Ancor maggiore preoccupazione ha provocato sulla possibilità in capo al proprietario di quei dati di controllare per quali mani e per quali occhi passeranno le informazioni che lo riguardano, e quale uso ne verrà fatto da quelle mani e da quegli occhi. La complessità della questione relativa al trattamento dei dati personali in rete deriva dalla complessità che ciascuno porta dentro di sé, perché il livello di tutela parte dalla risposta a una domanda che ogni utente si pone non solo nel momento in cui divulga un dato personale, ma anche laddove si limiti a visitare passivamente una pagina web. Questo perché ogni sito, ogni applicazione, ogni social network di cui usufruiamo prende un pezzetto di quello che siamo concretamente, non solo della nostra rappresentazione virtuale.
Scandalo Facebook: come difenderci dal Truman show?
25 Marzo 2018
di Chiara Gaiani
La moneta con cui paghiamo
I dati personali rappresentano dunque la valuta con la quale si paga il godimento del servizio. È cosa ovvia, ma il concetto di gratuità di un servizio esclude l’esborso economico da parte del fruitore, non l’arricchimento del fornitore. Arricchimento che deriva, in parte, dalla cessione a terzi dei dati personali degli utenti. I dati, tuttavia, lungi dall’essere una semplice merce di scambio, identificano noi tutti per quel che siamo, sia nella rete che nella realtà. Ed è naturale pretendere che le informazioni su chi siamo (ed anche su come desideriamo apparire) siano in possesso esclusivamente di coloro a cui noi stessi abbiamo deciso di affidarle e che vengano trattate secondo le modalità e per le finalità cui si è acconsentito.
Da un lato, dunque, la voglia, l’esigenza e l’opportunità di utilizzare il web nella sua globalità, dall’altro la necessità di vedere tutelata la propria privacy.
Anche se web e privacy paiono in ogni caso non unirsi in un binomio solido e omogeneo, con l’avvento ormai prossimo del GDPR (acronimo di General Data Protection Regulation: è il Regolamento europeo 2016/679; sostituirà la normativa applicata nei diversi Stati e la unificherà nei 27 Stati membri, con effetti sanzionatori dal 25 maggio 2018). Si assisterà ad una maggior regolamentazione del trattamento dei dati anche in ambito dei social network ed proprio grazie al Regolamento Europeo che l’interessato potrà dormire sonni un po’ più tranquilli.
È scontato che se qualcuno volesse mantenere un riserbo sulle proprie attività, preferenze, compagnie o necessità dovrebbe condividere e pubblicare il meno possibile, ma è vero che non è pensabile rimanere estranei al mondo digitale, alla sua comodità ed ad alle opportunità che ogni giorno semplificano la vita di milioni di utenti.
Arrivano le nuove norme europee
Molteplici le novità che si leggono nella normativa europea: essa si applicherà non solo ai titolari che trattano dati in territorio dell’Unione Europea, ma anche a coloro che, pur stabiliti al di fuori di essa, svolgono determinate attività di trattamento; è prevista e richiesta una maggiore trasparenza; il consenso viene vestito di maggiori consapevolezze e garanzie; i diritti degli interessati vedono un’espansione positiva e le sanzioni in caso di violazione dei dati assumono caratteristiche draconiane.
Molto importante è il diritto alla portabilità dei dati personali che viene normato prevedendo, in sostanza, che l’interessato possa riavere i dati personali da lui forniti ad un titolare del trattamento, nel caso in cui il trattamento sia stato effettuato sulla base di un consenso esplicito e con mezzi automatizzati.
Il Regolamento precisa anche che, qualora sia tecnicamente fattibile, l’interessato ha il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare di trattamento ad un altro. Nel caso dei social network i dati forniti dall’utente al momento dell’iscrizione integrano entrambi i requisiti previsti dalla norma ed è pacifico, dunque, che possa essere fatto valere il diritto alla portabilità dei dati. Se tutto ciò è vero, come è, nel momento in cui un qualsiasi utente iscritto ad uno specifico social network decida di cancellare il proprio account, potrà richiedere che i propri dati vengano ricevuti e trasferiti ad un altro titolare e che non vengano conservati ‘a vita’ da un social provider.
Che i nostri dati non possano essere in linea di massima conservati a vita è dato che si ricava dallo stesso Regolamento, laddove prevede che l’informativa all’interessato debba esplicitamente indicare il periodo di conservazione dei dati personali.
Altra novità contenuta nel GDPR è la previsione del diritto all’oblio, che altro non è se non il diritto dell’interessato ad essere dimenticato. Esso è esercitabile dall’interessato quando i suoi dati personali non siano più necessari per le finalità per cui sono stati raccolti, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati che lo riguardano o quando il trattamento stesso non sia conforme al Regolamento. Prevede il considerando 66 al Regolamento che tale diritto sia esteso, nell’ambiente online, in modo da obbligare il titolare che ha pubblicato dati personali a informare i titolari del trattamento di cancellare qualsiasi link verso tali dati, copia o riproduzione di detti.
Questo strumento potrà agevolare moltissimo chi ha voglia di tornare nell’anonimato, quanto meno riguardo a determinate circostanze o fatti, ma non risolve il vero problema determinato dal fatto che una volta che si immette un qualsiasi dato nella rete, di fatto, se ne perde il controllo.
Infatti, se si pubblica una foto o un commento, nel momento in cui si clicca “invio”, automaticamente si affida alla mercé di chiunque quell’informazione: tutti coloro che hanno accesso al quel dato potrebbero salvarlo, pubblicarlo altrove, utilizzarlo per qualsiasi fine a noi non noto e non conoscibile.
Detto ciò, il GDPR apporta molte altre novità importanti in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali (per esempio la profilazione, la privacy by design e by default, la DPIA …). Le norme, però, non sono uno strumento onnipotente: siamo noi, proprietari di quei dati che vogliamo difesi e tutelati, a doverli difendere e tutelare in prima persona. E quindi, oltre a muoverci con passi felpati nel dispensare informazioni su di noi, iniziamo a leggere le informative sulla privacy invece che cliccare di default “accetto”, così da poter pretendere poi che i nostri diritti, se lesi, trovino conforto e tutela nell’apparato normativo.