La Privacy rappresenta il diritto alla riservatezza della vita privata di una persona. Il Regolamento sulla protezione dei dati 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, meglio conosciuto come GDPR (General Data Protection Regulation), ha dato maggiore senso, adeguando le normative del vecchio Codice della Privacy ai tempi moderni, emanato con D.lgs del 30/06/2003, numero 196. Vengono stabilite precise regole relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali inerenti alla libera circolazione degli stessi. Si tratta di un importante cambiamento di legislazione, soprattutto per quanto riguarda le pesanti sanzioni amministrative e per l’accesso al dato e ai all’esercizio dei diritti da parte dell’interessato.
A prescindere dalla pesantezza della materia, soprattutto per i non addetti ai lavori, il GDPR si presenta molto complesso pur avendo una logica pulita e lineare. Raccolto in 99 articoli e 173 considerando lo schema nella sua complessità contiene l’essenza per la più ampia tutela del dato, sotto tutte le forme. Uno strumento essenziale a tutela del cittadino che può esserci utile in mille modi, anche per tenere alla larga fastidiosissime telefonate da parte di customer care o invadenti promoter dei più disparati prodotti e soprattutto ad ogni ora. Chi tratta dati personali ha degli obblighi precisi, regolamentati e soprattutto monitorati. Vige il principio dell’accountability cioè della responsabilizzazione del Titolare del trattamento dei dati che è uno dei principi cardine del GDPR. Sono spariti gli obblighi minimi o le misure di sicurezza minime da adottare per essere conformi alla norma. È indispensabile analizzare la propria attività ed i rischi ad essa connessi per poter capire quali possano essere le misure da adottare per prevenire la probabilità che un evento dannoso si verifichi. Questo, di fatto rappresenta l’aspetto più difficile per un popolo come il nostro, abituato a muoversi all’interno di parametri specifici.
A portare maggiore confusione e “panico” sul trattamento dei dati personali, ha dato man forte anche il Covid-19, che ha spinto all’introduzione coatta di nuove misure di cautela, quali ad esempio il trattamento di dati sensibili, oltre che personali, con netto riferimento alla misurazione della temperatura corporea. Ma qual è la differenza tra dato personale e dato sensibile? Il primo si riferisce al nome, al cognome, al codice fiscale o qualunque dato che porti all’identificazione della persona (ex art. 4 comma 1 GDPR 679/2016). Mentre per dato sensibile si fa riferimento a quei dati che riguardino la salute, il credo politico piuttosto che religioso, l’appartenenza ad una razza, l’inclinazione sessuale, dati biologici e biometrici (ex art. 4 commi 13, 14, 15 GDPR 679/2016), comunemente anche detti “categorie di dati personali”, (ex art. 9 GDPR 679/2016).
Quindi alcuni esercenti o titolari di attività, per tutelare i propri dipendenti e dare continuità al lavoro già pesantemente penalizzato, si sono trovati a misurare la temperatura corporea di dipendenti, fornitori, clienti e visitatori, spesso senza mettere in atto le misure di tutela della Privacy, rendendo disponibile il dato della temperatura, registrandolo su una base dati, creando imbarazzo e nocumento alle persone. Ristoranti che si sono inventati di mettere a disposizione un registro delle firme da fare apporre ai clienti, con relativo numero di cellulare, sistemato in bella vista e soprattutto fruibile da tutti. Personale improvvisato senza alcuna professionalità né preparazione che appena letta la temperatura con termo scanner, pronunciava a voce alta il risultato perché fosse registrato da altro collega.
Nulla di quanto sopra descritto è a norma e se un interessato, inteso come colui che ha subito una violazione della propria Privacy, segnala al Garante della Privacy, anche una sola delle pratiche non compliance sopra esposte, i problemi potrebbero essere non pochi e soprattutto gravi. Ci si può aspettare una visita ispettiva inviata dal Garante, oppure un controllo della Guardai di Finanza, competente in materia e le sanzioni sono molto pesanti. Infatti un’altra delle novità del GDPR riguarda proprio le sanzioni privacy 2019 che potranno arrivare fino a 20 milioni di euro e saranno pari al 2% o al 4% del fatturato per le imprese, per cui non c’è davvero da scherzare.
Manca un po’ di buona volontà per cercare di conoscere la norma che ha previsto tutto cercando invece di inventarsi il meno possibile per evitare problemi. In questa materia, purtroppo si è visto che il buon senso del singolo è pericolosissimo perché ignora la materia che è molto più complessa di quanto ci si aspetti.
Per questo motivo, il GDPR è stato progettato per essere a portata di tutti, con regole scritte e chiare ma soprattutto condivise dalla Comunità europea. Le informative, cita il Regolamento, debbono essere facilmente leggibili dal pubblico, quindi alla portata di tutti. Di stampo anglosassone, questo strumento parte da lontano e porta dentro sé un profondo bagaglio culturale. Anche quando si parla di accountability sono ben spiegati i concetti e le linee guida. È stato previsto un organo per la protezione dei dati (Data Protection Officer) DPO, che è certificato da ente preposto ed in grado di svolgere la qualifica senza indugio.
Ogni singolo individuo, ha la possibilità di accesso al proprio dato in qualunque momento e di esercitare liberamente i propri diritti sul trattamento dei dati personali, modificando le scelte svolte, cassandole o limitandole. Ogni sito web deve avere nella propria pagina il richiamo alla “Privacy Policy” dove debbono essere messi a disposizione i vari moduli per le diverse categorie di utenti. Clienti, fornitori, opportunità di lavoro, modulo contatti, data breach, diritti dell’interessato, questi i moduli che come minimo dovremmo trovare nei vari siti. L'adeguamento al GDPR era da svolgersi entro il 25 maggio 2018, ma tutti ci hanno dormito sopra sonni profondi.
Perdiamolo quindi, qualche minuto per leggere le informative! Documentiamoci perché stiamo parlando di cose che ci appartengono. Il GDPR ci aiuta a vivere meglio, più protetti e garantiti. Se solamente potessimo immaginare che cosa possono fare con i nostri dati, probabilmente i social si ritroverebbero vuoti in pochi giorni. Poniamoci sempre delle domande cercando di essere critici in modo costruttivo per noi. Prendete ad esempio le varie tessere magnetiche che i supermercati vi lasciano a titolo gratuito: voi lasciate i vostri dati, poi fate la spesa, quindi venite profilati cioè registrano le vostre abitudini di acquisto così loro si regolano e ottimizzano gli acquisti. In realtà diventiamo soci, perché stiamo aiutando quella data catena di supermercati a programmare il loro business, per cui dovrebbero pagarci per darci quella tessera. Inoltre sanno dove e come spendiamo i nostri soldi.
Facciamocele due domande, perché non tutto quello che ci passano per un vantaggio per noi di fatto lo è.