GDPR: leva strategica per la nuova economia dei dati
12/06/2018
Il dato è diventato negli anni una sorta di moneta di scambio nella economia della informazione e della conoscenza e ha acquisito un valore economico davvero significativo. Un nuovo paradigma impone una cultura del dato differente che pone il processo al centro. Un approfondimento di Teresella Consonni, alla luce della nuova normativa europea sulla protezione dei dati.
Le nuove tecnologie permettono di raccogliere dati facilmente in particolare sul web e di elaborarli confrontandoli con enormi database che si generano magari mentre usiamo oggetti collegati alla rete. Internet delle cose - IoT, big data, behavioural advertising e strumentazioni varie creano depositi enormi e sempre crescenti di dati e di conoscenze che nascono dalla raccolta e classificazione delle informazioni o da dati che si riferiscono a persone, a singoli individui, come ciascuno di noi.
Questi dati, grazie alle nuove tecnologie, diventano predittivi e attraverso i dati personali nascono spesso nuove opportunità per le imprese. Il dato personale, infatti, oggi è diventato una sorta di nuova materia prima (quasi fosse un petrolio differente) di una economia differente, che si fonda sulla conoscenza e sulla elaborazione delle informazioni. I dati sono ormai considerati un potenziale motore per lo sviluppo economico e una fonte costante, spesso di successo, di nuovi business. Basti pensare ai protagonisti ai primi posti delle graduatorie economiche mondiali per i risultati economici, da Google a Facebook…o a start-up
disruptive che creano e impongono nuovi modelli di sviluppo: da Uber a Airbnb.
In questo scenario diverso, diviene essenziale prevenire possibili violazioni del dato e bisogna acquisire una conoscenza di base per sapere come muoversi in questo ambito, che è oggi fortemente regolamentato dalla introduzione del GDPR - Regolamento Generale sulla tutela dei dati personali 2016/679, che definisce regole uniche per tutti i trattamenti di dati effettuati nel territorio dei Paesi membri della Unione europea. Dal 25 maggio 2018 il nuovo Regolamento dà inizio a una epoca che apre spazi nuovi anche alla innovazione, grazie alle norme introdotte a tutela del diritto di esercitare un controllo sulle informazioni che riguardano una persona fisica. La definizione delle regole per usare i dati in modo legale e condiviso su base europea apre la possibilità di poterne fare uso per creare nuovi prodotti e servizi, sviluppando fatturati e creando nuovi posti di lavoro.
Obiettivo delle nuove regole: mettere fine a numerose restrizioni di carattere giuridico o amministrativo che, sotto forma di obblighi, imponevano una gestione locale dei dati a livello nazionale tale da porre vincoli all’intero mercato dei dati della Unione europea. Oggi, il mercato europeo ha regole condivise dai Paesi che ne fanno parte attraverso il nuovo Regolamento e le impone sul mercato globale.
Il cambiamento in atto a seguito del GDPR, percepito purtroppo dai più come una nuova e noiosa incombenza burocratica, è costituito dal cambio di prospettiva che si realizza attraverso la introduzione delle nuove norme e dal dimensionamento univoco delle norme nell’ambito dei Paesi aderenti alla Unione europea.
Al centro delle normative di
data protection prima del GDPR era la persona: persona fisica, titolare di diritti, depositaria di interessi legittimi e di aspettative riconosciute e tutelate dalle norme in vigore fino al 25 maggio scorso: in questa logica l’interessato o soggetto al quale si riferiscono i dati personali è stato considerato vero protagonista della normativa e motivo per il quale la normativa precedente aveva introdotto i principi del consenso informato, del diretto potere di controllo degli interessati e del diritto a opporsi al trattamento dei dati.
Si proteggevano i dati per proteggere la persona di riferimento ai dati ma la evoluzione tecnologica ha cambiato la visione e i dati hanno acquistato valore in sé.
In Italia fino al 1996 non esistevano regolamentazioni per la protezione di ognuno di noi dall’uso improprio delle informazioni individuali: dati limitati e allora di reperimento difficoltoso, dati oggettivi o di recapito, spesso contenuti in elenchi o archivi. All’epoca erano soprattutto dati statici, spesso non modificabili e con possibilità di violazione limitate. A partire dal 1996 diventano molteplici le norme indirizzate a regolamentare attività di comunicazione, utilizzazione di strumenti basati su tecnologie informatiche e database.
Nel tempo i legislatori della Unione europea, così come quelli nazionali, hanno emanato norme, leggi e regolamenti che hanno avuto una profonda incidenza su acquisizione e uso di informazioni riferite o riferibili alle persone.
Il dato è diventato negli anni una sorta di moneta di scambio nella economia della informazione e della conoscenza e ha acquisito un valore economico davvero significativo.
