Salute, lavoro, figli. Così possiamo proteggere ​la nostra vita privata

L'Economist l'ha paragonato all'ormai lontano baco del Millennio, il passaggio dall'anno 1999 al 2000 che rischiò di mettere ko molti sofisticati sistemi informatici aziendali. Allora non accadde nulla, questa volta, ha scritto il settimanale britannico, qualche cosa accadrà di sicuro e si sa anche quando: il prossimo 25 maggio, giorno dell'entrata in vigore del primo regolamento europeo per la protezione della privacy. Aziende ed enti pubblici dovranno rivedere da zero, o quasi, le procedure con cui raccolgono e gestiscono i dati personali dei loro interlocutori; consumatori e cittadini potranno rivendicare diritti fino ad ora inesistenti.

Le nuove regole, qualcuno ha usato l'espressione «Privacy 2.0», sono le prime scritte per la nuova era digitale. Fino ad ora la disciplina europea per la tutela dei dati personali era basata su una direttiva del 1995; le regole in vigore in Italia erano state raccolte in un codice della Privacy approvato nel 2003. Allora non c'erano gli smartphone né i social network, i motori di ricerca avevano un ruolo e un'importanza ben diversi da quelli attuali. L'emergere di onnipresenti piattaforme digitali aveva via via costretto Autorità di controllo e tribunali a fare sfoggio di creatività adattando vecchie norme a nuove realtà. Molte di queste «pezze» legali elaborate negli anni sono state accolte nel nuovo regolamento, conosciuto a livello internazionale con l'impronunciabile sigla inglese Gdpr (General data protection regulation).

LINEA DURA

Già il fatto che si tratti di un regolamento la dice lunga sulla volontà del legislatore europeo, ben più aggressiva che in passato. Una direttiva come quella del 1995 richiedeva singoli atti di recepimento nelle legislazioni nazionali, aprendo così la porta a diverse sfumature e applicazioni. Un regolamento, invece, ed è il caso di quello approvato nel 2016 e ormai pronto a entrare in vigore, diventa operativo così come è in tutti i 28 Paesi europei (dal 2019 saranno 27). A cambiare è stato anche l'approccio complessivo: «La vecchia concezione di privacy partiva da una visione orwelliana, in cui un Grande Fratello centralizzato minaccia la riservatezza dei cittadini», spiega Giovanni Ziccardi, professore di Informatica giuridica all'Università degli studi di Milano. «Oggi bisogna pensare piuttosto a un labirinto kafkiano, in cui le tracce che disseminiamo nel nuovo mondo digitale si perdono senza che riusciamo minimamente a mantenerne il controllo».

Il punto di partenza delle nuove norme è proprio l'opposizione a questa «perdita di controllo»: l'economia della Rete si basa sulla capacità delle aziende di gestire i cosiddetti big data, l'enorme quantità di informazioni disponibili (vedi anche l'articolo nella pagina a fianco). Ma la possibilità di restare padroni delle proprie «tracce» personali resta un diritto fondamentale dei cittadini. E il diritto di «proprietà» non può non diventare più stringente quando, come oggi, finiscono su qualche sconosciuto server non solo dati bancari e abitudini di consumo (via bancomat e carta di credito), ma anche rapporti di amicizia (via social network), spostamenti (con i servizi di localizzazione) e perfino le informazioni sulla salute (grazie, tra l'altro, alle app che misurano attimo dopo attimo parametri vitali e attività sportiva).

I NUOVI STRUMENTI

Così, tra i 99 articoli del regolamento destinato a entrare in vigore dal mese di maggio, ci sono disposizioni che consentono a ognuno di rivolgersi a un'azienda per sapere se e come quest'ultima ha raccolto dati su di noi. L'azienda in questione deve predisporre delle procedure semplici e facilmente utilizzabili per ricevere le richieste e ha obblighi stringenti di risposta (al massimo entro un mese). La norma ha un corollario importante: su questi dati l'interessato può agire, chiedendo di rettificarli, di limitarne l'uso o di cancellarli. È, dicono i tecnici, il diritto alla «cancellazione rinforzata», di cui spesso si parla anche in termini di diritto all'oblio. Quest'ultimo era già stato stabilito dalla Corte di giustizia europea: in mancanza di un diverso interesse pubblico nessuno di noi può essere inchiodato a rivivere continuamente il passato. E quello che fino a ieri era decisione giurisprudenziale oggi diventa norma generale: nel caso i motori di ricerca sono obbligati a «deindicizzare» dalle proprie pagine questo o quell'episodio.

