gdpr cosa cambia

Con il GDPR cosa cambia veramente per l'utente e per il web?

Dopo aver spiegato in una precedente intervista, quali cambiamenti potrà apportare il GDPR per le imprese, in questa chiacchierata con l’Avvocato Sergio Alberto Codella, ci si è focalizzati sull'argomento GDPR, spiegando cosa cambia per gli utenti e per chi opera nel web.

Con il GDPR cosa cambia per l'utente e per il mondo del web?

Come già ormai sappiamo, il prossimo 25 Maggio 2018 entrerà in vigore il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali. Molte sono le domande a cui è bene dare una risposta, vista l'imminente applicazione della norma.

La parola a Sergio Alberto Codella: cosa cambia con il GDPR?

Q. Il GDPR, il nuovo regolamento generale sulla protezione di dati, efficace a tutti gli effetti dal 25 Maggio 2018, quali cambiamenti apporterà sul web, nelle attività quotidiane dell’utente?

A. Il GDPR è un regolamento volto a tutelare le persone fisiche in tema di privacy. Al giorno d’oggi, il web è certamente uno dei “luoghi” in cui tale tutela può essere messa più in pericolo.

Per l’utente che è solito utilizzare internet vi è certamente un elemento che contraddistingue ormai la sua quotidianità nella navigazione e, cioè, la presenza di cookie che, sempre più spesso, sono oggetto di attenzione e di preoccupazione. Attraverso i cookie vi è la possibilità/rischio di profilare il “cliente”.

Peraltro vi sono molteplici punti di interesse sotto un profilo legale che possono essere ricondotti a due aree: quella della privacy (cosa viene memorizzato?) e quella della trasparenza (chi sta memorizzando?). Per questa ragione sarà sempre più importante, anche alla luce del nuovo regolamento, offrire informative preventive, trasparenti e consapevoli per l’utente.

In altre parole, potrebbe non essere più sufficiente limitarsi ad una criptica e generica informativa che si limiti, nella sostanza, ad un “click” su “ok”. I consensi devono inoltre essere compiutamente conservati e deve essere offerta la possibilità di modificare il proprio consenso che dovrà essere anche periodicamente rinnovato.

Q. Oltre ad introdurre cambiamenti dal punto di vista organizzativo (come abbiamo potuto vedere nell'intervista precedente), lo farà anche da quello tecnologico. Come?

A. Uno dei più importanti punti di “svolta” del GDPR è quello relativo alla accountability e, cioè, alla responsabilizzazione da parte del titolare del rispetto dei principi e dei precetti indicati dalla nuova normativa.

Non vi sono più misure “minime” di sicurezza standardizzate e già predefinite, ma ogni azienda interessata dovrà adoperarsi per assicurare una corretta gestione del trattamento dei dati rispetto alle proprie esigenze ed alle particolari caratteristiche dei dati.

Tutto ciò si traduce anche nella necessità di adottare sistemi e soluzioni informatiche adeguate al caso specifico e che possano garantire tale obiettivo. Ovviamente, in caso di contestazione, bisognerà giustificare le proprie scelte e dimostrare che anche gli strumenti tecnologici adottati siano stati quelli adeguati.

Basti pensare, ad esempio, alle tecniche e modalità di gestione dei registri, alla analisi dei rischi, alle procedure in caso di breach. Le gestione a livello organizzativo del trattamento dei dati ha quindi un significativo impatto anche sulle conseguenti soluzioni tecnologiche che dovranno essere sempre più avanzate anche sotto un profilo software e ciò, ad esempio, per limitare le ipotesi di cyber attacchi o per affrontare casi di perdita oppure di sottrazione di dati.

Q. Cybersecurity e “privacy by design” (art 25 GDPR). Mi colpisce questo concetto perché gli attacchi che hanno coinvolto le imprese su scala globale (es WannaCry) sono stati veramente importanti. Cosa sarebbe successo se questi attacchi, fossero stati successivi al 25 Maggio?

A. Ovviamente una normativa non può impedire l’avverarsi dei fenomeni di cyber crime, quello però che può fare - e tenta di fare - il GDPR è far predisporre delle misure che riducano tali rischi e tra di esse vi è sicuramente il principio di privacy by design secondo cui è necessario “prevenire” le questioni in materia di privacy sin dalla fase di progettazione.

Proprio per prevenire eventuali abusi, è necessario valutare anche progettualmente i rischi in un momento addirittura precedente all'inizio del “trattamento”. Anche sotto questo profilo il GDPR non vuole essere una risposta “statica” alle esigenze degli utenti, ma aspira a volere implementare un approccio “dinamico” alla risoluzione dei problemi attraverso soluzioni “su misura” e volte, comunque, al rispetto di standard di pseudonimizzazione e di minimizzazione dei dati.

Tali obiettivi si legano anche ad un altro principio ispiratore del GDPR che è quello del privacy by default, secondo cui bisogna trattare i dati personali solo ed esclusivamente nella misura necessaria per le finalità già espresse e per il periodo strettamente necessario a tali fini.

Q. Per concludere vorrei farti una domanda che mi riguarda da vicino. Concetti come giornalismo e libertà di espressione, come saranno trattati dagli stati membri?

A. Il rapporto tra privacy, da un lato, e diritto di cronaca, dall'altro, è sempre stato foriero di soluzioni tra loro anche disomogenee.

Il GDPR prevede espressamente il “diritto all’oblio” che può essere configurato come il diritto alla cancellazione dei dati in alcune ipotesi previste dal regolamento.

Lo stesso GDPR, però, precisa che tale previsione non si applichi nel caso in cui il trattamento, sia dovuto per l’esercizio del diritto alla libertà di espressione e di informazione, demandando la questione ai singoli ordinamenti nazionali.

Le soluzioni (anche giurisprudenziali) già adottate sembrano quindi potere essere ancora oggi valide. Si può ad esempio ricordare il caso che ha riconosciuto all'interessato, il diritto di ottenere l’aggiornamento di una notizia di cronaca ancora presente nell'archivio on line della testata giornalistica, e ciò per significare che non si tratta di questioni relative alla richiesta di rimozione di news spiacevoli, ma piuttosto del legittimo interesse ad ottenere un aggiornamento sui fatti.

Commenti

commenti

Sara Duranti

Leave a reply