La Commissione europea ha riconosciuto la centralità della tematica della protezione dei dati personali e l’ha inserita così in un contesto allargato ai cosiddetti
open data. I dati sono destinati a essere sempre più materia prima alla base di servizi e prodotti innovativi e, in questa prospettiva, è stato necessario creare condizioni per un uso uniforme dei dati, senza barriere giuridiche e differenze normative tra gli stati della Unione europea in modo da arrivare a definire le basi per sviluppare una nuova economia, basata sulla utilizzazione di dati.
Il GDPR diventa perciò uno strumento per la competizione economica e permette ai soggetti attivi nel mercato europeo di avere un insieme di regole condivise alle quali anche i soggetti che operano fuori dalla Unione europea sono obbligati ad attenersi. Le nuove norme trasformano la protezione dei dati personali da tematica di natura giuridica a leva strategica per la nuova economia dei dati.
Oggi i dati sono tutelati per ciò che sono per la persona e per il valore che hanno nella economia della conoscenza. Ecco perché è diventato fondamentale prevenire possibili violazioni del dato ed è importante che ognuno di noi abbia le informazioni necessarie per sapere come orientarsi in funzione della nuova normativa, in particolare quando il dato sia cardine per tutte le attività di relazione: non si deve delegare ad altri una conoscenza che non è da considerare legale o peggio burocratica ma che ci riguarda In primo luogo come persone depositarie dei propri dati. Siamo di fronte a un cambio di paradigma: meglio prenderne atto e agire in conseguenza.
Fino alla entrata in vigore del GDPR siamo stati abituati a considerare la privacy come un obbligo da rispettare, a volte con comportamenti solo formali o affidati a una supervisione tecnica e delegata all’esterno. Oggi il Regolamento europeo impone di cambiare mentalità e comportamenti: la privacy deve diventare un processo della organizzazione da gestire in ogni fase, da quella ideativa a quella esecutiva.
Il concetto alla base del cambiamento è evidente: i dati sono alla base di ogni tipologia di attività. Tutti, infatti, trattano dati personali: siano di clienti, di clienti potenziali, di dipendenti, di collaboratori, di fornitori. E, nella era della comunicazione digitale, i dati sono diventati come il petrolio: materia prima ed elemento da elaborare e trattare in modo da generare nuove opportunità di business e fatturato per organizzazioni o soggetti che operano singolarmente.
La creazione di prodotti innovativi, di offerte per i consumatori vedono alla base profilazione e analisi dei dati ed è di vitale importanza proteggere il processo economico e produttivo che si alimenta con i dati, in modo da prevenire violazioni e abusi nell’utilizzo delle informazioni personali e garantire condizioni certe allo sviluppo economico, senza venire meno alla protezione del dato personale.
E’ utile forse ricordare alcuni degli elementi di novità introdotti dal GDPR.
Il nuovo quadro normativo fa riferimento ai doveri e alla responsabilizzazione (
accountability) del titolare del trattamento.
L'informativa della privacy diventa breve e priva di riferimenti normativi, deve essere comprensibile anche ai minori di età e contenere - come elementi in più rispetto a quanto già in uso - origine dei dati e tempo di conservazione previsto. La informativa diventa uno strumento d’informazione e cessa di essere soltanto un adempimento formale. Il titolare del trattamento deve fornire attraverso la normativa alla persona interessata tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile, facilmente accessibile e con un linguaggio, semplice e chiaro, specialmente quando le informazioni siano destinate a minori. La informativa può essere costruita a strati, così da fornire ogni informazione in modo sintetico, rimandando a specifiche illustrazioni di dettaglio.
Elementi utili da verificare come presenti nella informativa.
- Identità e dati di contatto del titolare del trattamento.
- Dati di contatto del responsabile della protezione dei dati, ove applicabile.
- Finalità del trattamento al quale sono destinati i dati personali.
- Eventuali destinatari o eventuali categorie di destinatari dei dati personali.
- La intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a una organizzazione internazionale.
- Periodo di conservazione dei dati personali oppure, se non fosse possibile, criteri utilizzati per determinare tale periodo
- Esistenza del diritto della persona alla quale il dato appartiene di chiedere al titolare del trattamento accesso ai dati personali, rettifica
- Cancellazione degli stessi o limitazione del trattamento che la riguarda o quello di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati in formato di facile trasferibilità.
- Esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca.
- Il diritto di proporre reclamo a un’autorità di controllo.
- Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se la persona interessata ha obbligo di fornire i dati personali e le possibili conseguenze della mancata comunicazione di tali dati.
- Esistenza di un processo decisionale automatizzato (profilazione inclusa) e, almeno in tali casi, informazioni significative sulla logica utilizzata su importanza e conseguenze previste da tale trattamento per il soggetto interessato.
- Il consenso al trattamento dei dati cessa diventa un consenso inequivocabile e quindi desumibile in base ai comportamenti degli interessati.
