GDPR: leva strategica per la nuova economia dei dati

Il dato è diventato negli anni una sorta di moneta di scambio nella economia della informazione e della conoscenza e ha acquisito un valore economico davvero significativo. Un nuovo paradigma impone una cultura del dato differente che pone il processo al centro. Un approfondimento di Teresella Consonni, alla luce della nuova normativa europea sulla protezione dei dati.

Le nuove tecnologie permettono di raccogliere dati  facilmente in particolare sul web e  di elaborarli confrontandoli con  enormi database che si generano magari mentre usiamo  oggetti  collegati alla rete. Internet delle cose - IoT, big data, behavioural advertising  e strumentazioni varie creano  depositi enormi e sempre crescenti di dati e di conoscenze che nascono dalla raccolta e classificazione delle  informazioni  o da dati  che si riferiscono a persone, a singoli individui, come ciascuno di noi.

Questi  dati,  grazie alle nuove tecnologie, diventano predittivi  e  attraverso i dati personali nascono spesso nuove opportunità per le imprese. Il dato personale, infatti, oggi è  diventato  una sorta di nuova materia prima (quasi fosse un petrolio differente) di una economia  differente, che si fonda sulla conoscenza e sulla elaborazione delle informazioni. I dati  sono ormai considerati un potenziale motore per lo sviluppo  economico e una fonte costante, spesso di successo, di nuovi business. Basti pensare ai protagonisti  ai primi posti delle graduatorie economiche  mondiali  per i risultati economici, da Google a Facebook…o a start-up  disruptive che creano e impongono nuovi modelli di sviluppo: da Uber a Airbnb.

In questo scenario diverso,  diviene essenziale prevenire possibili violazioni del dato e  bisogna acquisire una conoscenza di base  per sapere  come muoversi in questo ambito, che  è oggi fortemente regolamentato dalla introduzione del GDPR - Regolamento Generale sulla tutela dei dati personali 2016/679, che  definisce regole uniche per tutti i trattamenti di dati effettuati nel territorio dei Paesi membri della Unione europea. Dal 25 maggio 2018 il nuovo Regolamento dà inizio a una epoca  che apre spazi nuovi anche alla innovazione, grazie alle norme introdotte a tutela del diritto di esercitare un controllo sulle informazioni che riguardano una persona fisica. La definizione delle regole per usare i dati in modo legale  e condiviso su base europea apre la possibilità di poterne fare uso  per creare  nuovi prodotti e servizi, sviluppando fatturati e  creando nuovi posti di lavoro.

Obiettivo  delle nuove regole: mettere fine a numerose restrizioni di carattere giuridico o amministrativo che, sotto forma di obblighi, imponevano una gestione locale dei dati a livello nazionale tale da porre vincoli all’intero mercato  dei dati della Unione europea. Oggi, il mercato europeo ha regole condivise  dai Paesi che ne fanno parte attraverso il nuovo Regolamento e le impone sul mercato globale.

Il cambiamento in atto a seguito del GDPR,  percepito purtroppo dai più come una nuova e noiosa incombenza burocratica, è costituito dal cambio di prospettiva che si realizza attraverso la  introduzione delle nuove norme e dal dimensionamento univoco delle norme nell’ambito dei Paesi aderenti alla Unione europea.

Al centro delle normative di data protection  prima del GDPR era la persona: persona fisica, titolare di diritti, depositaria di interessi legittimi e di aspettative riconosciute  e tutelate  dalle norme in vigore fino al 25 maggio scorso: in questa logica l’interessato o  soggetto  al quale  si riferiscono i dati personali è stato considerato  vero protagonista della normativa e motivo per  il quale  la normativa precedente aveva introdotto i principi del consenso informato, del diretto potere di controllo degli interessati e del diritto a opporsi al trattamento dei dati.

Si proteggevano i dati per proteggere la persona di riferimento  ai dati ma la evoluzione tecnologica ha cambiato la visione e i dati  hanno acquistato valore in sé.

In Italia fino al 1996 non esistevano regolamentazioni per la protezione di ognuno di noi dall’uso improprio delle informazioni individuali: dati limitati e  allora di reperimento difficoltoso, dati oggettivi o di recapito, spesso contenuti in elenchi o archivi. All’epoca erano soprattutto dati statici, spesso non modificabili e con possibilità di  violazione limitate. A partire dal 1996  diventano molteplici le norme indirizzate a regolamentare  attività di comunicazione, utilizzazione di strumenti basati su tecnologie informatiche e database.

Nel tempo i legislatori della Unione europea,  così come quelli nazionali, hanno emanato norme, leggi e regolamenti che hanno avuto una profonda incidenza su acquisizione e uso di informazioni riferite o riferibili alle  persone.

Il dato è diventato negli anni una sorta di moneta di scambio nella economia della informazione e della conoscenza e ha acquisito un valore economico davvero significativo.

