Chi protegge i dati che finiscono in rete?
(Rubrica a cura di Letizia Maria Ferraris, Presidente CSI Piemonte)
Ogniqualvolta ‘clicco’ in rete mi chiedo dove finiranno i miei dati. Chi è deputato a conservarli? Chi a proteggere le informazioni che condivido su me stessa? Una piattaforma che mi chiede il codice fiscale per acquistare un mattarello da cucina non eccede nell’uso dei miei dati? Cosa accade se un dato va perduto in rete o inviato per errore? Cosa si intende per governo del dato?
I termini “protezione” e “personale” sono entrati nell’immaginario collettivo come diritti che richiamano alla preservazione della propria intimità, quella sfera dell’io più profondo che invoca persino un diritto all’oblio, la cancellazione di quelle informazioni personali che rappresentano la nostra storia, se non più necessari per le finalità di raccolta o pubblicità.
Verbi comuni come ‘trattare’, ‘estrarre’, ‘catturare’, ‘migrare’, ‘estrarre’, ‘navigare’, ‘contrastare le minacce’, ‘veicolare un dato’…, appaiono con un nuovo valore semantico.
Ogni giorno di più ‘comunicare in rete’ comporta una presa di coscienza sulla propria dignità di persona, una consapevolezza sul patrimonio identitario che sta dietro quel ‘cliccare’ (verbo informativo per eccellenza), che a sua volta richiede nuove regole per gestire i diritti connaturali alla persona nel mondo dell’infosfera, chiarezza su ruoli e responsabilità, una sorta di ‘educazione civica al digitale’.
Non è un caso che il Regolamento Generale Europeo sulla Protezione dei Dati (GDPR) già dal 2016 non parli più di privacy ma di protezione delle persone fisiche, sia con riguardo al trattamento dei loro dati sia per la tutela della loro libera circolazione, definendone figure e competenze.
Sono ‘dati personali’ tutte le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni su caratteristiche, abitudini, stile di vita, contatti, stato di salute, situazione economica. Alcuni permettono l’identificazione diretta (dati anagrafici, nome e cognome o immagini); altri l’identificazione indiretta (un numero di identificazione, codice fiscale, indirizzo IP, numero di targa).
Ai dati comuni si affiancano quelli “particolari”, che rivelano etnia, convinzioni religiose, opinioni politiche, appartenenza sindacale o informazioni relative a salute e vita sessuale, mentre l’articolo 9 include nella nozione i dati genetici e biometrici.
Si definiscono attività di trattamento sui nostri dati la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, par. 1, punto 2, del Regolamento (UE) 2016/679).
Siamo noi quindi i primi attori, altrimenti detti “gli Interessati” alle attività di trattamento, quei soggetti i cui dati sono “trattati” e a cui è riconosciuto il potere di un controllo effettivo sui diritti sottesi (alla liceità, trasparenza, anonimizzazione…).
Al nostro fianco vi è l’Autorità Garante, nota come ‘Garante della privacy’, un organo pubblico indipendente, istituito con legge 31.12.1996, n. 675, per salvaguardare la tutela dei diritti e delle libertà fondamentali e il rispetto -appunto- della dignità della persona nel trattamento stesso.
In Unione europea all’Autorità di controllo compete la gestione dei reclami, delle violazioni del GDPR e di ogni norma nazionale vigente in materia di data protection.
Titolare del Trattamento è il soggetto principale della normativa sul quale ricadono la maggior parte degli obblighi previsti dal GDPR.
Costui è vincolato a definire finalità e ragioni della raccolta (per adempiere a una legge o per dar seguito a un contratto) o del consenso e le modalità con cui viene effettuato il trattamento (con quali mezzi tecnologici, strumenti, processi…). A lui compete l’adozione e l’individuazione delle misure di sicurezza tecniche e organizzative, necessarie per adeguare l’attività ai requisiti normanti la tutela della persona.
In caso di presenza di più titolari, i “contitolari” sono tenuti ad assumere congiuntamente finalità e modalità del trattamento.
I fornitori esterni, coloro che vengono incaricati dal Titolare per sostenerlo nelle attività di legge, sono definiti Responsabili del Trattamento. Questi ultimi devono presentare garanzie sufficienti a mettere in atto misure tecniche e organizzative, denominate misure di sicurezza adeguate a garantire la corretta applicazione del GDPR nello svolgimento delle attività assegnate. Il loro incarico è definito da un contratto (o altro atto analogo) che definisce in modo chiaro il tipo di trattamento svolto, le motivazioni (finalità), la tipologia di dati personali e le categorie di persone a cui appartengono, obblighi e diritti del titolare. Il Responsabile può rispondere anche direttamente in caso di violazione del regolamento o di richiesta danni da parte dell’Interessato.
Sia Titolare che Responsabile impiegano altri soggetti per realizzare le finalità di raccolta, elaborazione, conservazione…: sono gli ‘autorizzati’, un tempo definiti “incaricati”, ora personale dipendente ore consulenti esterni del Titolare.
Essi devono ricevere –sempre- istruzioni chiare e un’appropriata formazione per poter svolgere il proprio incarico. Alcuni di loro assumono specifici compiti di gestione dei sistemi informativi ovvero ne garantiscono il corretto funzionamento e la sicurezza. Sono forniti di “super utenze” in termini di credenziali di accesso per configurare sistemi informatici, reti e database che contengono i dati. Per questo motivo vengono definiti “amministratori di sistema”.
La normativa ha inserito la figura del Data Protection Officier (DPO) o Responsabile della Protezione dei Dati (RPD). Costoro hanno la responsabilità di assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento Privacy. Viene incaricato dal Titolare: sia egli dipendente o consulente esterno, non necessita di specifiche attestazioni formali, ma deve possedere un’approfondita conoscenza di norme e prassi in materia di privacy, oltre alle procedure che caratterizzano lo specifico settore di riferimento. Deve poter operare in piena autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.
È il primo riferimento del Garante e per tale ragione il suo nominativo viene comunicato alla Autorità e costituisce il ‘punto di contatto’ anche rispetto agli interessati, su ogni questione connessa al ‘trattamento dei dati personali’.
Insomma, la data governance che scaturisce dalla data protection non è roba da poco. Con la comunicazione in rete, infatti, non rileva il lavoro che svolgiamo quotidianamente: tutti trattiamo dati altrui e permettiamo ad altri di ‘trattare’ i nostri. Ciò comporta consapevolezza. Ecco perché tanta cura da parte del legislatore.
Dietro ogni informazione ceduta, ci siamo noi e, prima ancora di costituire un ‘patrimonio economicamente apprezzabile’, siamo un bene giuridico portatore di diritti e libertà che non possono essere violati, neppure dal progresso informatico. Consapevolmente o meno, la persona umana è diventata condivisore di esperienza nel mondo virtuale con l’onere di ‘custodire’ -con serietà- la riservatezza altrui, la sua umanità, per evitare che tramite le connessioni telematiche rischi di incorrere in violazioni (intercettazioni, perdita dei dati, interferenze illecite…).
Normare l’innovazione, sempre più immanente nella sfera privata, porta con sé l’obiettivo educativo della prevenzione e svela il suo neppur troppo celato tentativo di bilanciamento tra diritti, doveri ed efficienza.
© 2024 CIVICO20NEWS – riproduzione riservata