Scatta il nuovo regolamento europeo sulla protezione dei dati

Dal 25 maggio 2018 entra in vigore, ed ha quindi efficacia, il Gdpr (general data protection regulation), il regolamento sulla protezione dati che si applicherà a tutte le informazioni elaborate in Europa o da aziende insediate nell’Unione Europea. Molti se ne saranno accorti negli ultimi giorni, aprendo una casella di posta elettronica intasata da email di aziende che ci tengono a far sapere di «aver aggiornato le proprie policy».

Per imprese e amministrazione la corsa all’adeguamento è (o dovrebbe essere) iniziata da tempo, toccando tasti delicati come la designazione di un «responsabile protezione dati» (un esperto indipendente che vigila sull’applicazione del Gdpr), il diritto all’oblio e l’obbligo di notifica di qualsiasi violazione entro 72 ore. Ma per i cittadini “normali” cambia davvero qualcosa? Un utente senza particolari vocazioni può trarre qualche beneficio?

Il nuovo regolamento mette al bando informative chilometriche e policy scritte in un «burocratese» comprensibile solo ai giuristi. Almeno in teoria. Quando un’azienda cerca di accedere a dati personali, deve chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7), oltre a spiegare bene perché e a quale fine utilizzerà alcune informazioni (articolo 13). Altro criterio che va considerato è il «periodo di conservazione»: per quanto tempo, cioè, si custodiranno i dati, fornendo all’utente un ulteriore elemento di valutazione per cedere o meno informazioni a proprio riguardo. I vincoli più stretti costringeranno le aziende a fare autoanalisi e a chiedere solo quello che serve. Gli utenti avranno accesso a più dettagli. All’interno di una richiesta chiara e non “diluita” in contratti lunghi e noiosi da leggere.

Le nuove regole si accompagnano a nuovi diritti. Fra i più rilevanti ci sono il diritto di accesso (articolo 15: il cittadino deve poter sapere subito come e perché stanno trattando i suoi dati), il diritto di rettifica (articolo 16: «la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo»), il diritto di oblio (articolo 17: l’utente può far cancellare i dati in suo proposito, ad esempio se non servono più o sono stati prelevati in maniera illecita ) e il diritto alla portabilità dei dati (articolo 20): l’utente può ricevere in forma strutturata tutte le informazioni che lo riguardano e trasmetterle a un altro titolare, senza impedimenti di nessuna natura. Per citare un caso concreto, da oggi si potrebbero tranquillamente scaricare tutti i propri dati da Facebook e importarli su un social network “rivale”.

Si hanno dei dubbi su come aziende o enti pubblici stanno maneggiando le proprie informazioni? Il Gdpr istituisce una figura ad hoc: il responsabile della protezione dati (articolo 37), definizione in italiano del cosiddetto data protection officer. Nel concreto, si parla di un professionista chiamato a sorvegliare sull’applicazione esatta del regolamento, cooperando con l’autorità di controllo. Può essere interno o esterno alla società, ma in entrambi i casi deve garantire l’assenza di conflitti di interessi con il suo ruolo.

Da qualche anno, anche gli utenti meno ferrati in materia hanno scoperto un termine tecnico: data breach, violazione dei dati. Quello che succede quando un soggetto esterno entra in possesso per vie informatiche di dati custoditi da un’altra azienda. In precedenza le società potevano prendersi tutto il tempo necessario per comunicare la falla. Ora devono farlo entro un massimo di 72 ore «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche». In altre parole, non potrebbero più ripetersi casi come quello di Cambridge Analytica, l’azienda di marketing elettorale entrata in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. La violazione risale al 2015. Il caso è esploso nel 2018, tre anni dopo.

Passato un po’ in sordina, infine, l’articolo 80 istituisce la possibilità di avviare azioni collettive contro l’uso di propri dati. «L’interessato – si legge nel regolamento – ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro (…), di proporre per suo conto e di esercitare per suo conto i reclami». Si parla cioè di class action. Calato nella pratica, sarà un po’ meno improbabile fare guerra ai giganti tech quando gestiscono in maniera poco trasparente le informazioni che appartengono all’utente comune. E magari ottenere un rimborso.