Cosa cambia con il nuovo regolamento europeo sulla protezione dei dati

Il 25 maggio entra in vigore il rivoluzionario regolamento europeo sulla protezione dei dati (Gdpr). Trattandoli per quello che sono veramente: una miniera d’oro.

Per i giganti della tecnologia, ma anche semplicemente per chi gestisce un blog, il 25 maggio 2018 è una data cruciale e anche un po’ temuta. È il giorno in cui entra ufficialmente in vigore il nuovo regolamento europeo sulla protezione dei dati che stravolge il modo in cui siamo stati abituati a considerare la privacy negli ultimi vent’anni (Gdpr, General data protection regulation). E lo fa perché, come titola l’Economist, il sistema economico in cui viviamo non si basa più su una materia prima concreta e tangibile. Per il settimanale britannico “il nuovo petrolio”, anche se noi preferiremmo altri paragoni, sono i dati personali.

Quali sono le multinazionali che hanno fatto fortuna con i dati

Non si tratta soltanto di un modo di dire, com’è evidente anche solo spulciando la classifica dei brand che valgono di più secondo Forbes.

PosizioneAziendaValore del brandEntrate
1Apple170 miliardi di dollari214,2 miliardi di dollari
2Google101,8 miliardi di dollari80,5 miliardi di dollari
3Microsoft87 miliardi di dollari85,3 miliardi di dollari
4Facebook73,5 miliardi di dollari25,6 miliardi di dollari
5Coca-Cola56,4 miliardi di dollari23 miliardi di dollari
6Amazon54,1 miliardi di dollari133 miliardi di dollari
7Disney43,9 miliardi di dollari30,7 miliardi di dollari
8Toyota41,1 miliardi di dollari168,8 miliardi di dollari
9McDonald’s40,3 miliardi di dollari
85 miliardi di dollari
10Samsung38,2 miliardi di dollari166,7 miliardi di dollari

Cos’hanno in comune questi colossi? Come prima cosa, molti di loro non esisterebbero se non ci fosse la possibilità di processare immensi volumi di dati. La loro fortuna deriva dal fatto che ogni nostra azione sul web lascia delle tracce, che queste piattaforme analizzano, perfezionandosi col tempo. Nella condivisione delle informazioni personali, Facebook ha trovato prima la sua ragione di esistere e poi la sua prima fonte di reddito, con le inserzioni personalizzate. Amazon non sarebbe Amazon se non riuscisse a dare a ogni iscritto i suggerimenti perfetti sulla base di ciò che ha già acquistato in passato.

Secondo l’Economist, se sommiamo i profitti netti di Alphabet (la holding che detiene Google), Amazon, Apple, Facebook e Microsoft nel primo trimestre del 2017, arriviamo a un totale che supera i 25 miliardi di dollari. Proprio grazie ai dati – sottolinea – questi giganti della tecnologia possono “osservare dall’alto” tutto ciò che succede attorno a loro. Sanno se un nuovo prodotto o servizio sta iniziando a muovere i primi passi, magari come potenziale concorrente, e possono attrezzarsi di conseguenza.

Pacchi da consegnare per posta
Il successo di Amazon si basa soprattutto sulla capacità di dare suggerimenti personalizzati all’utente, sulla base dei suoi acquisti precedenti © Matthew Lloyd/Getty Images

Quanto vale la data economy in Europa

Questi colossi del digitale, a loro volta, intascano profitti perché permettono a innumerevoli aziende e professionisti di appoggiarsi al loro patrimonio di dati, per offrire servizi sempre più avanzati ai propri clienti. Ed è per questo che la data economy riguarda tutti noi, molto da vicino. I dati personali sono quelli che permettono a una piccola bottega di quartiere di investire poche decine di euro in un’inserzione pubblicitaria, certa del fatto che raggiunga le persone che hanno le caratteristiche giuste. O ancora, sono quelli che permettono a una testata giornalistica di tenere informati i suoi lettori, inviando loro una mail con le notizie più interessanti della settimana. Mettendoci dall’altro lato della barricata, ci rendiamo conto del fatto che i dati sono una risorsa economica anche per l’utente, perché sono quella moneta di scambio che gli permette di usufruire gratuitamente di servizi anche incredibilmente complessi (nessuno ha mai sborsato un euro per la barra di ricerca di Google, ma chi sarebbe disposto a farne a meno?).

Google dati personali
Google nel 2017, secondo Forbes, ha registrato entrate pari a più di 80 miliardi di dollari © Pixabay

Le autorità europee sono arrivate a stimare che la data economy avesse un valore di circa 300 miliardi di euro nel 2016, vale a dire l’1,99 per cento del prodotto interno lordo (pil) europeo, con una crescita del 5,03 per cento rispetto all’anno precedente. E si potrà arrivare a 739 miliardi di euro entro il 2020, continuano, a patto che vengano messe in campo adeguate condizioni normative e che si investa in modo deciso nelle nuove tecnologie.

Qual è l’obiettivo della nuovo regolamento europeo sulla protezione dei dati e sulla privacy (Gdpr)

È proprio questo il motivo per cui nasce il Gdpr. Quando sono state emanate le prime normative sulla privacy (in Italia con la legge n.675 del 31 dicembre 1996, poi sostituita dal decreto legislativo n.196 del 30 giugno 2003), al centro dell’attenzione c’era la tutela della persona fisica. All’interessato tipicamente veniva richiesto di firmare una liberatoria sul trattamento dei suoi dati, e di sapere se sarebbero stati usati anche per scopi di marketing.

