Quando apri un sito web nell'UE, l'organizzazione che lo possiede non può fare quello che vuole con i tuoi dati personali. Deve seguire certe regole e procedure conosciute come il Regolamento generale sulla protezione dei dati (GDPR), che è in vigore nell'UE dal 2018.
Potresti trovare il GDPR fastidioso perché lo identifichi con gli avvisi sui cookie che appaiono ogni volta che apri un nuovo sito web. Siamo abbastanza d'accordo con te. Gli avvisi sui cookie sono fastidiosi per gli utenti, e non sono certo il modo migliore per regolare lo scambio di dati personali: l'UE deve trovare una valida alternativa.
Ma il GDPR va ben oltre gli avvisi sui cookie.
Cos'è il GDPR e perché ne abbiamo bisogno?
Quando usiamo internet, molte delle nostre informazioni personali possono essere disponibili a coloro che vogliono curiosare su di noi. Questo può includere gli indirizzi e-mail di cui abbiamo bisogno per accedere, la nostra posizione o ciò che digitiamo nei motori di ricerca. Questi dati possono rivelare molto su di noi - cosa ci piace e come ci può essere venduto - e sono molto preziosi per le aziende che vogliono che compriamo i loro prodotti. Senza regolamentazione, le aziende possono usare i nostri dati in modi che non servono i nostri interessi.
Ci sono molti esempi in cui questo è già successo. Nel 2021, Grindr, la piattaforma di incontri online LGBTQ*, avrebbe venduto i dati di localizzazione (ri)identificabili dell'alto funzionario della Chiesa cattolica americana Jeffrey Burril, che sono finiti nelle mani dei redattori di una rivista cattolica. Con i dati ottenuti, hanno pubblicato un articolo in cui si affermava che frequentava spesso i club gay. Dopo la pubblicazione, Burril era costretto a dimettersi e ha dovuto affrontare una tempesta di polemiche sul celibato e sul comportamento omosessuale promiscuo. Se questa ricaduta è abbastanza grave, in altri paesi avrebbe potuto essere incarcerato o addirittura ucciso.
Sono necessarie regole chiare e precise e la loro applicazione per evitare che casi simili accadano a chiunque i cui nemici siano abbastanza ricchi (o abili) da trovare e decifrare le tracce che ha lasciato su internet. O, in mancanza, i dati che condividono in certe situazioni offline.
]Per proteggere il nostro diritto di decidere cosa condividere con gli altri, il 25 maggio 2018, il GDPR è entrato in vigore nell'Unione Europea, stabilendo nuove regole sulla privacy e la protezione dei dati personali. Si basa su principi fondamentali che sono riassunti nella tabella qui sotto:
Legalità, equità e trasparenza |
Il trattamento dei dati deve essere legittimo, equo e trasparente per la persona interessata (cioè per te). |
Limitazione dello scopo |
Per tutti i trattamenti di dati, tutti gli scopi devono essere specificati in anticipo. |
Minimizzazione dei dati |
Possono essere raccolti solo i dati assolutamente necessari per gli scopi specificati. |
Precisione |
I dati personali devono essere accurati. |
Limitazione del periodo di conservazione |
I dati possono essere conservati solo per il tempo necessario ai fini specificati. |
Integrità e riservatezza |
Il trattamento dei dati deve essere sicuro e l'elaboratore di dati deve garantire che le informazioni non vadano dove non dovrebbero. |
Trasparenza |
Il responsabile del trattamento dei dati deve essere in grado di dimostrare il rispetto del GDPR in ogni fase del trattamento dei dati. |
Cosa sono i dati personali per il GDPR e perché è così importante proteggerli?
La terminologia usata quando si parla di GDPR può essere complessa e scoraggiante. Ma non preoccupatevi, questo articolo si intitola GDPR per principianti: lo interpreteremo per te e ti spiegheremo perché proteggere i dati personali è importante per la democrazia.
Cosa sono esattamente i dati personali? Nel documento ufficiale del GDPR, i dati personali sono definiti come qualsiasi informazione relativa a una persona fisica la cui identità può essere stabilita per mezzo di tali informazioni. Questo include identificatori come il sesso, l'indirizzo postale e l'identità culturale o sociale. Fin qui tutto bene, vero?
Ma perché è così importante per le democrazie proteggere i dati personali con una legislazione ufficiale GDPR?
