di Alice Valeria Zucchetti*
Da chi clicca sempre “acconsento” su tutti i pop up di siti-web a chi addirittura mette il nastro adesivo sulla telecamera del computer, gli atteggiamenti verso la protezione dei nostri dati personali e la nostra privacy sono molteplici. Tuttavia, è innegabile che queste tematiche sono diventate il fulcro della nostra quotidianità.
Recentemente il Regolamento generale per la protezione dei dati personali detto anche GDPR, dall’inglese General Data Protection Regulation, ha compiuto tre anni. Il GDPR è al momento la principale normativa europea in materia di protezione dei dati personali, nonostante sia entrato in vigore il 24 maggio 2016, la sua attuazione è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018.
La nascita
L’Europa ha trattato il tema della privacy anche prima del GDPR. L’avvocato Lapo Curini Galletti, esperto di privacy, ricorda: “la privacy in Europa nasce a metà degli anni Novanta con la Direttiva 95/46/CE del Parlamento europeo e del Consiglio. A partire quindi da tale normativa negli anni sono nati e si sono evoluti tutti gli istituti privacy sia in seno agli Stati Membri sia a livello comunitario”. Riassumendo: ogni Stato Membro ha emanato leggi sulla privacy e ha istituito il proprio organo con funzioni di controllo, mentre l’UE ha portato avanti interpretazioni della normativa comunitaria e ha emanato altre direttive volte a regolare settori specifici. Tuttavia, l’esigenza di una semplificazione e uniformità a livello comunitario in concomitanza con la velocissima evoluzione delle tecnologie hanno reso necessario un innalzamento del livello di guardia e di tutela. In risposta a queste necessità nasce il GDPR, che, come afferma l’Avvocato, non è “una rivoluzione nel mondo della privacy ma un’importante riorganizzazione di tutto il pregresso”.
I cambiamenti
Tre sono le grandi novità introdotte dal GDPR.
La prima: l’introduzione di un più ampio ambito di applicazione territoriale. Questo implica che la normativa si applica sia se il soggetto che tratta i dati sia se il soggetto a cui quest’ultimi si riferiscono è stabilito nel territorio europeo. Di conseguenza, “se una società con sede al di fuori dell’Unione tratta dati di un soggetto europeo (o comunque che si trovi su territorio europeo) dovrà obbligatoriamente rispettare il GDPR.”
La seconda: “la crescita degli importi delle sanzioni impone maggiore attenzione alla privacy e il rispetto delle regole a tutti i player del mercato, indipendentemente dalle dimensioni degli stessi”, afferma l’Avvocato.
La terza: il GDPR ha introdotto la c.d. “accountability", in italiano responsabilizzazione. Dal 25 maggio 2018, con l’introduzione dell’accountability, le valutazioni sui rischi del trattamento e sulle misure idonee a eliminarli passano interamente in capo al soggetto che tratta i dati. Infatti, questo è l’unico soggetto responsabile del trattamento dati individuato dal GDPR. A proposito di Accountability, l’avvocato Lapo Curini Galletti chiarisce che “chi tratta dati - ancor prima di iniziare - dovrà progettare il proprio sistema privacy per ogni attività e successivamente trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali finalità”.
Differenze fra paesi ed effetti della Brexit
Il GDPR è un regolamento e, in quanto tale, è attuato allo stesso modo in suddetti Stati senza margini di libertà nell'adattamento. Tuttavia, l’Avvocato specifica “la normativa privacy europea, grazie al GDPR, ha raggiunto un più alto livello di omogeneità rispetto al passato ma ancora non una perfetta uniformità. Infatti in conseguenza proprio delle parti per le quali il GDPR prevede espressamente possibilità di deroga nonché a causa dell’estrema genericità di alcune sue previsioni, alcune differenze di interpretazione e/o di approccio permangono”.
Per quanto riguarda il Regno Unito, da poco effettivamente uscito dall’Unione Europea, “in realtà tutto è ancora in fieri ma a breve dovremmo avere un’idea più chiara dello scenario definitivo”, afferma l’avvocato Lapo Curini Galletti. Tuttavia, è certo che “le società che hanno sede nel Regno Unito, dal 1° gennaio 2021, sono soggette alla legislazione inglese che prevede — nell’ambito del trattamento dei dati — l’aggiornamento di tutta la documentazione privacy che dovrà fare riferimento esplicito all’Information Commissioner’s Office, l’autorità di riferimento per la protezione dei dati in UK”. Per ora, continua l’Avvocato, “se un soggetto con sede all’interno dell’UE deve effettuare un qualsiasi trasferimento di dati nel Regno Unito per un’azienda cliente o un fornitore, il trattamento deve fare riferimento al GDPR europeo sicuramente fino al 30 giugno 2021”.
Le grandi aziende OTT
Le grandi aziende che procurano solamente attraverso internet servizi o contenuti, dette anche OTT (aziende over-the-top), come Facebook, Netflix, Amazon e Google, “non potranno più eludere la normativa dal momento che non conta più in alcun modo se la sede sia o meno all’interno del territorio comunitario, né ignorare eventuali sanzioni in quanto queste potranno arrivare anche al 4% del fatturato mondiale annuo dell’impresa”, spiega l’Avvocato.
Di conseguenza, dopo l’attuazione del GDPR, la relazione fra gli utenti e queste aziende è cambiata, come l’avvocato Lapo Curini Galletti sostiene “da una parte le aziende sono molto più attente ad una perfetta conformità rispetto alla normativa, dall’altra gli utenti, anche in conseguenza del clamore mediatico creato intorno al GDPR, si dimostrano molto più consapevoli ed esigenti.”
Gli utenti
Tornando a noi utenti, se nella maggior parte dei casi la preoccupazione è ingiustificata, comunque l’Avvocato ricorda che “molte nuove tecnologie, piattaforme social, strumenti nascono e esplodono così velocemente che, anche volendo, non sarebbe umanamente possibile prevederne a priori la portata e gli effetti in relazione alla protezione dei dati”. Di conseguenza lui stesso consiglia di “non diffondere mai per primi i nostri dati personali senza una reale necessità.” Infine, suggerisce di utilizzare senza timore gli strumenti garantiti dal GDPR per far valere i propri diritti e conclude: “Quindi consiglio, qualora sia necessario, di utilizzare senza timore tali strumenti e di non perdere tempo e tutelare i propri diritti”.
*studentessa liceale italiana di diciotto anni, selezionata per un programma speciale di formazione giornalistica in seno all’agenzia di stampa Adnkronos International.
