Oggi, 28 gennaio 2022, è la 16° Giornata europea della protezione dei dati personali 

La Giornata della protezione dei dati personali, istituita nel 2006 dal Consiglio d’Europa, si pone l’obiettivo di sensibilizzare cittadini, istituzioni pubbliche, enti di ricerca e aziende rispetto al tema della protezione dei dati personali.

1) Il processo di armonizzazione normativa 

Il percorso per giungere alla celebrazione del primo Data Protection day è fatto di diverse tappe normative che hanno da sempre evidenziato l’obiettivo delle Istituzioni europee di armonizzare la disciplina in materia di protezione dei dati personali.

Tanto per citare solo alcuni di questi passaggi, nel 1995 la direttiva madre (1995/46/CE) introduce per la prima volta una disciplina volta ad uniformare le norme in materia di protezione dei dati personali, garantire un “flusso libero” dei dati e promuovere un elevato livello di tutela dei diritti fondamentali dei cittadini. Tuttavia, spettava ancora agli Stati membri il suo recepimento interno. In Italia, tale direttiva è stata recepita attraverso la legge n. 675/1996, che tra gli altri, istituisce la figura del Garante per la protezione dei dati, figura che quest’anno compie 25 anni. 

Successivamente, con l’ePrivacy Directive (2002/58/CE) viene introdotta una disciplina specifica per la protezione del dato personale nel settore delle comunicazioni elettroniche. 

II 2016, oltre ad essere il 10° anniversario del Data Protection day, è l’anno in cui viene emanato il Regolamento (UE) 2016/679 (c.d. GDPR), che entrerà in vigore 2 anni più tardi. Il GDPR abroga la direttiva madre e finalmente introduce una disciplina uniforme e direttamente applicabile in tutti gli Stati membri dell’Unione Europea e, in alcuni casi specifici, anche al di fuori dei confini dell’Unione Europea (art. 3, GDPR).   

2) Le nuove sfide  

Senza voler correre troppo indietro nel tempo, dall’entrata in vigore del GDPR ad oggi la tutela dei dati personali ha affrontato innumerevoli sfide. 

La prima grande sfida per le aziende e le pubbliche istituzioni è stata proprio quella di procedere all’adeguamento interno di processi e procedure, quando nel 2018 il GDPR è entrato in vigore.  

Molte aziende hanno, infatti, dovuto rivedere gran parte dei processi interni per poter assicurare, ad esempio, il rispetto del principio di accountability, che impone al Titolare di rispettare la normativa ed essere in grado di dimostrarlo documentatamente. 

Fabio Masini, CTO di Diennea: “L’introduzione del GDPR ha visto un profondo cambiamento a tutto l’ecosistema di chi come Diennea gioca un ruolo chiave di fornitore di servizi e prodotti digitali. L’attenzione a principi come la Privacy by Design e l’Accountability, sono solo alcuni esempi che hanno determinato un deciso cambio di rotta e di consapevolezza”. 

Da maggio 2018 agli inizi del 2020 sono passati meno di due anni, e probabilmente molte imprese non hanno ancora completato tale complesso adeguamento, quando esplode la pandemia e ciò mette alla prova diversi modelli di gestione della privacy. 

Si pensi, in prima battuta, all’esigenza “attrezzarsi” per il lavoro da remoto: letteralmente dall’oggi al domani, chi non le aveva già, ha dovuto dotarsi di tutte le strumentazioni necessarie, oltre a dover rivedere l’intero impianto di sicurezza.

Raffaele Penna, CISO di Diennea: “Ma la fretta non sempre è buona consigliera!!! In alcuni casi sono stati forniti ai dipendenti dispositivi aziendali con una dotazione minima di sicurezza; in altri casi, le aziende si sono limitate ad abilitare i dipendenti ad accedere con i loro device personali alle postazioni in ufficio attraverso protocolli Remote Desktop (RDP). Questo ha, di fatto, spalancato la porta alle cyber truffe, al phishing ed agli attacchi ransomware spesso con doppia estorsione (si aggiunge l’esfiltrazione dati e la minaccia di divulgarli per fare pressione sulla vittima se rifiuta di pagare il riscatto) che hanno avuto un forte incremento importante in numero ed impatto economico. D’altra parte, molte aziende in questo periodo hanno risparmiato sulle sedi di lavoro e quindi la vera sfida, ora, è la razionalizzazione degli investimenti per creare dei Digital Workspace che garantiscano sicurezza e protezione dei dati.”

