Tanto si è parlato in questo periodo del nuovo regolamento europeo sulla privacy, tra articoli e caselle di posta elettronica intasate da avvisi di newsletter, ma poco si conosce sulle implicazioni del GDPR.
Il Regolamento (UE) 2016/679 più conosciuto come “General Data Protection Regulation” (Regolamento generale sulla protezione dei dati) è stato introdotto nell’aprile 2016 dal legislatore europeo per sostituire la vecchia normativa vigente in materia, risalente al 1995, in un contesto economico ed informatico totalmente differente. L’applicazione del Regolamento è divenuta definitiva a partire dal 25 maggio di quest’anno, data entro la quale le imprese e pubbliche amministrazioni sono state chiamate ad adeguarsi alle nuove disposizioni. In un contesto in cui la condivisione e raccolta di informazioni personali, oltre che il loro scambio tra privati, imprese e soggetti pubblici, ha raggiunto livelli senza precedenti, si assiste alla necessità di ripensare interamente il concetto di protezione dei dati. L’evoluzione tecnologica e la facile disponibilità di una mole immensa di informazioni hanno aumentato il ruolo chiave giocato dai possessori e la loro posizione di potere, tramite la creazione del business più redditizio dei nostri tempi, quello dei dati appunto. Dalla condivisione di informazioni d’acquisto fino ai dati più personali, le aziende raccolgono informazioni utilizzandoli a scopi commerciali o rivendendole per i più svariati usi, come ormai noto alla cronaca.
Sulla base di queste considerazioni l’Unione Europea ha inteso creare un quadro più solido ed omogeneo nella protezione e gestione di questi dati, cercando di modificare radicalmente l’approccio alla materia e di spostare il potere dalle piattaforme ai cittadini. I dati personali vengono definiti all’art. 4.1 come “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, questo tramite “il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, dimostrando la vastità della loro portata. Le principali misure introdotte sono in primo luogo la maggiore responsabilizzazione da parte di chi detiene i dati, che dovrà costantemente promuovere l’informazione sulle attività svolte e sui diritti degli utenti – dovendo tra le altre cose impiegare un linguaggio comprensibile e meno tecnicistico. Il consenso dovrà essere espresso in modo inequivocabile, per libera ed informata intenzione dell’interessato, cercando di limitare il più possibile le informazioni che inconsapevolmente forniamo durante la navigazione. Sono previste una serie di sanzioni più severe in caso di inadempienza e si applicherà il principio dell’applicazione extra-territoriale delle disposizioni, coinvolgendo anche le aziende che utilizzano i dati dei cittadini europei pur avendo sede al di fuori del territorio dell’Unione – uno degli aspetti più rilevanti.
Vengono poi fissati chiaramente alcuni diritti in capo ai cittadini tra cui il diritto all’accesso a tutti i dati che li riguardano, a trasferirli da un titolare ad un altro, a limitare l’utilizzo degli stessi o a chiederne la cancellazione. Proprio quest’ultimo diritto, il c.d. right to be forgotten o “diritto all’oblio” è tra gli aspetti più rilevanti e sottovalutati del provvedimento. L’articolo 17 introduce espressamente una misura finora esistente solo in via giurisprudenziale e di difficile applicabilità: il diritto dell’interessato ad ottenere la cancellazione di tutti i dati che lo riguardano nel minor tempo possibile. Nel caso in cui l’utente faccia espressamente richiesta di cancellazione o revochi il consenso all’utilizzo dei dati, il soggetto in possesso delle informazioni deve garantirne la cancellazione da ogni supporto o database in suo possesso. Oltre a questa operazione il soggetto è tenuto a trasmettere la richiesta di cancellazione a tutte le altre aziende o amministrazioni a cui ha eventualmente trasmesso quelli stessi dati. Se un’azienda A cede o trasmette i dati a un’azienda B, al momento dell’espressa richiesta di ritirare il consenso all’utilizzo dei dati, l’azienda A dovrà comunicare a B e a tutte le altre aziende di disporre della cancellazione di ogni dato in loro possesso. Gli unici limiti a questo nuovo diritto riconosciuto a tutti gli utenti sono il diritto alla libertà di espressione e informazione o motivi di pubblico interesse (sanità, ricerca scientifica, storica o fini statistici).
Il diritto all’oblio non deve essere inteso come la facoltà di poter chiedere la cancellazione di qualsiasi contenuto web (immagini, notizie, link, contenuti) riguardanti un soggetto. In particolare, vi è un prevalere del diritto di informazione su quello alla cancellazione, non includendo ad esempio la possibilità di poter chiedere ad un motore di ricerca o un social network la rimozione di articoli che riguardano una persona. Tralasciando questa fattispecie – di non semplice definizione è da definire caso per caso -, non si può trascurare la portata di questa norma che va a ribaltare il tradizionale rapporto di forza da parte dei detentori delle informazioni, permettendo a qualsiasi cittadino di avanzare la pretesa legittima di vedere i propri dati cancellati (in modo garantito). Le aziende non potranno più opporre un generico rifiuto dovuto ad assenza di norme in materia ma si dovranno attendere alla richiesta. Un notevole passo in avanti nella difesa dell’identità personale e digitale.