Con il Gdpr invece cambia tutto, perché i dati vengono considerati come un patrimonio in sé. Se i dati sono l’energia che muove una nuova economia, e se questa nuova economia dev’essere libera di crescere, ciò significa che bisogna rimuovere qualsiasi disparità di trattamento tra un paese e l’altro. Le nuove regole europee comuni sono tutte stabilite dal nuovo regolamento europeo sulla protezione dei dati. Si tratta in realtà del regolamento Ue 2016/679, emanato il 27 aprile 2016, che entrerà in vigore proprio il 25 maggio 2018 senza bisogno di leggi di recepimento.

I principi più importanti del Gdpr

Il Gdpr è un corpus normativo piuttosto complesso, che sarebbe impossibile riassumere in poche righe, tanto più perché i singoli adempimenti sono diversi a seconda del soggetto coinvolto. Esistono, però, alcuni principi di base che è bene conoscere. Se ci si trova nei panni di un’azienda, bisogna introdurre la tutela dei dati nel proprio modo di ragionare e di lavorare. Se ci si trova nei panni dell’utente finale, bisogna diventare sempre più consapevoli dei propri diritti e del valore insito in quelle informazioni personali che, finora, troppo spesso venivano condivise con eccessiva leggerezza.

Cosa si intende per “dati personali” e chi deve allinearsi alle nuove norme

Devono adeguarsi al Gdpr tutte le aziende che gestiscono i dati dei cittadini europei, anche se non hanno sede in Europa. Per “dati personali” non si intendono soltanto quelli “classici” (il nome, l’indirizzo, il numero di telefono ecc.) ma anche quelli legati alla vita digitale dell’utente: cookie, indirizzo email, geolocalizzazione, indirizzo IP.

Il principio di accountability

Accountability” è un termine, per nulla facile da tradurre in italiano, che riguarda le responsabilità del titolare dei dati. Quest’ultimo, finora, doveva limitarsi ad applicare una serie di normative per evitare di essere soggetto a sanzioni. Con il Gdpr, il suo ruolo cambia radicalmente, diventando proattivo. In altri termini, non deve soltanto eseguire, ma deve fare un’approfondita valutazione per capire quali sono le misure tecniche e organizzative più opportune per tutelare i diritti dell’utente ed evitare violazioni.

Tra queste misure ci sono, ad esempio, la cifratura dei dati e l’accesso limitato e controllato. Poi, il titolare deve mettere in pratica questi metodi, tenere traccia di tutti i processi ed essere sempre pronto a fornire la documentazione alle autorità, per evitare sanzioni anche parecchio salate. Infine, deve assicurarsi che i suoi fornitori siano a loro volta conformi al Gdpr.

L’informativa sulla privacy

L’informativa sulla privacy non è più soltanto un adempimento, ma dev’essere uno strumento di comunicazione chiaro, facilmente accessibile e comprensibile anche ai minorenni. È bene evitare lunghi blocchi di testo e preferire gli elementi grafici e le icone. L’ideale è se le informazioni vengono presentate una per volta, spiegando in modo puntuale tutti i modi in cui si vogliono utilizzare i dati.

I diritti delle persone

Chi mette i suoi dati personali a disposizione di un’azienda ha dei diritti ben precisi. Innanzitutto, deve essergli permesso di dare il suo consenso in modo esplicito (e non, come spesso accade, tramite caselle precompilate e seminascoste). Meglio ancora se, in un secondo momento, gli viene chiesta un’ulteriore conferma della sua volontà. Inoltre, la persona ha il diritto a sapere chi userà i suoi dati, per quali finalità e per quanto tempo. Ha anche il diritto di controllare in qualsiasi momento le singole informazioni di cui l’azienda è in possesso, di revocarne l’accesso e di richiedere la portabilità (cioè il trasferimento dei dati da un operatore a un altro).

Il data protection officer (dpo)

Il Gdpr introduce anche una nuova figura, il data protection officer (dpo), vale a dire il responsabile della sicurezza dei dati. Non è obbligatorio per tutte le aziende, ma solo in tre casi: quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni); quando si monitorano in modo regolare e sistematico dati personali su larga scala; quando si tratta un grande numero di dati sensibili o relativi a reati e condanne penali.

Privacy by design e privacy by default

Ancora una volta sono due termini inglesi, difficilmente traducibili, a esprimere i principi sui quali si basa l’impianto logico del Gdpr. “Privacy by design” significa che la tutela dei dati personali non è più un adempimento a cui bisogna adeguarsi a cose fatte, ma un tema che va preso in considerazione da subito, fin dalla fase di progettazione della propria attività. Solo così, secondo il legislatore europeo, si può essere certi di gestire l’intero ciclo di vita dei dati con cognizione di causa. “Privacy by default” significa che la tutela è l’impostazione predefinita: bisogna evitare di raccogliere dati che non sono strettamente necessari per le finalità dell’azienda e che esulano dagli obblighi indicati nell’informativa. Il principio da seguire è quello della minimizzazione: raccogliere il minor numero di dati possibile, facendo di tutto per evitare i rischi legati al trattamento.

Articoli correlati