GDPR: cos'è e come tutela la privacy dei cittadini europei

Cosa cambierà con il nuovo Regolamento generale sulla protezione dei dati (GDPR)?
Giuseppe Tripodi
Giuseppe Tripodi Tech Master

Nelle ultime settimane, praticamente tutti i servizi che raccolgono dati personali (Facebook, Google, ma anche molte delle app in circolazione) stanno informando i propri utenti di come cambiano le norme per la privacy: la ragione dietro tutte le mail che certamente avrete già ricevuto è il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation), che sarà attivo dal 25 maggio 2018.

Cos'è il GDPR

Il Regolamento generale sulla protezione dei dati (da qui in poi usiamo l'acronimo GDPR) è un regolamento emanato dalla Commissione europea con lo scopo di tutelare la privacy dei cittadini europei, rendere la gestione dei dati personali omogenea per tutti i servizi e dare maggiore controllo agli utenti sui propri dati personali.

Il testo definitivo è stato approvato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed è entrato in vigore dal 25 maggio dello stesso anno. Il motivo per cui se ne parla adesso è perché l'UE ha dato due anni di tempo alle società per prendere provvedimenti e adeguarsi alla nuova normativa: a partire dal 25 maggio 2018, quindi, il GDPR sarà attivo a tutti gli effetti e tutti i servizi che operano in Europa sono passibili di sanzioni se non rispettano la normativa (con multe fino a 20 milioni di euro o massimale pari al 4% del fatturato annuo per ogni violazione).

Il GDPR si applica a tutti i cittadini europei ed ha effetto anche se le società che possiedono i dati hanno sede al di fuori dei confini dell'UE (ad esempio negli USA, come la maggior parte delle società informatiche). Il Regolamento, insomma, tutela direttamente i cittadini e prevede che sia compito delle aziende adeguarsi alle nuove normative.

In linea di massima, il GDPR è considerato un Regolamento molto completo per quel che riguarda la tutela dei dati personali, tanto che dagli Stati Uniti c'è chi auspica ad una legislazione simile. D'altra parte, il timore di alcuni è che il Regolamento possa creare un divario informatico tra l'Europa e il resto del mondo, dato che la normativa è molto stringente e la sua implementazione potrebbe creare qualche problema, specialmente alle piccole imprese.

Cosa cambia, in sintesi

In linea generale, il Regolamento generale sulla protezione dei dati prevede che i cittadini abbiano maggiore consapevolezza e controllo sui propri dati personali: per questo, in primo luogo richiede che i servizi informino in maniera chiara e comprensibile gli utenti se raccolgono dati personali, e come questi vengono utilizzati.

Inoltre, il cittadino deve dare esplicito consenso all'utilizzo dei propri dati e deve essere informato nel caso di cambiamenti nelle policy.

Ma non finisce qui: ogni cittadino ha diritto ad ottenere una copia di tutti i propri dati personali in possesso di un'azienda, che deve quindi fornire un servizio che permetta ad ogni utente di scaricare le informazioni che lo riguardano. Inoltre, questi dati devono essere trasferibili (ossia l'azienda non può impedire che il cittadino li copi su un altro supporto) e, nel caso di specifica richiesta che rispetta alcuni requisiti, devono essere cancellati definitivamente.

Ma vediamo più in dettaglio quali sono gli aspetti rilevanti.

Dati personali: cosa si intende?

In primo luogo, cosa intendiamo esattamente quando parliamo di dati personali? Riportiamo la definizione fornita dalla Commissione Europea:

i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.

Ma il Regolamento va oltre i dati personali; infatti, possiamo riconoscere quattro macro-categorie di interesse:

  • Dati personali: qualsiasi informazione che possa identificare la persona, incluso nome, cognome, caratteristiche fisiche e anche identificativi online;
  • Dati genetici: dati ottenuti tramite analisi di DNA o RNA da un campione biologico;
  • Dati biometrici: qualsiasi caratteristica fisica identificativa della persona, come l'impronta digitale, l'iride o l'immagine facciale;
  • Dati sulla salute: qualsiasi dato relativo alla salute, tanto fisica quanto mentale, presente, passato o futuro.

Trattamento dei dati personali

Per trattare i dati personali, le società devono avere esplicito consenso degli utenti (salvo eccezioni, quali la richiesta da parte delle forze dell'ordine). Nella richiesta di consenso, la società deve esprimere chiaramente quali sono le finalità del trattamento dei dati e se questi vengono utilizzati da società terze (ad esempio per fini pubblicitari).

Inoltre, l'articolo 7 recita:

[...] la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.

Insomma, la richiesta deve essere chiara, comprensibile e deve essere presentata in una schermata facilmente riconoscibile. Infine, l'utente ha diritto di revocare il proprio consenso in qualsiasi momento (anche se questo non pregiudica il trattamento dei dati ottenuti prima della revoca) e deve esprimere nuovamente il consenso esplicito in caso di modifica del trattamento dei dati.

Parlando di esplicito consenso, l'UE esclude il cosiddetto silenzio assenso, ossia la possibilità che la società proponga condizioni diverse facendole passare in sordina, senza la necessità che l'utente legga e le accetti esplicitamente.

Portabilità dei dati

Il cittadino deve poter ottenere facilmente una copia dei propri dati personali, in un formato leggibile e che può essere facilmente trasferito. Di conseguenza, l'utente può decidere di copiare tali dati su un altro supporto elettronico (e la società che fornisce i servizi non può limitare il processo).

Diritto alla cancellazione

L'interessato ha diritto di ottenere la cancellazione dei propri dati personali nel caso in cui decida di revocare il consenso su cui si basa il trattamento, a patto che non ci siano ragioni giuridiche o di pubblico interesse per la conservazione di tali dati.

Testo completo del Regolamento in italiano

Il Regolamento generale sulla protezione dei dati è molto vasto e prevede anche tanti casi particolari; se volete leggerlo nella sua interezza in italiano, potete trovarlo a questi indirizzi:

E adesso?

Tutte le principali aziende informatiche hanno già adeguato il proprio regolamento, rendendolo conforme alle norme per il GDPR. Alcune società hanno anche realizzato un'apposita pagina che illustra i cambiamenti adottati per rispettare il nuovo Regolamento: