GDPR

General Data Protection Regulation:

nuovo Regolamento Generale sulla Protezione dei Dati
maggio 2018

Il 25 maggio entrerà in vigore in tutta l’Unione europea il nuovo Regolamento Generale sulla
Protezione dei Dati, meglio conosciuto come GPDR (dal nome inglese General Data Protection
Regulation). Si tratta solo apparentemente di un tema tecnico: in realtà il GDPR cambierà
profondamente la quotidiana attività online di tutti noi ed è quindi importante iniziare a
familiarizzare con le nuove norme, così da conoscere i propri diritti e poterli difendere.

Quando parliamo di protezione dei dati parliamo infatti di uno dei diritti fondamentali
riconosciuti dall’Unione europea, difeso sia dalla Carta dei diritti fondamentali dell'Unione
europea sia dal Trattato sul funzionamento dell'Unione europea: in entrambi i testi è scritto che
“Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”.

Ma ad oggi questo diritto non sembra essere protetto adeguatamente, soprattutto

nell’ambiente digitale. Nonostante ci capiti spessissimo di prestare il consenso al trattamento dei
nostri dati online (cliccando “ok” su qualche casella o accettando i termini di un qualche tipo di
contratto), la maggior parte di noi ha la sensazione di non avere pieno controllo sui propri dati e
sul modo in cui questi sono utilizzati; questa sensazione è confermata, nel piccolo, dalle tante mail
indesiderate (spam) che arrivano ogni giorno nelle nostre caselle di posta elettronica e, su scala
più grande, da scandali come quello legato a Cambridge Analytica (che raccontavamo qui,
spiegando anche che il GDPR sarebbe stato in grado di prevenirlo).
Il problema è che la legislazione sulla protezione dei dati attualmente in vigore risale almeno
nei fondamenti al 1995, una data nella quale la maggior parte delle grandi compagnie digitali
ancora non erano neanche nate: da qui la necessità di aggiornare le leggi sulla protezione dei dati.

Il GDPR si è però spinto oltre: non si è limitato a una semplice revisione ma ha cambiato
radicalmente l’approccio alla protezione dei dati, rendendo la legislazione europea la più
avanzata al mondo (tanto che negli Stati Uniti si stanno alzando voci che chiedono di ispirarsi alla
normativa europea).

Prima del GDPR: come funziona oggi la protezione dei dati

Fino a oggi, un’azienda ha avuto bisogno solo di un generico assenso da parte dell’interessato
per poter raccogliere, conservare e utilizzare i suoi dati personali. Questo è il motivo per cui oggi
ci capita spessissimo, navigando online, di cliccare “confermo” al trattamento dei dati personali,
senza però capire bene come saranno utilizzati i nostri e per quali scopi.

Può capitare (e spesso accade) che, per entrare in contatto con una società o per fruire di un
servizio da lei offerto, prestiamo il consenso all’utilizzo dei nostri dati e questi siano poi però
utilizzati per mille ragioni diverse (l’esempio più classico è l’invio di pubblicità e comunicazioni via
mail). Oggi questo è permesso (in virtù di una avvenuta forma di assenso all’utilizzo dei dati), e
l’utente può, al massimo, opporsi in seconda battuta all’utilizzo indesiderato dei propri dati (ad
esempio comunicando all’azienda che non è interessato a ricevere pubblicità via mail).

Con il GDPR: garantito agli utenti un pieno controllo sui propri dati
Ecco i principali cambiamenti introdotti dal nuovo Regolamento UE:

1. Il primo grande cambiamento è che il consenso all’utilizzo dei dati non potrà più essere
generico: le compagnie che intendano raccogliere ed utilizzare i nostri dati dovranno dirci
con chiarezza quali dati raccolgono, per quale scopo e il modo in cui li utilizzeranno; sulla
base di queste informazioni dovranno poi ottenere da noi un assenso specifico, in assenza del
quale non potranno utilizzare i nostri dati (e neanche conservarli). Questo significa che se una
società ha già ottenuto il consenso all’utilizzo dei nostri dati per una certa attività, dovrà
chiederci un nuovo consenso prima di poter utilizzare gli stessi dati per un’attività diversa. Il
GDPR, quindi, rafforza il diritto al rifiuto dell’utilizzo dei nostri dati, ribaltando l’approccio
finora utilizzato: non saremo più noi a dover opporci all’utilizzo dei nostri dati ma le aziende
a ottenere un nostro consenso esplicito, perché sarà considerato illegittimo qualunque
utilizzo dei dati non esplicitamente accettato o richiesto. Non saranno quindi più possibili le
diffuse dinamiche di “silenzio assenso”, con le quali oggi le aziende comunicano (non
chiedono) di stare utilizzando dati personali, lasciando agli utenti il compito di opporsi a
questa decisione.
 2. Il GDPR prevede anche la possibilità di revocare il consenso all’utilizzo dei dati personali,
con una procedura che dovrà essere tanto semplice quanto quella utilizzata per concederlo.

3. Il consenso dovrà essere pienamente libero e consapevole. Innanzitutto, le informazioni

sull’utilizzo dei dati dovranno essere fornite in modo chiaro e sintetico: è la fine dei
lunghissimi blocchi di testo sotto ai quali tutti cliccano “ok” senza averli letti. Inoltre, non
dovrebbe più capitare di accettare per errore o distrazione clausole sull’utilizzo dei nostri dati,
senza essere consci di averlo fatto, perché diventa vietato quel particolare tipo di contratti
online precompilati, nei quali l’utente accetta di default che la società raccolga e utilizzi tutti
i propri dati.

4. Per dare forza a questo principio, il GDPR prevede anche che i contratti standard (compresi
quelli di utilizzo di apparecchi tecnologici) non possano richiedere di base la raccolta e
l’utilizzo di più dati di quelli necessari. Non tutti lo sanno, ma oggi la maggior parte delle
condizioni di utilizzo delle applicazioni informatiche chiede l’accesso a una quantità
spropositata di dati, in nessun modo legati al servizio offerto, che le compagnie poi
riutilizzano o rivendono (è per questo che tante applicazioni sono gratuite, perché chi le
sviluppa guadagna poi dall’utilizzo dei nostri dati).

5. Questi diritti sono poi resi effettivi dalla possibilità, che Il GDPR fornisce ad ogni utente, di
chiedere a una società quali suoi dati personali questa conserva e di domandarne la
cancellazione o la correzione (in caso di dati errati).

Se tutte queste norme sono innovative, ancora più innovativo è il principio in base al quale
saranno applicate. Il GDPR non si applicherà infatti solo in Europa: saranno obbligate a
rispettare il GDPR tutte le imprese europee (anche quando trattano i dati di cittadini extra-UE) e
tutte le imprese extra-UE che utilizzano dati di cittadini europei. La portata del nuovo
Regolamento è quindi davvero mondiale e la scelta di un campo di applicazione così vasto è la
presa d’atto che il digitale chiede di rivedere i confini che finora siamo stati abituati ad attribuire
anche alle leggi.

Infine, le sanzioni: il GDPR prevede multe che possono arrivare fino a 20 milioni di euro o fino
al 4% del fatturato annuo dell’azienda colpevole, nel caso in cui questa seconda cifra fosse
superiore (e per tutte le grandi compagnie lo è; solo per fare un esempio, il 4% del fatturato annuo
di Facebook è pari a circa un miliardo di euro).

www.alessiamosca.it