Quali dati lasciamo in Internet?
Quando si naviga in Internet, si lasciano, anche involontariamente, molti dati a disposizione. I siti in cui navighiamo e i social network memorizzano le nostre scelte, i nostri acquisti, le nostre preferenze, per poterci proporre profili e offerte sempre più targettizzati.
Un vantaggio per loro e per noi che potremmo trovare più facilmente quel che fa al caso nostro, ma al contempo un modo che fa sì che vengano lasciate sul web una serie di informazioni importanti relative al proprio io. Non solo nome e cognome, a volte.
Per dati sensibili, si intendono tutte le informazioni attraverso cui sia possibile identificare un determinato soggetto, ovvero qualsiasi informazione riguardante una persona fisica identificata o identificabile (la persona fisica che può essere identificata, direttamente o indirettamente). Qualcuno pensando ai dati corre col pensiero al numero di carta di credito, per esempio. Certo, se viene rubato è un problema, ma non è l’unico. Si parla anche di indirizzo, banalmente.
E delle proprie preferenze in vari ambiti. Si va dalla religione all’etnia, dalle credenze politiche all’appartenenza sindacale, fino ai parametri genetici, biometrici (come l’impronta digitale) e relativi allo stato di salute, oppure l’orientamento e la vita sessuale ed anche le condanne penali, i reati e connesse misure di sicurezza.
Tutti dati che se venissero divulgati potrebbero creare problemi, danni materiali (la violazione delle misure della sicurezza, perdite finanziarie o perdite di quote di mercato a favore di concorrenti e altri rischi di tipo economico) o immateriali.
Per essi si intende la perdita di controllo sui dati, la limitazione dei diritti dell’Interessato, una discriminazione dell’Interessato e il rischio di un danno alla reputazione. Insomma, il tema della privacy dei dati è parecchio sentita negli ultimi anni e con lo sviluppo del web ancora di più.
L’UE regolamenta: ecco il GDPR
L’UE a un certo punto ha deciso di regolamentare il trattamento dei dati, per permettere ai consumatori di avere più fiducia. Servivano norme che valessero per tutti i paesi che ne fanno parte e che fossero semplici: è così nato il GDPR. L’acronimo significa General data protection regulation e si tratta del regolamento europeo su privacy, operativo dal 25 maggio 2018. Volto a regolare la protezione e il trattamento dei dati a livello europeo. Mentre GDPR è l’acronimo inglese, RGPD è il corrispondente italiano.
E la Svizzera?
Il tema interessa anche la Svizzera, perché devono uniformarsi ad essa tutte le aziende, grandi e piccole, e tutti i professionisti che offrono servizi e prodotti all’interno dell’UE e sono confrontati con dati di persone provenienti da paesi dell’UE, o che collaborano con aziende europee.
Un regolamento si caratterizza per avere portata generale (vale in tutti i paesi) e applicabilità diretta in tutti i suoi elementi (diventa legge subito, senza dover passare per il recepimento da parte degli Stati membri). In Svizzera bisogna appunto conoscerlo e poi valutare caso per caso.
Con GDPR, si intende l’insieme di norme che disciplinano il trattamento e la circolazione dei dati personali relativi alle persone fisiche e a quelle giuridiche, ovvero cittadini e organizzazioni. Sebbene sia entrato in vigore nel 2018, ha ancora delle falle.
Per esempio, rimane una certa autonomia per ciascun paese, il che può creare problematiche. Si fatica a capire come far applicare le norme ai paesi extra UE (come il nostro, appunto) e i suoi principi entrano in contrasto con quelli del mondo del Blockchain.
Ad ogni modo, è importante anche per noi svizzeri, sia aziende e professionisti che semplici consumatori, conoscere i principi su cui si basa il GDPR. Esso garantisce diversi diritti, una dozzina, ai naviganti in rete. Una caratteristica, come accennato prima, è l’extraterritorialità, ovvero le norme si applicano in tutti i paesi dell’UE, indipendentemente dalla legislazione di ciascuno (che anzi ha dovuto recepirle) e dunque viene garantita uniformità.
