Il GDPR (Regolamento Generale sulla Protezione dei Dati) è la normativa europea che tutela il trattamento dei dati personali e la privacy, è entrata in vigore nel 2016 ed è operativa dal 2018. Questo Regolamento ha introdotto nuove figure di professionisti (in realtà già presenti in alcune legislazioni europee) altamente qualificate che si occupano di gestire e valutare il trattamento dei dati personali nel rispetto delle normative europee e nazionali.
Oggi ospitiamo virtualmente Fabio Turano, professionista della Protezione dei Dati Personali, quella che chiamiamo un po’ impropriamente “privacy”! Grazie infinite per aver accettato la nostra intervista!
Perché si dovrebbe parlare di protezione dei dati personali e non di privacy?
I due concetti, anche se intersecabili, sono abbastanza diversi: quando parliamo di privacy vogliamo intendere genericamente la protezione della nostra intimità da agenti esterni; la protezione dei dati personali è un concetto più ampio, anche se strumentalmente legato alla protezione della privacy.
La generazione continua di dati personali, possiamo dirlo, è forse ciò che più contraddistingue il vivere moderno, e questi dati personali sono un po’ una rappresentazione della nostra vita privata ed un po’ una chiave una d’accesso ad essa; ogni giorno compiamo un’infinità di azioni attraverso le quali creiamo e comunichiamo i nostri dati personali: quando usiamo un social network creiamo una nostra proiezione con i nostri dati con cui vogliamo esprimere la nostra personalità, quando effettuiamo un acquisto online deleghiamo alla nostra identità digitale, costituita da dati quali nome, indirizzo e numero di carta di credito di svolgere quell’attività che un tempo facevamo in negozio.
Ma non solo… anche quando ci rechiamo in un ospedale, i medici creano una cartella con le nostre anamnesi e tutte le informazioni necessarie alle nostre cure! Potremmo stare ore ad elencare gli infiniti modi con cui questi dati vengono generati e raccolti e gli scopi per cui i trattamenti avvengono, perciò limitiamoci a dire che possono riguardare qualsiasi nostra attività, che ne siamo consapevoli o meno.
Purtroppo infiniti sono anche i rischi e gli utilizzi illeciti che se ne possono fare, pertanto questi dati devono essere protetti non solo dagli occhi indiscreti di chi vorrebbe compiere verso di noi un’azione più o meno dannosa ma comunque non dovuta, ma anche dalla possibilità che vengano manipolati e dispersi: pensiamo alla possibilità che i nostri pagamenti online vengano dirottati verso un destinatario non dovuto; in tal caso subiremo un vero e proprio furto, oppure, ipotesi estrema, se i dati di alcune analisi contenuti nella cartella clinica a cui abbiamo accennato prima venissero manipolati, il paziente subirebbe cure sbagliate e questo potrebbe comportare gravissime conseguenze alla sua salute.
Perché l’attenzione verso la protezione dei dati personali é diventata così importante negli ultimi anni?
L’evoluzione tecnologica che permette di utilizzare i nostri dati personali ci ha aperto tantissime possibilità che chi è venuto prima di noi forse non riusciva neanche ad immaginare, e che contraddistinguono ormai il vivere moderno. Non si deve essere quindi troppo critici o allarmisti verso questi strumenti, ma dobbiamo tenere bene in conto che a fianco a questi vantaggi offertici dalla tecnologia esistono per noi utenti tanti rischi e tanti costi nascosti a cui non facciamo quasi mai la dovuta attenzione.
Con i dati che forniamo, tramite alcune aggregazioni ed analisi, ormai del tutto automatizzabili, è possibile creare dei nostri profili che dicono chi siamo come utenti, consumatori, cittadini, elettori, ecc..
