Nell’epoca della profilazione a oltranza, l’Ue corre ai ripari emandando un regolamento più stringente circa le possibilità di utilizzo delle informazioni personali.
Sta per finire la stagione dei “big data” e stiamo per entrare in quella degli “smart data”. È ciò che accadrà dal 25 maggio 2018 in poi, giorno in cui ci sarà la piena applicazione del cosiddetto Gdpr (acronimo di “General data protection regulation”), il regolamento europeo 2016/679 sulla protezione e sul trattamento dei dati personali. Il Gdpr sostituirà la direttiva 95/46/Ce che, pur avendo gettato le basi dell’attuale disciplina della tutela della privacy, stava agendo ormai in un contesto profondamente mutato nel corso degli anni, sia in termini di tecnologie sia di problematiche legate ai social media. Rispetto alla precedente normativa, il nuovo regolamento è molto più esplicito in tema di protezione delle informazioni individuali e, fin dal suo primo articolo, mette in evidenza come questa tipologia di tutela appartenga ai diritti e alle libertà fondamentali delle persone fisiche (art. 1.2).
Inoltre, cambia radicalmente l’intero approccio alla protezione dei dati personali, passando da un regime autorizzatorio a uno di accountability, cioè di responsabilizzazione. Tra le principali novità introdotte ci sono i presupposti di legittimità sui quali si basa il consenso della persona per il trattamento delle proprie informazioni private. Innanzitutto, per quanto riguarda i dati sensibili (origine etnica, opinioni politiche, convinzioni religiose, orientamento sessuale, ecc.), l’autorizzazione deve essere esplicita (art. 9), così come per le decisioni basate su trattamenti automatizzati, compresa la profilazione (art. 22). Se il consenso proviene da un minore, inoltre, si considera valido soltanto a partire dai 16 anni, anche se ciascuno Stato membro può stabilire per legge un’età inferiore, purché non sotto i 13 anni. Il Gdpr è molto stringente riguardo ai contenuti dell’informativa che deve essere messa a disposizione dell’interessato. Il titolare del trattamento dei dati, infatti, deve obbligatoriamente fornire la propria identità e i propri dati di contatto, oltre a quelli del responsabile della protezione delle informazioni, le finalità del trattamento e la natura del suo interesse, gli eventuali destinatari dei dati raccolti, anche in Paesi terzi.
In aggiunta, per garantire un trattamento corretto e trasparente, il titolare deve specificare il periodo di conservazione dei dati, il diritto di presentare un reclamo all’autorità di controllo e se il trattamento prevede processi decisionali automatizzati. Rispetto alla precedente direttiva, il nuovo regolamento rafforza il diritto alla cancellazione dei propri dati personali obbligando i titolari del trattamento sia a effettuare tale eliminazione in tempi ragionevoli sia a informare della richiesta altri soggetti che eventualmente stanno trattando i dati da cancellare. Il Gdpr introduce un approccio del tutto nuovo in tema di protezione delle informazioni personali ponendo particolare importanza alla responsabilizzazione dei titolari del trattamento dei dati, ai quali demanda il compito di mettere «in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente» alle disposizioni del nuovo regolamento (art. 24). Tra le misure di accountability sono previste la redazione di registri delle attività dei trattamenti svolti, la realizzazione di una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali quando si può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, la designazione di un Responsabile della protezione dei dati. Chiunque subisca un danno materiale o immateriale causato da una violazione del Gdpr ha il diritto di ottenere il risarcimento dal titolare del trattamento, il quale rischia sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Per adeguarsi alle disposizioni previste dal nuovo regolamento, le aziende che raccolgono e processano dati personali dovranno affrontare costi rilevanti, un aspetto che preoccupa soprattutto le piccole e medie imprese, anche se non sono da sottovalutare alcuni vantaggi che potrebbero verificarsi. Ne è convinto Lorenzo Sassoli de Bianchi, presidente di Utenti Pubblicità Associati (Upa) – l’associazione delle aziende che investono in pubblicità: «La principale opportunità deriva dalla capacità delle aziende e degli operatori di acquisire e mantenere nel tempo un elevato livello di consenso dal lato dell’utente – afferma – profilandolo meglio e creando una relazione di fiducia duratura nel rapporto con lo stesso». Una condizione che potrà valere soprattutto per le applicazioni e i servizi on line utilizzati quotidianamente dal consumatore (pagamenti, salute, trasporti, sport, e-commerce, ecc.). «La seconda, non meno importante, opportunità – continua il presidente di Upa – nasce dalle capacità del mondo B2b di concordare elevati standard di sicurezza, anche in forma di partnership strategiche, per ridurre i rischi e massimizzare le economie di scala. La terza opportunità è rappresentata dalla ricaduta sull’occupazione: la data protection costituirà una leva per la creazione di nuovi posti di lavoro qualificato in ambito digitale».
[continua su «Largo Consumo»]