In primo luogo, il diritto alla privacy è un diritto fondamentale. Per vivere con dignità, qualcosa che tutti noi meritiamo, è necessario essere in grado di prendere liberamente decisioni su cosa tenere per sé e cosa condividere con gli altri. Anche prima di internet, il tuo diritto alla privacy aveva bisogno di essere protetto da altri che potevano usare i tuoi dati per i loro scopi. Ma era molto difficile e costoso raccogliere informazioni, specialmente su scala di massa per porzioni significative della società.
Man mano che sempre più attività vengono digitalizzate, la raccolta dei dati diventa sempre più facile. Dato che il 92% delle famiglie dell'UE ha accesso a Internet, possiamo tranquillamente dedurre che quasi tutti noi lasciamo tracce di noi stessi su Internet, e sulla base di queste tracce, le aziende possono dedurre cosa ci piace, cosa ci interessa o cosa ci fa paura. Può non sembrare allarmante, ma in realtà è molto pericoloso.
]La manipolazione politica, in particolare, rappresenta un enorme pericolo per le democrazie e la libertà di espressione. Se i partiti e i candidati possono semplicemente comprare informazioni su come influenzare il tuo voto, questo mina il processo democratico. Non ha niente a che vedere con una campagna elettorale equa, accessibile e paritaria. Donald Trump, per esempio, ha diffuso molta propaganda politica e disinformazione attraverso i social media e la propaganda diretta personalizzata.
Dovresti essere in grado di vedere gli stessi annunci politici del tuo vicino, ma grazie alla propaganda micro-targettizzata potresti non farlo. Se ricevi annunci personalizzati, dovresti almeno avere il diritto di sapere perché ti vengono mostrate informazioni specifiche.
Cos'è una violazione della sicurezza dei dati e perché è pericolosa?
Lo scenario peggiore è che i tuoi dati cadano in mani criminali, il che è noto come una violazione dei dati. Una violazione della sicurezza dei dati si verifica se i dati vengono rubati, persi, distrutti o sono stati manomessi dagli hacker. Anche le più grandi aziende non sono sicure al 100%: nel 2021, per esempio, i dati di più di 500 milioni di utenti di Facebook sono stati estratti e trapelati online.
Ma cosa può succedere se la sicurezza dei miei dati viene violata?
Alcune conseguenze sono fastidiose, come la perdita dell'accesso ai propri account di social network, ma altre sono particolarmente dannose e rappresentano un pericolo reale. Immagina, per esempio, che i dettagli personali di un forum di consulenza sessuale online - dove le persone cercano anonimamente consigli su questioni personali - siano trapelati, in modo che i suoi utenti possano essere identificati offline. Questa situazione potrebbe essere seriamente dannosa per la salute mentale di una persona, o addirittura metterla in pericolo fisico se il suo stile di vita contravviene alle norme sociali.
Il GDPR riduce questo rischio imponendo la minimizzazione dei dati e limiti di tempo di conservazione dei dati. Meno dati vengono conservati, meno possono essere filtrati e più è difficile identificare gli individui. Inoltre, i responsabili del trattamento dei dati devono anche segnalare una violazione non più tardi di 72 ore dopo esserne venuti a conoscenza e, secondo l'articolo 25 del GDPR, "privacy by design", tutti i sistemi devono incorporare misure tecniche per attuare effettivamente la massima sicurezza.