La Commissione europea ha riconosciuto la centralità  della tematica della protezione dei dati personali e l’ha inserita così in un contesto allargato ai cosiddetti open data. I dati sono destinati a essere sempre più materia prima alla base di servizi e prodotti innovativi e, in questa prospettiva, è stato necessario creare condizioni per un uso uniforme dei dati, senza barriere giuridiche e differenze normative tra gli stati  della Unione europea  in modo da arrivare a definire le basi per sviluppare una nuova economia, basata sulla utilizzazione di dati.

Il GDPR diventa perciò uno strumento  per  la competizione economica e permette ai soggetti attivi nel mercato europeo di  avere un insieme di regole condivise  alle quali anche i soggetti che operano fuori dalla Unione europea sono obbligati ad attenersi.  Le nuove norme trasformano la protezione dei dati personali da tematica di natura giuridica a leva strategica per la nuova economia dei dati.

Oggi i dati sono tutelati per ciò che sono  per la persona e  per il valore che hanno nella economia della conoscenza. Ecco perché  è diventato fondamentale  prevenire possibili violazioni del dato ed è importante che ognuno  di noi  abbia  le informazioni necessarie  per sapere come orientarsi in funzione della nuova normativa, in particolare  quando il dato sia  cardine per tutte le attività di relazione: non si deve delegare ad altri una conoscenza  che non è  da considerare legale o peggio burocratica  ma  che ci riguarda In primo luogo come persone depositarie dei propri dati. Siamo di fronte a un cambio di paradigma: meglio prenderne atto e agire in conseguenza.

Fino alla entrata in vigore del GDPR siamo stati abituati a considerare la privacy come un obbligo da rispettare, a volte  con comportamenti solo formali o affidati  a una supervisione tecnica e delegata all’esterno. Oggi il Regolamento europeo impone di cambiare mentalità e comportamenti: la privacy deve  diventare  un processo della organizzazione da gestire in ogni fase, da quella ideativa a quella esecutiva.

Il concetto alla base del cambiamento è evidente: i dati sono alla base di ogni tipologia di attività. Tutti, infatti, trattano dati personali: siano di clienti, di clienti potenziali, di dipendenti, di collaboratori, di fornitori.  E, nella era della comunicazione digitale, i dati sono diventati  come il petrolio:  materia prima ed elemento da elaborare e trattare in modo da  generare nuove opportunità di business e  fatturato per organizzazioni o soggetti che operano singolarmente.

La creazione di prodotti innovativi, di offerte per i consumatori vedono alla base profilazione e analisi dei dati ed è di vitale importanza proteggere il processo economico e produttivo che si alimenta  con i dati, in modo da  prevenire violazioni e  abusi nell’utilizzo delle informazioni personali e garantire condizioni certe allo sviluppo economico, senza venire meno alla protezione del dato personale.

E’ utile  forse ricordare alcuni degli elementi di novità introdotti dal GDPR.

Il nuovo quadro normativo  fa riferimento ai doveri e alla responsabilizzazione (accountability) del titolare del trattamento.

L'informativa della privacy diventa breve e priva di riferimenti normativi, deve essere comprensibile anche ai minori  di età e contenere  - come elementi in più rispetto a quanto già  in uso - origine dei dati e  tempo di conservazione previsto. La informativa  diventa uno strumento d’informazione e cessa di essere soltanto un adempimento  formale. Il titolare del trattamento  deve fornire attraverso la normativa  alla persona interessata tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile, facilmente accessibile e con un linguaggio, semplice e chiaro,  specialmente   quando  le  informazioni  siano destinate a  minori. La informativa può essere costruita  a strati, così da fornire ogni informazione in modo sintetico, rimandando  a specifiche illustrazioni di dettaglio.

Elementi utili da verificare come  presenti  nella informativa.

• Identità e  dati di contatto del titolare del trattamento.


• Dati di contatto del responsabile della protezione dei dati, ove applicabile.


• Finalità del trattamento al quale sono destinati i dati personali.


• Eventuali destinatari o eventuali categorie di destinatari dei dati personali.


• La intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a una organizzazione internazionale.


• Periodo di conservazione dei dati personali oppure, se non fosse possibile, criteri utilizzati per determinare tale periodo


• Esistenza del diritto della persona alla quale il dato appartiene di chiedere al titolare del trattamento accesso ai dati personali, rettifica


• Cancellazione degli stessi o limitazione del trattamento che la riguarda o  quello di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati in formato di facile trasferibilità.


• Esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.


• Il diritto di proporre reclamo a un’autorità di controllo.


• Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se la persona interessata ha obbligo di fornire i dati personali e le possibili conseguenze della mancata comunicazione di tali dati.


• Esistenza di un processo decisionale automatizzato (profilazione inclusa) e, almeno in tali casi, informazioni significative sulla logica utilizzata su importanza e conseguenze previste da tale trattamento per il soggetto interessato.