Un concetto base: il consenso
Un concetto base del General Data Regulation è quello del consenso. Ovvero, la persona deve dare all’azienda, al servizio, al sito, al professionista, il permesso di utilizzare i suoi dati che vengono raccolti. E deve sapere in che modo essi vengono usati.
Le società che raccolgono o trattano dati personali devono spiegare in modo chiaro agli utenti tutte le condizioni che regolano raccolta e trattamento dei dati. Bisogna usare un linguaggio che sia chiaro per tutti, non fraintendibile. Grazie a esso, bisogna chiarire quali dati verranno usati e per che scopo. Il consenso valido deve essere un’indicazione libera, specifica, informata e inequivocabile delle intenzioni dell’utente, ciò significa che esso deve fare esplicitamente il permesso di usare i dati.
Per esempio, lo scorrimento o la continuazione della navigazione su un sito web non costituisce un consenso valido e i cookie banner non possono avere caselle preselezionate. Anche i cookie wall (consenso forzato) sono giudicati non conformi. Per ottenere un consenso valido, bisogna fare in modo di indicare al visitatore l’entità e le finalità di tale trattamento, utilizzando un linguaggio chiaro e accessibile.
A questo punto, gli deve essere sottoposta la richiesta di consenso, affinché egli possa dire di sì in modo libero (senza condizionamenti), informato, inequivocabile ed anche specifico, cioè serve un consenso per ogni finalità. Per far capire all’utente quali suoi dati verranno utilizzato e perché, è bene preparare un’informativa, scritta in formato digitale o cartaceo, semplice e comprensibile.
Il diritto all’oblio
Se viene concesso il consesso, esso non è automaticamente eterno. Se un utente non desidera più che i propri dati siano utilizzati, ha diritto alla loro cancellazione. Il termine per indicare questa possibilità è diritto all’oblio. La richiesta di cancellazione rivolta a un titolare che abbia reso pubblici dati comporta anche l’obbligo di trasmetterla a tutti coloro che li utilizzano. Con questa espressione si ingloba anche il diritto di far rimuovere dei link in cui si viene citati, con una cancellazione definitiva.
Quanto viene pubblicato, da noi o da altri, che ci riguarda, rimane permanentemente in rete, un dettaglio di cui bisognerebbe sempre tener conto anche solamente quando si sceglie di mettere un post su un social. Anche se si decide poi di cancellarlo, le tracce rimangono. Col diritto all’oblio, si può chiedere la cancellazione di informazioni e dati relativi all’utente che la richiede.
A questo punto, anche gli amministratori del sito in questione dovranno a rimuovere l’indicizzazione delle loro pagine web (o di alcune di esse) e invitare i gestori dei motori di ricerca a rivederne il funzionamento o il sistema di indicizzazione. Nei diritti che il GDPR dà agli utenti c’è anche quello di vietare il consenso. Ma in ogni caso, ci sono alcuni dati che non possono essere divulgati se non previa domanda ancora più specifica, perché si tratta di categorie di informazioni considerate delicate.
Fra di esse ci sono l’etnia degli utenti, le loro convinzioni politiche o religiose, il loro orientamento sessuale o l’appartenenza a categorie o associazioni. Per poterli usare, un’azienda o un professionista deve sottoporre una nuova richiesta all’utente.
Il diritto all’accesso di propri dati
Gli utenti, grazie al regolamento entrato in vigore nel 2018 (anche se come detto c’è ancora qualche difficoltà di attuazione), possono sapere se i loro dati vengono elaborati, dove e a quale scopo. E le aziende che ne sono in possesso sono obbligate a fornirglieli.
Si chiama diritto di accesso ai propri dati. Le aziende e i professionisti, ma anche ogni sito Internet, devono fornire i dati personali al soggetto interessato, in modo gratuito e in formato elettronico, qualora esso lo richiedesse.