GDPR per principianti: come funziona veramente? Fatti e concetti importanti
Ok, siamo arrivati fin qui, ma dobbiamo ancora farci strada attraverso alcuni dei paroloni e stabilire come funziona effettivamente il GDPR e perché è importante per te:
Chi è un soggetto di dati? |
Io sono un soggetto di dati e lo sei anche tu. Un soggetto di dati è chiunque i cui dati sono trattati da un'organizzazione. Fondamentalmente, chiunque abbia mai usato Internet è un soggetto di dati. |
Chi è il titolare del trattamento dei dati? |
Un titolare del trattamento dei dati è qualsiasi entità che raccoglie e conserva i dati: per esempio, un'azienda. |
Chi è il responsabile del trattamento dei dati? |
Un responsabile del trattamento dei dati è qualcuno che una grande azienda assume per elaborare i dati per suo conto. |
Cos'è un'autorità di vigilanza? |
Ogni paese dell'UE ha la propria autorità di vigilanza. Come custode della privacy dei dati, deve far rispettare il GDPR nel suo territorio e, se necessario, imporre pesanti multe. |
Chi è il responsabile della protezione dei dati? (RPD) |
Questa è la persona che si occupa di tutti i dettagli del GDPR in un'organizzazione/azienda. |
Cosa sono le valutazioni d'impatto sulla protezione dei dati? (DPIA) |
Quando un progetto può comportare un rischio elevato per i dati personali, i responsabili del trattamento devono analizzare il rischio nella sua interezza - quali sono i rischi potenziali e come minimizzarli - e mettere le conclusioni per iscritto. |
Cosa significa politica sulla privacy? |
Una politica sulla privacy è un documento pubblico in cui un'organizzazione spiega come tratta i dati personali e come applica i principi di protezione dei dati, in modo che tu sappia cosa succede ai tuoi dati quando interagisci con essa. |
Cosa significa il consenso nel contesto del GDPR? |
Il consenso dell'interessato, secondo il GDPR, è "qualsiasi indicazione liberamente data, specifica, informata e inequivocabile" della vostra accettazione o accordo che una certa categoria di vostri dati personali possa essere trattata, per determinate finalità, da chi richiede il vostro consenso. |
Quali sono i diritti dell'interessato? Quali nuovi diritti hanno gli utenti di Internet secondo il GDPR?
Il GDPR stabilisce 8 diritti di base per gli utenti di Internet in Europa. Pertanto, avete una serie di diritti e la possibilità di intervenire se vengono violati.
Il diritto di essere informati
Gli individui hanno il diritto di essere informati su chi sta elaborando i loro dati e per quale scopo. Questo è importante, perché devi sapere chi contattare se credi che i tuoi dati siano stati usati male. L'informativa sulla privacy dovrebbe essere scritta in un modo che sia facile da capire.Il diritto di accesso
Se vuoi sapere quali dati personali un'azienda conserva su di te e come vengono utilizzati, puoi semplicemente presentare una richiesta per accedervi gratuitamente. Per esempio, se vuoi sapere quali dati ha in archivio il tuo supermercato locale, puoi aspettarti dettagli su quando hai usato la loro carta fedeltà, cosa hai comprato, se ti hanno inviato offerte speciali e se i tuoi dati sono stati venduti e a chi.
Diritto di rettifica
Se ti accorgi che qualcuno ha informazioni errate su di te, hai il diritto di far rettificare i dati personali inesatti che ti riguardano. Naturalmente, anche i terzi a cui sono stati forniti i tuoi dati devono essere informati.
Diritto alla cancellazione
Meglio conosciuto come "diritto all'oblio". In linea di principio, puoi chiedere che una società cancelli i dati che ti riguardano. Non è sempre possibile rispettare la tua richiesta: per esempio, le banche potrebbero non essere in grado di cancellare immediatamente tutti i tuoi dati perché sono obbligate per legge a conservarli per un certo periodo di tempo. Ma se sei elencato su un sito web locale come il vincitore regionale del concorso locale di mangiatori di hot dog, e non sei un personaggio pubblico (quindi il pubblico non ha interesse a come passi il tuo tempo libero), la tua richiesta dovrebbe essere accolta. Tuttavia, bisogna anche dire che al giorno d'oggi è molto difficile che i dati possano essere cancellati completamente una volta che sono sulla rete globale dei computer. Le informazioni più succose sono spesso sparse su internet, e quando i tuoi dati sono trattati fuori dall'UE, far valere i tuoi diritti è quasi impossibile.
Nel 2019, la Corte di giustizia europea ha stabilito che l'Unione europea non può estendere le sue leggi oltre i suoi confini. Così, mentre puoi costringere Google a cancellare quella foto imbarazzante che hai postato su MySpace 12 anni fa dai risultati di ricerca europei, se qualcuno in un altro continente cerca il tuo nome su Google, può ancora farsi una risata.
Diritto alla limitazione del trattamento
Ci può essere una situazione in cui si vuole che un'azienda smetta di usare i tuoi dati. La prima cosa che ti viene in mente è chiedere loro di cancellarlo. Tuttavia, questo potrebbe non essere possibile, o non immediatamente. In questi casi, puoi chiedere alle aziende di non fare nulla con i tuoi dati al di là di ciò che la legge richiede loro di fare, per esempio, di conservare i dati per un certo periodo di tempo.