Durante la pandemia si è, inoltre, parlato spesso di bilanciamento tra diritto alla salute, al lavoro e alla privacy, e – senza voler entrare troppo nel dettaglio di un tema ancora “caldo” – basti dire che il Garante privacy è intervenuto a più riprese con i propri pareri su alcuni provvedimenti, come quelli che introducono l’obbligo del green pass sui posti di lavoro.

Nel corso della pandemia un altro episodio degno di nota è sicuramente l’invalidazione del Privacy Shield, ovvero di quella decisione di adeguatezza che legittimava i trasferimenti verso gli Stati Uniti. Ancora oggi il panorama dei trasferimenti risulta incerto (si vedano i seguenti approfondimenti: Privacy Shield invalidato: il futuro incerto dei trasferimenti di dati personali verso gli USA ; L’impasse della sentenza Schrems II: il futuro delle Piattaforme di Comunicazione Integrata).

3) La tutela del soggetto interessato nell’era digital

In questo contesto ricco di sfide costanti, quello che è certo è che la normativa europea prende una posizione inequivocabile, quando pone al centro della protezione dei dati personali la persona fisica, il c.d. “soggetto interessato” (art. 1, GDPR). 

Tutta la normativa ruota intorno a questo principio. 

Basti pensare al capo terzo del GDPR, dedicato alla disciplina dei diritti del soggetto interessato. Tra questi, vi è il diritto all’informativa, ovvero il diritto dell’interessato a ricevere dal Titolare una serie di informazioni sul trattamento dei propri dati personali (art. 13, 14 GDPR). 

A tal riguardo, ci tengo a ricordare che il 15 dicembre scorso si è concluso il contest del Garante Italiano “Informative Chiare”, il cui obiettivo è stato quello di rendere le Informative privacy più semplici, chiare e immediatamente comprensibili, utilizzando simboli e icone. Tra i vincitori del contest, l’Università di Maastricht, in collaborazione con Diennea.

Fabio Masini – CTO di Diennea: “Siamo orgogliosi del riconoscimento ottenuto, che qualifica le nostre expertise anche da un’autorità come il Garante per la protezione dei dati personali. Il set di icone, scaricabile liberamente dal sito del GPDP, rappresenta infatti un importante strumento a supporto degli utenti, spesso in difficoltà di fronte a informative lunghe e di difficile lettura, e quindi una soluzione per fornire maggiore trasparenza sul trattamento dei loro dati.”

Poi, se si pensa alle basi legali del trattamento, l’interessato gioca un ruolo fondamentale in quanto alcune attività di trattamento, come, ad esempio, le comunicazioni marketing,   possono essere effettuate solo con il consenso del primo (almeno nell’ordinamento italiano).  

Ancora, recentemente, sono entrate in vigore le Linee guida cookie e altri strumenti di tracciamento, con le quali il Garante introduce una disciplina in materia fortemente incentrata sulla tutela dell’utente. Il Garante, tra gli altri, suggerisce alcuni miglioramenti per offrire all’utente informative trasparenti e chiare e rafforza il meccanismo del consenso, escludendo, ad esempio, una volta per tutte, che lo “scrolling” possa essere considerato un valido strumento di raccolta del consenso stesso.

Pertanto, in un settore come quello digital, e, in particolare, in quello del marketing digitale, non è (o, almeno, non dovrebbe essere) tanto il timore di incorrere in sanzioni – per quanto potenzialmente elevate – ad incoraggiare le imprese al costante adeguamento, quanto il valore di assecondare gli interessi e i desideri dell’interessato (o, come si usa nel settore, del “contatto”).

Fabio Masini – CTO di Diennea: “Un atteggiamento etico e rispettoso della volontà dell’utente costituisce l’unica chiave per generare fiducia e quindi valore per il business e lo sviluppo dell’intera economia digitale, sempre più fondata sul dato.” 

La protezione del dato personale deve, quindi, avere il suo inizio ancora prima della raccolta del dato: fin dalla redazione di informative chiare; dall’attenzione per i principi di data protection by design e by default nella creazione di nuove soluzioni tecnologiche; dalla selezione dei fornitori; dalla predisposizione di un impianto di sicurezza adeguato; ecc. 

Sono certa che l’anno appena iniziato sarà un anno ricco di ulteriori nuove sfide e l’augurio che voglio rivolgere a tutti in questa giornata di celebrazioni è, per usare le parole di Stefano Rodotà (Discorso conclusivo della Conferenza internazionale sulla protezione dei dati, Polonia, 2004), quello di continuare a sostenere che “la privacy non è un ostacolo, ma la via grazie alla quale le innovazioni scientifiche e tecnologiche possono legittimamente entrare nelle nostre società e nelle nostre vite.”