Il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale la persona interessata manifesta una intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che la riguardano siano oggetto di trattamento, ad esempio mediante dichiarazione scritta, anche elettronica, oppure orale. Questo potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione oppure qualsiasi altro comportamento che indichi chiaramente nel contesto preso in esame che la persona interessata accetta il trattamento proposto.
Non dovrebbe pertanto configurare consenso inequivocabile il consenso tacito oppure passivo o la preselezione di caselle. Un esempio di consenso non equivoco, manifestato con azione positiva, è quello fornito quando, visualizzando una scritta che informa che un sito visitato utilizza cookies, si continua a navigare, accettando di fatto così l’uso dei cookies.
Sono riconosciuti nuovi diritti, come quello alla portabilità dei dati, in base al quale ogni persona potrà trasferire da un titolare di trattamento dati a un altro i dati che la riguardano.
Le norme seguono il soggetto al quale i dati fanno riferimento: ogni cittadino europeo ha diritto di vedere applicato il regolamento europeo anche quando i dati sono raccolti, elaborati e trattati da una società con sede extraeuropea.
Bisogna progettare la tutela dei dati personali e documentare l’attenzione specifica prestata all’analisi dei rischi connessi al trattamento di dati personali.
Violazione dei dati. Si parla di
data breach notification: obbligo di segnalare all’Autorità le violazioni di dati subite. Chiunque tratta dati, in caso di una violazione, dovrà mettere in atto due differenti azioni: notificare la violazione all’Autorità di controllo, entro 72 ore dal fatto, segnalare al diretto interessato (senza ritardo ingiustificato) la violazione avvenuta. Il mancato rispetto di questo obbligo comporta sanzioni penali.
Il Documento programmatico sulla sicurezza non c’è più ma nasce il Data Protection Impact Assessment (DPIA), o documento di valutazione d’impatto nel trattamento dei dati. Si tratta di una vera e propria analisi dei rischi in concreto generati dal trattamento dei dati aziendali. Chi raccoglie i dati deve effettuare una valutazione degli impatti determinati dal trattamento dei dati stessi dal momento della progettazione del processo da parte della organizzazione e in funzione degli applicativi informatici di supporto, in particolare nei casi in cui il trattamento presenti rischi specifici per diritti e libertà delle persone interessate.
Non c’è obbligo di notificazione al Garante e si introduce il registro dei trattamenti per alcune tipologie.
Le sanzioni, in caso di violazione, aumentano in modo davvero significativo.
Occorre agire subito per attivare una nuova cultura del dato e della privacy, acquisire nuove conoscenze e maggiore consapevolezza, mappare le banche dati di cui si è in possesso, stilare nuovi documenti, attivare i fornitori, stilare contratti differenti e, soprattutto, ripensare il processo di trattamento dei dati e impegnarsi nell’azione preventiva e di controllo. In questo modo si potrà estrarre valore dalle informazioni di cui si può disporre nel rispetto dei dati delle persone interessate e delle nuove norme in vigore “Privacy is good for business”. Individuare in modo tempestivo le problematiche che possono derivare da una attività e operare in tranquillità, riducendo i rischi possibili per la inosservanza della normativa è una condizione importante per salvaguardare ogni tipologia di attività.
Bisogna dedicare alla
data protection una speciale attenzione, qualsiasi sia il ruolo ricoperto all’interno di una organizzazione: non si deve dimenticare, infatti, che il dato è protagonista di un processo – sia all’interno sia all’esterno di una organizzazione – e tutti potrebbero intervenire in un passo qualsiasi del percorso fatto dal dato. Da qui nasce anche la necessità di una formazione ad hoc riguardo la corretta applicazione del GDPR, sia dei principi generali sia per le questioni applicative essenziali in modo tale tutti possano operare con totale consapevolezza del nuovo quadro normativo e in totale tranquillità.
Il nuovo riferimento normativo: GDPR, composto da 99 articoli e in vigore in tutti gli stati della Unione europea dal 25 maggio ha creato di fatto una importante ed efficace zona di salvaguardia nel mercato globale per la tutela e la salvaguardia del dato personale come è stato riconosciuto anche dagli esperti (già hacker) presenti, con soddisfazione, durante un seminario del DIG Festival di Riccione accreditato per la formazione dall’Ordine dei giornalisti sul tema: “Cybersecurity, controllo, sorveglianza, metodi per la protezione dei dati”. Il dato personale in Europa è davvero salvaguardato.
Va ricordato che il Garante mette a disposizione guide, moduli, istruzioni e tutorial per l’auto-valutazione dei rischi. Anche l’Authority britannica: ICO – Information Commissioner’s Office mette a disposizione oltre a una guida anche una serie di test per essere in grado di valutare il proprio sistema di protezione dati, con checklist specifiche per attività differenti.
Oltre alle fonti citate le informazioni fanno riferimento a molte partecipazioni di persona a incontri informativi, seminari e workshop sulla tematica e a molteplici newletter e siti sia italiani sia stranieri di consultazione quotidiana.