Il 25 maggio entrerà in vigore in tutta l’Unione europea il nuovo Regolamento Generale sulla
Protezione dei Dati, meglio conosciuto come GPDR (dal nome inglese General Data Protection
Regulation). Si tratta solo apparentemente di un tema tecnico: in realtà il GDPR cambierà
profondamente la quotidiana attività online di tutti noi ed è quindi importante iniziare a
familiarizzare con le nuove norme, così da conoscere i propri diritti e poterli difendere.
Quando parliamo di protezione dei dati parliamo infatti di uno dei diritti fondamentali
riconosciuti dall’Unione europea, difeso sia dalla Carta dei diritti fondamentali dell'Unione
europea sia dal Trattato sul funzionamento dell'Unione europea: in entrambi i testi è scritto che
“Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”.
Il GDPR si è però spinto oltre: non si è limitato a una semplice revisione ma ha cambiato
radicalmente l’approccio alla protezione dei dati, rendendo la legislazione europea la più
avanzata al mondo (tanto che negli Stati Uniti si stanno alzando voci che chiedono di ispirarsi alla
normativa europea).
Può capitare (e spesso accade) che, per entrare in contatto con una società o per fruire di un
servizio da lei offerto, prestiamo il consenso all’utilizzo dei nostri dati e questi siano poi però
utilizzati per mille ragioni diverse (l’esempio più classico è l’invio di pubblicità e comunicazioni via
mail). Oggi questo è permesso (in virtù di una avvenuta forma di assenso all’utilizzo dei dati), e
l’utente può, al massimo, opporsi in seconda battuta all’utilizzo indesiderato dei propri dati (ad
esempio comunicando all’azienda che non è interessato a ricevere pubblicità via mail).
Con il GDPR: garantito agli utenti un pieno controllo sui propri dati
Ecco i principali cambiamenti introdotti dal nuovo Regolamento UE:
1. Il primo grande cambiamento è che il consenso all’utilizzo dei dati non potrà più essere
generico: le compagnie che intendano raccogliere ed utilizzare i nostri dati dovranno dirci
con chiarezza quali dati raccolgono, per quale scopo e il modo in cui li utilizzeranno; sulla
base di queste informazioni dovranno poi ottenere da noi un assenso specifico, in assenza del
quale non potranno utilizzare i nostri dati (e neanche conservarli). Questo significa che se una
società ha già ottenuto il consenso all’utilizzo dei nostri dati per una certa attività, dovrà
chiederci un nuovo consenso prima di poter utilizzare gli stessi dati per un’attività diversa. Il
GDPR, quindi, rafforza il diritto al rifiuto dell’utilizzo dei nostri dati, ribaltando l’approccio
finora utilizzato: non saremo più noi a dover opporci all’utilizzo dei nostri dati ma le aziende
a ottenere un nostro consenso esplicito, perché sarà considerato illegittimo qualunque
utilizzo dei dati non esplicitamente accettato o richiesto. Non saranno quindi più possibili le
diffuse dinamiche di “silenzio assenso”, con le quali oggi le aziende comunicano (non
chiedono) di stare utilizzando dati personali, lasciando agli utenti il compito di opporsi a
questa decisione.
2. Il GDPR prevede anche la possibilità di revocare il consenso all’utilizzo dei dati personali,
con una procedura che dovrà essere tanto semplice quanto quella utilizzata per concederlo.
4. Per dare forza a questo principio, il GDPR prevede anche che i contratti standard (compresi
quelli di utilizzo di apparecchi tecnologici) non possano richiedere di base la raccolta e
l’utilizzo di più dati di quelli necessari. Non tutti lo sanno, ma oggi la maggior parte delle
condizioni di utilizzo delle applicazioni informatiche chiede l’accesso a una quantità
spropositata di dati, in nessun modo legati al servizio offerto, che le compagnie poi
riutilizzano o rivendono (è per questo che tante applicazioni sono gratuite, perché chi le
sviluppa guadagna poi dall’utilizzo dei nostri dati).
5. Questi diritti sono poi resi effettivi dalla possibilità, che Il GDPR fornisce ad ogni utente, di
chiedere a una società quali suoi dati personali questa conserva e di domandarne la
cancellazione o la correzione (in caso di dati errati).
Se tutte queste norme sono innovative, ancora più innovativo è il principio in base al quale
saranno applicate. Il GDPR non si applicherà infatti solo in Europa: saranno obbligate a
rispettare il GDPR tutte le imprese europee (anche quando trattano i dati di cittadini extra-UE) e
tutte le imprese extra-UE che utilizzano dati di cittadini europei. La portata del nuovo
Regolamento è quindi davvero mondiale e la scelta di un campo di applicazione così vasto è la
presa d’atto che il digitale chiede di rivedere i confini che finora siamo stati abituati ad attribuire
anche alle leggi.
Infine, le sanzioni: il GDPR prevede multe che possono arrivare fino a 20 milioni di euro o fino
al 4% del fatturato annuo dell’azienda colpevole, nel caso in cui questa seconda cifra fosse
superiore (e per tutte le grandi compagnie lo è; solo per fare un esempio, il 4% del fatturato annuo
di Facebook è pari a circa un miliardo di euro).
www.alessiamosca.it