Tutti noi ci saremo resi conto di come le pubblicità sui vari siti che visitiamo riescono incredibilmente ad anticipare quello che potrebbe interessarci e ce lo propongono con delle modalità che sono in grado di farci decidere di acquistarlo. Ciò può non sembrare una conseguenza necessariamente sgradevole, ma dobbiamo riflettere sulle modalità con cui quel sito ha potuto proporci questo affare: sicuramente, tempo prima, abbiamo fornito una informazione, ed in quel momento noi abbiamo fatto uno scambio col fornitore del servizio: noi potevamo usufruire di quel servizio online, apparentemente gratis, e quindi ricavare qualche like sui social o qualche altro effimero servizio, il fornitore ha potuto mettere in piedi una campagna di vendite che gli è fruttata tantissimo denaro, il tutto pensando che quel servizio fosse un regalo ma in realtà, il regalo lo abbiamo fatto noi!
Ma esistono scenari decisamente più inquietanti sullo scopo di queste profilazioni.
Ricorderete lo scandalo Cambridge Analytics: in quel caso i dati personali furono utilizzati per creare dei profili sulle aspettative politiche degli elettori in modo che fossero destinatari di spot elettorali di tenore diverso (più estremisti ed aggressivi se l’utente era profilato come testa calda, più rassicuranti se era individuato come una persona moderata) da parte dello stesso candidato, in modo che elettori di indole diversa fossero egualmente convinti di votare per una persona corrispondente alle proprie aspettative. In questo modo, con un pugno di dati personali è stato manipolato l’intero sistema democratico.
E volendo si possono individuare scopi ancora più raccapriccianti: una persona corrispondente ad un certo profilo potrebbe essere considerata sgradevole ad alcune persone e gruppi, e quindi oggetto di discriminazione e stigmatizzazione, e quindi essere oggetto di persecuzione: in alcune parti del mondo questo scenario dispotico è già realtà.
Tutto ciò senza parlare dell’uso che possono farne persone o gruppi che esplicitamente si comportano da criminali: banalmente un immaginifico hacker (ma anche una persona semplicemente malintenzionata e non per necessariamente un genio del computer) potrebbe utilizzare i dati della nostra carta di credito per prelevare il nostro denaro oppure uno stalker potrebbe conoscere la posizione della sua vittima designata per compiere i suoi atti persecutori.
Addirittura, per porre un’ipotesi estrema, se i dati di alcune analisi contenuti nella cartella clinica a cui abbiamo accennato prima venissero manipolati, il paziente subirebbe cure sbagliate e questo potrebbe comportare gravissime conseguenze alla sua salute, addirittura letali.
A rimarcare ulteriormente la delicatezza del tema, dobbiamo tener presenti che i rischi che possono derivare dal trattamento dei dati personali non derivano necessariamente da criminali malintenzionati, ma molto spesso sono frutto semplicemente di errori strumentali o di disattenzione delle persone che con quei dati ci lavorano, e di conseguenza anche da questi dobbiamo tutelarci.
Può spiegare ai nostri lettori chi è un un professionista della protezione dei dati personali? Quali sono le sue responsabilità all’interno dell’azienda?
Un professionista della Protezione dei Dati Personali è un esperto che aiuta le aziende e le istituzioni ad assumere comportamenti che non mettano a rischio le persone a cui i dati fanno riferimento e che siano conformi alle leggi in materia le quali sono sempre più stringenti e per le quali possono essere erogate multe salatissime.
Per riuscire in questo compito è essenziale che sia un po’ un factotum, in quanto deve dimostrare capacità in diversi ambiti:In primo luogo esso è uno specialista sulla Sicurezza dell’Informazione, cioè lo studio di tutte quelle attività e prassi che permettono alle organizzazioni di difendere le informazioni trattate dall’organizzazione dai tanti rischi a cui sono sottoposte e che abbiamo visto sono molteplici e di diversa natura. Non si tratta di una semplice serie di misure da intraprendere, quanto dell’adozione di una strategia aziendale che deve tener conto di diversi fattori con lo scopo di contenere i rischi.