Gli utenti devono essere messi in grado di sapere in quale modo sono stati utilizzati i propri dati e gli deve essere data possibilità di limitarne l’uso, di rettificarli e di sporgere reclami alle autorità di supervisione.
Fra i diritti dell’utente vi è anche la portabilità dei dati. Gli utenti stessi hanno diritto di ricevere i propri dati personali, in un formato leggibile da una macchina, e trasmetterli a un altro ente. Anche in questo caso, serve il consenso della persona per la trasmissione delle informazioni.
Tale diritto dell’utente non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per esempio con dati che sono stati registrati all’anagrafe.
Il GDPR inserisce anche i concetti di liceità, correttezza e trasparenza nei confronti dell’utente che lascia, previo consenso, i propri dati. Esiste anche la limitazione delle finalità, ovvero i dati devono essere raccolti per finalità determinate, esplicite, legittime e trattati in base ad esse.
Con minimizzazione dei dati si intende il concetto secondo cui essi devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità dichiarate. Devono ovviamente essere esatti: si chiede che i dati stessi siano precisi ed aggiornati oppure tempestivamente rettificati o eliminati.
Se si è sempre detto che i dati restano online per sempre, con l’inserimento del GDPR del concetto di limitazione della conservazione, si fa in modo che essi siano conservati solo per il tempo necessario alla finalità del trattamento: assieme al diritto all’oblio, uno ottimo strumento.
Infine, esiste anche una forte tutela in caso di diffusione, perdita ed anche distruzione dei dati, tramite il concetto di integrità e riservatezza. Come si vede, l’impianto del regolamento è totalmente a favore dell’utente.
Le sanzioni previste: pesantissime!
Un fattore fondamentale è l’introduzione di sanzioni molto severe in caso di violazione di quanto prescritto dal GDPR. In caso di problematiche o di abusi sui dati, sono previste multe che arrivano ai 10 milioni di euro o al 2% del fatturato annuo se si verifica una mancata protezione dei dati.
Viene multata anche una carenza di misure che permettono la protezione stessa. addirittura, se a essere violati sono i principi ritenuti fondamentali, le multe possono raggiungere i 20 milioni o il 4% del fatturato dell’azienda.
Cosa deve fare un’azienda?
Come appare evidente, per un’azienda diventa importantissimo se non fondamentale adeguarsi al GDPR, per non incorrere in sanzioni che potrebbero compromettere l’esistenza stessa dell’attività. Per evitarle, in caso si accorga di una violazione, la deve tempestivamente comunicare.
La comunicazione va data al Garante entro 72 ore e ne devono essere informati anche tutti gli utenti che sono toccati dall’accaduto. Va da sé che per un’azienda è basilare un’organizzazione. Se ci hanno più di 250 dipendenti, è obbligatorio nominare un Responsabile della protezione dei dati (Data ProtectionOfficer o DPO).
Un’azienda, per tutelarsi, deve informare i suoi dipendenti in merito a quanto specificato dal GDPR, analizzare il suo sistema in modo da renderlo sicuro, mediante una comprensione dei rischi, e realizzare delle misure di prevenzione.
Deve essere pronta a informare il Garante in caso di problematiche, al fine di evitare sanzioni, e a di mettere in atto tecniche che garantiscono e tutelano la privacy dei soggetti interessati, come la cifratura dei dati, e la pseudonimizzazione degli stessi.
Data breach e le sue cause
Cosa può andare storto, coi dati? Potrebbe verificarsi un data breach, definito come un incidente – riguardante le informazioni dirette e indirette – che avviene in modo accidentale oppure a causa di un processo illecito, senza autorizzazione da parte dell’utente.
Esso può determinare la divulgazione, distruzione, modifica e perdita dei dati. Le cause principali di data breach sono l’accesso da parte di soggetti non autorizzati, il furto dei dispositivi contenti i dati oppure dei malware e dei virus.
Abbiamo fornito una panoramica generale sul GDPR. Se volete saperne di più, contattateci, noi di OsaTech siamo pronti a rispondere alle vostre domande, anche da remoto.