• Il consenso al trattamento dei dati cessa diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati.

Il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale la persona interessata manifesta una intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che la riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, oppure orale. Questo potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione oppure qualsiasi altro comportamento che indichi chiaramente nel contesto preso in esame che la persona interessata accetta il trattamento proposto.

Non dovrebbe pertanto configurare consenso inequivocabile  il consenso tacito oppure passivo o la preselezione di caselle. Un esempio  di consenso non equivoco, manifestato con azione positiva, è quello fornito quando, visualizzando una scritta che  informa che un sito visitato utilizza cookies,  si continua a navigare, accettando  di fatto così l’uso dei cookies.

Sono riconosciuti nuovi diritti, come quello alla portabilità dei dati, in base  al quale ogni persona potrà trasferire da un titolare  di trattamento dati a un altro i dati che la riguardano.

Le norme seguono il soggetto al quale i dati fanno riferimento: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti, elaborati e trattati da una società con sede extraeuropea.

Bisogna progettare la tutela dei dati personali e documentare l’attenzione specifica prestata all’analisi dei rischi connessi al trattamento di dati personali.

Violazione dei dati. Si parla di data breach notification: obbligo di segnalare all’Autorità le violazioni di dati subite. Chiunque tratta dati, in caso di una violazione, dovrà mettere in atto due differenti azioni: notificare la violazione all’Autorità di controllo, entro 72 ore dal fatto, segnalare al diretto interessato (senza ritardo ingiustificato) la violazione avvenuta. Il mancato rispetto di questo obbligo comporta sanzioni penali.

Il Documento programmatico sulla sicurezza  non c’è più  ma nasce il Data Protection Impact Assessment (DPIA), o documento di valutazione d’impatto nel trattamento dei dati. Si tratta di una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali. Chi raccoglie i dati deve effettuare una valutazione degli impatti determinati dal trattamento dei dati stessi  dal momento della progettazione del processo da parte della organizzazione e  in funzione degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento presenti rischi specifici per  diritti e  libertà delle persone  interessate.

Non c’è obbligo di notificazione al Garante e si introduce il registro dei trattamenti per alcune tipologie.

Le sanzioni, in caso di violazione, aumentano  in modo  davvero significativo.

Occorre agire subito per attivare una nuova cultura del dato e della privacy, acquisire nuove conoscenze e maggiore consapevolezza,  mappare le  banche dati di cui si è in possesso,  stilare nuovi documenti, attivare  i fornitori, stilare contratti differenti e, soprattutto, ripensare il  processo di trattamento dei dati e impegnarsi  nell’azione preventiva e di controllo. In questo modo si potrà  estrarre valore dalle informazioni di cui si può   disporre nel rispetto dei dati delle persone interessate  e delle nuove norme in vigore “Privacy is good for business”. Individuare in  modo tempestivo  le problematiche  che possono derivare da una attività e operare  in tranquillità, riducendo i rischi possibili per la inosservanza della normativa è una condizione importante per  salvaguardare ogni tipologia di attività.

Bisogna dedicare alla data protection una  speciale attenzione, qualsiasi sia il ruolo ricoperto all’interno di una organizzazione: non si deve dimenticare, infatti, che il dato è protagonista di un processo – sia all’interno sia all’esterno di una organizzazione – e tutti potrebbero intervenire  in un passo  qualsiasi del percorso fatto dal dato.  Da qui nasce anche la necessità di una formazione ad hoc riguardo la corretta applicazione del GDPR, sia  dei principi generali  sia per le questioni applicative essenziali in modo tale tutti possano operare con  totale consapevolezza del nuovo quadro normativo e  in totale tranquillità.

Il nuovo riferimento normativo: GDPR, composto da 99 articoli  e in vigore in tutti gli stati  della Unione europea dal 25 maggio  ha creato di fatto una importante ed efficace zona di salvaguardia nel mercato globale per la tutela e la salvaguardia del dato personale come è stato riconosciuto anche dagli esperti  (già hacker)  presenti, con soddisfazione, durante un seminario del DIG Festival di Riccione accreditato per la formazione dall’Ordine dei giornalisti sul tema: “Cybersecurity, controllo, sorveglianza, metodi per la protezione dei dati”. Il dato personale in Europa è davvero salvaguardato.

Va ricordato che il Garante mette a disposizione guide, moduli, istruzioni e tutorial per l’auto-valutazione dei rischi. Anche l’Authority britannica: ICO – Information Commissioner’s Office mette a disposizione  oltre a una guida anche una serie di test per essere in grado di valutare il proprio sistema di protezione dati, con checklist specifiche per attività differenti.

 

---

 

Oltre alle fonti citate le informazioni fanno riferimento a molte partecipazioni  di persona a incontri informativi, seminari e workshop sulla tematica e a molteplici newletter e siti sia italiani sia stranieri di consultazione quotidiana.