A fianco a ciò, esso deve essere dotato delle competenze giuridiche per interpretare la normativa e le varie indicazioni provenienti dalle autorità giudiziarie o dall’Autorità Garante per la Protezione dei Dati personali, ciò perché, giova sicuramente ripeterlo, la Protezione dei Dati Personali è un diritto degli individui, e non solo un semplice processo aziendale.
Di recente si è parlato molto del nuovo riordino legislativo della materia a livello comunitario comportato dall’entrata in vigore del Regolamento Europeo 679/2016, meglio noto come General Data Protection Regulation, ovvero il GDPR.
Il GDPR è una norma molto particolare se confrontata con le precedenti regolamentazioni in materia: fra i tantissimi aspetti interessanti di questo Regolamento (che ometteremo per ovvie ragioni di spazio) segnaliamo come esso non imponga una serie puntuale di adempimenti, ma più genericamente di rispettare e tutelare i diritti e le libertà delle persone fisiche cui i dati fanno riferimento, di conseguenza il comportamento da tenere passa per un’attenta valutazione, caso per caso, di quali conseguenze possono derivare dai trattamenti per gli individui coinvolti e questa attività può essere particolarmente ardua e delicata.
Per rendere effettiva la tutela delle persone fisiche, il GDPR richiede alle organizzazioni di essere in grado di dimostrare la correttezza dei loro trattamenti e l’adeguatezza dell’impianto di protezione dei dati personali.
Per le organizzazioni che non sono in grado di conformarsi al GDPR le conseguenze possono essere gravissime in quanto la norma è lapidaria nell’imporre sanzioni salatissime ai trasgressori, le quali possono raggiungere ben 20 milioni di Euro o, addirittura, se superiori, cifre pari al 4% del fatturato globale dell’impresa, quindi una cifra che per le grandi multinazionali può superare il miliardo di Euro.
Può darci qualche consiglio pratico per tutelare la nostra privacy nella vita virtuale?
C’è un solo consiglio per questo scopo, cioè quello di aumentare il più possibile la nostra consapevolezza sui rischi cui andiamo incontro, sulle norme che ci tutelano e soprattutto sulle persone cui ci interfacciamo quando esponiamo i nostri dati; ricordiamoci di dare sempre la dovuta attenzione al valore dei nostri dati quando li scambiamo con qualche servizio online che ci sembra gratis ma che gratis non è!
Cerchiamo di ricordarci che quando inseriamo una nostra informazione o una nostra foto online ne perderemo per sempre il controllo, e teniamo conto che spesso generiamo dati a nostra insaputa, come quando il nostro cellulare trasmette la nostra posizione o quando utilizziamo un dispositivo in qualche modo connesso alla rete.
Cerchiamo sempre di informarci sull’uso che verrà dei dati personali: tanto gli operatori virtuali quanto quelli che incontriamo nella nostra vita reale sono costretti a fornirci delle informazioni nel momento della raccolta dei dati, quindi diamogli una lettura anche se la cosa può sembrarci noiosa.
Ovviamente un servizio che si impegna nella raccolta dei nostri dati senza fornire un’idonea informativa non è un servizio affidabile. In ogni caso pensiamoci due volte prima di fornire autorizzazioni per servizi di cui possiamo farne a meno, o almeno cerchiamo di capire quali saranno i dati oggetto di questa autorizzazione e fate attenzione soprattutto alle app che installiamo sul nostro cellulare: se un servizio come un videogioco richiede l’accesso alla memoria del cellulare, alla rubrica, alla fotocamera o al microfono, è evidente che ci sta chiedendo dei dati ulteriori rispetto a quelli necessari per far funzionare la applicazione.
Dopo quest’intervista abbiamo decisamente le idee più chiare 🙂
La ringraziamo nuovamente per queste preziose informazioni, per i suoi consigli e per il tempo che ci ha dedicato 🙂
A presto cari lettori!
Seguimi su Facebook Seguimi su Instagram