Diritto alla portabilità dei dati
Supponiamo che usi una piattaforma di streaming musicale e vuoi passare a un'altra. Ma sei titubante perché vuoi conservare la tua playlist. Il diritto alla portabilità dei dati mira a garantire che non sei bloccato con il tuo vecchio provider semplicemente perché non hai il tempo o la voglia di ricreare quelle playlist. Dato che sei il proprietario dei tuoi dati secondo il GDPR, puoi richiedere i tuoi dati dalla tua vecchia piattaforma di streaming in un formato che sia trasferibile al nuovo fornitore di servizi.
Diritto di opposizione
Se dai il permesso a un sito web di memorizzare e leggere i dati dei cookie, l'azienda o l'organizzazione può trattare i tuoi dati in conformità con la sua politica sulla privacy. Ma cosa succede se in seguito cambi idea perché ti vengono inviati annunci politici dopo aver fatto ricerche su un argomento nelle notizie? Almeno in teoria, hai il diritto di opporti. Il sito di notizie che hai inserito non può più trattare o vendere i tuoi dati. Anche se ci sono alcune eccezioni a questo diritto, è sempre possibile opporsi al marketing diretto. Tuttavia, in pratica, potresti dover trovare qualche modo alternativo per assicurarti di non essere bombardato da annunci politici, perché nell'ambiente online di oggi potrebbe non essere possibile sapere chi tratta i tuoi dati. E sì, questa è una violazione del GDPR.
Diritti relativi al processo decisionale automatizzato, compresa la profilazione
Il processo decisionale automatizzato (ADM) si riferisce alle decisioni basate esclusivamente sull'elaborazione automatica dei dati da parte di una macchina. Profilare significa che vieni inserito in una categoria (ad esempio se sei idoneo o meno per un prestito) sulla base di informazioni provenienti da dati personali. ADM sostiene di essere più imparziale del processo decisionale umano, ma poiché si basa sull'apprendimento di modelli e sui dati (a volte errati) forniti dagli umani, la piena obiettività è ancora lontana dall'essere possibile.
A causa della possibilità di un processo decisionale distorto, la ADM e la profilazione minacciano i diritti e le libertà dell'interessato e la democrazia. Dobbiamo essere in grado di sapere perché viene presa una decisione e avere la possibilità di contestarla se lo desideriamo.
L'UE riconosce questo problema e quindi concede il diritto di non essere soggetti a una decisione basata solo su mezzi automatizzati se la decisione produce effetti giuridici sulla persona interessata o incide significativamente sulla vita di una persona.
Quali sono le sanzioni per la violazione del GDPR?
A seconda di come esattamente il GDPR viene violato, ci sono due diversi livelli di multe.
Per violazioni meno gravi, le aziende possono dover pagare fino a 10 milioni di euro, o fino al 2% del fatturato mondiale annuo totale dell'azienda, se superiore.
Per le infrazioni più gravi, le multe possono arrivare fino a un massimo di 20 milioni di euro, o un massimo del 4% del fatturato mondiale annuo totale dell'azienda.
Quali conclusioni possiamo trarre dal GDPR?
Se sei arrivato fin qui, non sei più ufficialmente un principiante quando si tratta di GDPR. Cosa abbiamo imparato?
Abbiamo imparato cosa siamo (un soggetto di dati), che il nostro comportamento online viene tracciato (i dati personali sono preziosi), e che molte persone e aziende sono interessate ad avere i nostri dati. Abbiamo anche imparato che la mancanza di protezione della privacy può danneggiare le democrazie.
Naturalmente, il GDPR non offre una protezione infallibile contro tutti i tipi di violazioni della sicurezza della privacy, anche perché le autorità hanno problemi a farlo rispettare. Mentre il GDPR è uno strumento giuridico positivo che ci permette di proteggerci, è utile solo nella misura in cui viene applicato. In futuro, l'UE deve concentrare la sua attenzione per garantire la conformità con il GDPR.
Photocredits:
Naomi Tamar /Unsplash
Jurica Koletić/Unsplash
Omid Armin/Unsplash
Ludvig Wiese/Unsplash
Taylor Hernandez/Unsplash
Alexander Andrews/Unsplash
Derek Story/Unsplash