Se avete una casella email o siete iscritti a social networks e servizi online, avrete sicuramente già ricevuto numerose comunicazioni con una sigla, “GDPR”, e una data, “25 maggio”. Ma di cosa si tratta realmente? Il 25 maggio diventa applicabile un nuovo Regolamento europeo in materia di protezione dei dati personali: il Regolamento n. 679 del 2016, General Data Protection Regulation (GDPR, appunto).
Imprese, professionisti e pubbliche amministrazioni hanno avuto due anni di tempo per adempiere agli obblighi che le nuove regole europee pongono su chiunque tratti dati personali. La solerzia con cui molti di loro ci informano di quanto stanno facendo per la nostra privacy è determinata quindi dall’esistenza di nuove regole e di pesantissime sanzioni (fino a 20 milioni di euro o – se superiore – fino al 4% del fatturato mondiale totale).
Le sanzioni sono così pesanti perché i nostri dati e la loro riservatezza sono molto importanti. È questo, in fondo, il vero motivo per cui l’Unione europea ha deciso di adottare un’unica norma nuova che sostituisse tutte quelle precedentemente esistenti nei diversi Stati Membri: elevare il livello di protezione dei dati personali, rendendo le norme adeguate al mondo in cui viviamo (quello dei social e della videosorveglianza).
Per questo motivo, il Regolamento è una norma che interessa tutti, non solo chi tratta dati personali ma anche – e forse soprattutto - utenti, consumatori e cittadini. Proviamo quindi ad orientarci tra le principali novità per capire cosa ci aspetta e come il nostro diritto alla riservatezza, tra poche ore, sarà ancora più tutelato.
Trasparenza
Gli utenti devono essere informati in modo semplice e chiaro sulle finalità, modalità e ambito del trattamento dei propri dati.
Le cosiddette “informative” (quelle che firmiamo quando arriviamo alla reception di un albergo o ci iscriviamo ad un social network) devono essere brevi e comprensibili da chiunque. Verrà quindi meno una delle scuse che abbiamo per non leggerle, quella – cioè – che sono troppo lunghe e complesse per essere comprese.
Inoltre, ciascuno ha diritto di presentare una richiesta di accesso per sapere quali siano i dati che altri trattano di noi (e di averne copia). Ad esempio, se abbiamo fatto una videolaparoscopia (un esame medico che prevede la registrazione di un video della nostra cavità addominale), abbiamo diritto anche alla copia del video registrato e non solo al referto.
Consenso
Se non esistono norme di legge, previsioni di contratto o altro legittimo interesse al trattamento dei nostri dati, lo stesso può iniziare solo dopo che abbiamo prestato apposito consenso (revocabile in qualsiasi momento).
Particolare attenzione è dedicata alla tutela dei minori che – per accedere ai servizi della società dell’informazione (come i social network) – devono avere almeno 16 anni per poter prestare autonomamente il consenso al trattamento, senza l’intervento dei genitori.
Rettifica
Il diritto di rettifica potrà essere esercitato ogniqualvolta i nostri dati siano inesatti. Basti pensare, ad esempio, alla circostanza per cui a carico di un soggetto risulti – erroneamente - una segnalazione quale cattivo pagatore.
Oblio
Il diritto alla cancellazione dei dati, più noto come “diritto all’oblio” è una delle novità più importanti del GDPR e può essere esercitato quando siano venuti meno i presupposti di legittimità del trattamento (ad es. perché il consenso è stato revocato) oppure il trattamento sia illecito (ad es. nel caso in cui non ci sia mai stato un consenso per quello specifico trattamento).
Una volta ricevuta la richiesta di cancellazione, il titolare del trattamento deve adempiere, senza ingiustificato ritardo, eliminando i dati.
Il diritto all’oblio può essere esercitato, quindi, tutte le volte che non vi siano norme di legge o interessi prevalenti a proseguire nel trattamento (come nel caso di notizia legata all’arresto di un amministratore per corruzione che –anche dopo diversi anni – rimane ancora di interesse pubblico).
Portabilità
L'interessato ha il diritto di ricevere in un formato di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un fornitore di servizi e ha il diritto di trasmetterli ad un altro fornitore. È questo il motivo per cui i social network, da qualche settimana, ci consentono di scaricare i nostri post, l’elenco dei nostri contatti e i nostri messaggi oppure le app di fitness ci permettono di prelevare tutto lo storico dei nostri allenamenti in modo da poterlo importare in un’altra applicazione (che, magari, funziona meglio).
Le tutele
Se riteniamo che qualcuno abbia violato i nostri nuovi diritti, dal 25 maggio potremo – innanzitutto – presentare reclamo al Garante Privacy, con una procedura relativamente semplice e snella.
Naturalmente, se riteniamo di essere stati danneggiati, potremo sempre rivolgerci all’autorità giudiziaria per ottenere il risarcimento. Per evitare di pagare, però, chi ha trattato scorrettamente i nostri dati personali dovrà dimostrare che il danno non gli è alcun modo imputabile.
di Ernesto Belisario