a grattare del formaggio su un piatto di spaghetti con le vongole. Magari sei un discendente di una gloriosa famiglia di pescatori, e non vuoi che si sappia che “violenti” in questa maniera un piatto di pasta ai frutti di mare indifeso. Se il tuo amico pubblica su YouTube questo video, tu puoi esercitare il diritto all’oblio e chiedere alla piattaforma di proprietà di Google che quel filmato sia rimosso.

Quello del formaggio su un piatto di spaghetti alle vongole è un esempio anche simpatico che ho usato per renderti il più chiaro possibile il diritto all’oblio, ma è evidente che le finalità per cui è stato pensato l’art.17 del GDPR sono ben più serie.

Spiegato in questi termini, il diritto all’oblio sembrerebbe qualcosa di inalienabile che deve essere concesso a tutti. La realtà, tuttavia, è ben diversa, ed è per questo motivo che l’art.17 del GDPR è ancora oggi il più discusso fra gli addetti ai lavori.

Diritto all’oblio VS diritto di cronaca e libertà di espressione

La maggior critica che viene fatta al diritto all’oblio è infatti quella di limitare altri diritti inalienabili della società civile, quali il diritto di cronaca o la libertà di espressione.

L’art 17 del GDPR, dal suo canto, prevede che il diritto all’oblio non possa essere esercitato in tutti quei casi in cui una notizia rientra nella categoria del diritto di cronaca o di libertà di espressione. Il problema è che il confine fra le varie casistiche non è così netto come si può pensare, e quindi ci sono diversi precedenti pericolosi.

I limiti del diritto all’oblio, tuttavia, sono anche di natura tecnica. Considera i tristemente noti casi di “revenge porn”, in cui una persona decide di pubblicare per vendetta contenuti pornografici sul web al fine di screditare la moralità e l’onorabilità dell’ex partner.

Contro il revenge porn, il diritto all’oblio non prevede solo la mancata diffusione dei contenuti pornografici e la cancellazione degli stessi, ma anche la cosiddetta procedura di deindicizzazione: i motori di ricerca devono cancellare tutti quei risultati che possono portare alle foto o ai video incriminati.

Il problema di fondo è che il web è purtroppo come un buco nero, in cui i contenuti pornografici possono sparire oggi per apparire domani in altre pieghe della Rete, quindi un diritto all’oblio “puro” a oggi è assoluta utopia.

Al di là dei casi limite, tuttavia, per chiedere il diritto all’oblio si accede per step. Il primo passo è sempre quello di rivolgersi direttamente alla fonte che ha propagato la notizia da oscurare, come ad esempio i vari siti web.

Qualora la notizia sia anche indicizzata nei motori di ricerca, Google offre agli utenti uno specifico modulo per la “rimozione ai sensi delle leggi sulla privacy”.

Inoltre, qualora sia appurata una violazione dei dati personali, si può fare reclamo al Garante della Privacy, e nei casi più spinosi si può arrivare fino alle aule di tribunale.

GDPR: cosa fare in pratica

Ora che hai un’idea più chiara delle funzioni del GDPR, passiamo alle cose pratiche e vediamo come metterti in regola. Ricorda anzitutto che devi aderire alle norme del GDPR se hai costituito una società o un’azienda che prevede il trattamento dei dati dei cittadini della comunità europea.

Gli adempimenti in materia di GDPR cambiano da caso a caso e sono commisurati alla grandezza dell’azienda. I principali adempimenti sono:

1. Gestione del registro dei dati
2. Redazione dell’informativa contenente:
   1. motivo del trattamento dati,
   2. elenco destinatari (I soggetti a cui potrebbero essere comunicati i dati),
   3. eventuale invio dei dati all’estero,
   4. i diritti dell’interessato,
   5. chi è il titolare ed il responsabile dei dati,
   6. le conseguenze di un eventuale rifiuto,
   7. il periodo di conservazione.
3. Lettere per designare persone autorizzate al trattamento dei dati.
4. Elenco procedure.
5. Registro dei data breach (violazione dei dati privacy).
6. Analisi dei rischi.
7. Privacy by Design.

Una volta informati i tuoi utenti sul perché raccogli i loro dati sensibili e con quali finalità li utilizzerai, dovrai successivamente sottoporre loro il testo per ottenere il consenso al trattamento dei dati personali, e dovrai creare inoltre un vero e proprio registro in cui tenere traccia delle volontà degli utenti.

Dovrai perfino nominare un responsabile che si occuperà della protezione dei dati: qualora tu non abbia personale con le dovute competenze puoi delegare l’attività a un soggetto esterno.

Ti ho appena sintetizzato i vari step nel modo più semplice possibile, ma se anche così l’attività ti sembra ostica, puoi sempre affidarti ad aziende esterne alle quali delegare tutti gli obblighi previsti dal GDPR.

E ora una bella notizia!

Se possiedi un sito web o una App, il “problema GDPR” può essere risolto in un modo molto semplice. Visita il sito web Iubenda.com, dove vieni guidato in pochi e semplici passi alla creazione di tutti i documenti legali relativi alle norme del GDPR.

E’ semplicissimo!

Le sanzioni del GDPR

Se scopri che qualcuno viola i tuoi dati personali, a chi puoi rivolgerti?

In Italia l’autorità che deve far rispettare quanto previsto dal GDPR è il Garante della Privacy, che può applicare sanzioni sia amministrative che pecuniarie.

Il legislatore sotto quest’aspetto “non si è tenuto basso”, perché considera che le violazioni di privacy ritenute meno gravi possono prevedere un ammenda fino a 10 milioni di euro o una multa del 2% del fatturato globale dell’impresa.

Un caso in cui si può incappare in questo tipo di sanzione è quando il Garante scopre, ad esempio, che manca il registro del trattamento dei dati sensibili.

Se l’autorità ritiene che la violazione sia molto più grave, l’ammenda può essere invece di ben 20 milioni di euro, o in alternativa corrispondente al 4% del fatturato dell’azienda incriminata.

Si considerano violazioni gravi il mancato consenso al trattamento dei dati o il trasferimento senza dovuta comunicazione dei dati ai Paesi Terzi.

Come avrai notato, non è prevista una sanzione minima, ma il tutto è nelle mani giudizio del Garante della Privacy, che deve sempre combinare una sanzione in proporzione alla gravità della violazione commessa, senza però mai scadere in “cifre simboliche”.

Conclusioni

Anche se ho usato tanti esempi per renderti l’argomento leggero, mi rendo che il GDPR non è fruibile come uno spettacolo di cabaret. Tuttavia, in un mondo in cui praticamente tutti i servizi di cui usufruiamo sono in possesso dei nostri dati sensibili, è importante conoscere i nostri diritti in materia di privacy.

Con l’avvento dei social network, stiamo mettendo sempre più i nostri affari in piazza, pubblicando foto o contenuti testuali che riguardano la nostra sfera privata.

Capire che c’è un limite da non superare, e soprattutto conoscere come tutelarsi in quei casi in cui qualcuno usi i nostri dati sensibili in maniera illecita è troppo importante, e quindi anche leggere una guida a tratti noiosa può tornarti utile.