BYTE COME TELEFONINI

Del tutto nuovo, invece, il principio della portabilità dei dati, che opererà esattamente come la portabilità del numero telefonico. L'utilizzatore di un servizio digitale potrà chiedere di trasferire da un fornitore all'altro quanto contenuto nel proprio account. Per esempio si potrà cambiare il provider di posta elettronica senza perdere mail e contatti. L'innovazione è già entrata nel dibattito in corso sul futuro dei colossi della Rete. Di fronte allo strapotere di Facebook nel campo dei social, di Google nel settore dei motori di ricerca, o di Amazon per l'e-commerce, c'è già chi ha chiesto di esaminare interventi delle Autorità Antitrust simili a quelli che qualche decennio fa portarono allo spezzettamento di colossi della telefonia come AT&T. Un economista come l'italiano Luigi Zingales, docente all'Università di Chicago, ha proposto un approccio meno drastico: usare meccanismi, come appunto la portabilità dei dati, per favorire la concorrenza. In futuro si potrà per esempio abbandonare Facebook a favore di un altro social network, trasferendo con sé il proprio passato e la propria rete di amicizie.

HACKER AL LAVORO

Un'altra novità importante è quella dell'obbligo per le aziende di comunicare la violazione dei dati personali, per esempio se un hacker entra nei computer di chi custodisce informazioni sensibili. «Nel recente passato sono stati violati gli account di milioni di clienti di Uber», spiega Ziccardi. «Ma si è saputo un anno dopo. Questo non sarà più possibile». Entro 72 ore dal fattaccio le aziende vittime della violazione dovranno notificarlo alle Autorità. Se possono subirne un pregiudizio, se negli account violati ci sono per esempio informazione preziose come password o numeri di carte di credito, anche gli interessati dovranno immediatamente essere informati. L'obiettivo è fare in modo che possano ridurre il danno, per esempio cambiando le password. A sorvegliare la corretta applicazione delle norme saranno i cosiddetti «Data Protection officer», i responsabili per la protezione dei dati, figure inedite a cui il regolamento attribuisce poteri speciali e autonomi dai vertici aziendali, una sorta di sceriffi della privacy: dovranno gestire il trattamento dei dati, tenere i rapporti con le Autorità e con i titolari delle informazioni sensibili.

Un'altra novità sono le sanzioni previste per le aziende inadempienti: nei casi estremi potranno arrivare fino al 4% del loro giro d'affari. La cifra è in grado di spaventare anche i supergiganti del digitale Usa, che sono entrati nel mirino anche da un altro punto di vista: i dati dei cittadini europei non potranno esser trasferiti in Paesi che, secondo la Commissione di Bruxelles, non offrono garanzie di tutela paragonabili a quelle del vecchio Continente.

USA PREOCCUPATI

Il tema è da anni un punto di contrasto tra Europa e Stati Uniti. Nel 2015 l'accordo conosciuto con il nome di Safe Harbour, che permetteva alle aziende di trasferire negli Usa i dati personali degli utenti europei, fu bocciato dalla Corte di giustizia della Ue: dopo il caso Snowdon si scoprì che l'intelligence americana utilizzava le informazioni così ottenute per quello che venne definito un vero e proprio «spionaggio di massa. Nell'ultimo periodo della presidenza Obama Safe harbour fu sostituito da un altro accordo, conosciuto come Private Shield, in cui gli Usa si impegnarono a creare una serie di meccanismi di controllo escludendo la sorveglianza indiscriminata e di massa dei cittadini europei. In cambio di questo tipo di garanzie il traffico di dati attraverso l'Oceano ha potuto riprendere. Ora il nuovo regolamento mette tutto nero su bianco e ribadisce la linea «dura» degli europei in tema di privacy.