Wolf.

Risolve problemi. Gestisce la complessità.

Privacy: le basi

Vincenzo Tiani

Vincenzo Tiani

Questo è il primo di una breve raccolta di articoli che avranno al centro il tema della privacy e della protezione dei dati.

___STEADY_PAYWALL___

Inizieremo dalle origini e da come siamo arrivati a parlare di privacy persino ad un aperitivo. Daremo indicazioni concrete e pratiche su cosa bisogna fare, in ordine di priorità, per essere in regola con quanto prescritto dal GDPR, il regolamento generale per la protezione dei dati personali. Elencheremo risorse e software utili a gestire la compliance alle norme sulla privacy e spiegheremo a cosa bisogna fare attenzione nella scelta di strumenti e fornitori.

Bene, iniziamo!

Perché siamo qui a parlare di privacy

Negli ultimi anni la privacy è uscita dai convegni degli avvocati per sbarcare sulle bacheche di twitter dei politici, in televisione e sui giornali. Il primo faro sul tema si è acceso nel 2013 quando Edward Snowden, ex contractor della NSA (National Security Agency americana), ha svelato come esistesse un programma per spiare, in ottica di prevenzione terroristica, cittadini americani e stranieri, inclusi capi di stato di partner come l’Europa. 

Nel 2018, poche settimane prima che entrasse in vigore il GDPR, il Regolamento Europeo per la protezione dei dati personali di cui parleremo a breve, scoppiò il caso Cambridge Analytica che svelò come la società di consulenza avesse sfruttato delle debolezze di Facebook per estrapolare dati sulle preferenze dei cittadini, inviando loro messaggi molto personalizzati in sintonia con i candidati politici pro Brexit e pro Trump. 

Da lì, grazie a Netflix, sono arrivati al grande pubblico The Great Hack (2019) e The Social Dilemma (2020), due documentari sul rapporto tra Social Network, i nostri dati e il modo in cui questi possono essere usati per indirizzare i nostri comportamenti online e offline o, per usare l’espressione coniata dal filosofo Luciano Floridi, onlife.

Nell’ultimo anno però anche la politica italiana ha scoperto il tema della privacy. Si è iniziato con il primo lockdown, quando si parlava del contact tracing dell’app Immuni, fino ad oggi con il controllo del Green Pass

Cerchiamo allora di capire perché è importante questa privacy visto che è sempre più probabile che a lavoro o anche solo ad un aperitivo il tema possa venire fuori.

I pilastri normativi e alcuni cenni storici

Innanzi tutto occorre distinguere il diritto alla privacy da quello alla tutela dei dati personali. Spesso si usa il termine privacy per parlare di entrambi ma, benché collegati tra loro, restano distinti. Storicamente si attribuisce la prima formulazione del diritto alla privacy a due avvocati di Boston, Warren e Brandeis, che nel 1890 pubblicarono sulla Harvard Law Review la loro proposta di pensare ad un nuovo diritto di tutela della persona, “The Right to Privacy” appunto. Per farlo partirono dalla descrizione di un evento storico/sociale, la diffusione su larga scala della stampa e dei fotogiornalisti a caccia di gossip e la necessità di tutelare dalle loro incursioni i cittadini.

È utile dunque sottolineare come allora come oggi sia stata l’evoluzione tecnologica a far nascere l’esigenza di una nuova protezione con la nascita prima del diritto alla privacy e poi del diritto alla protezione dei dati personali.

Nel nostro ordinamento il diritto alla privacy è il diritto alla riservatezza del proprio domicilio e delle proprie comunicazioni che sono considerati inviolabili. È tutelato e riconosciuto dalla nostra Costituzione (1948) dagli articoli 14 e 15. L’assemblea costituente formatasi nel 1946, che aveva ricevuto l’incarico di redigere un testo che ponesse le nuove basi normative necessarie ad evitare che fenomeni appena conclusi come la dittatura fascista potessero ripetersi. La libertà dei cittadini di potersi esprimere liberamente senza il controllo dello Stato è sancita nel testo come una libertà fondamentale che può essere limitata solamente con un atto motivato e con le garanzie della legge. Per questo motivo un Pubblico Ministero non può arbitrariamente ispezionare la nostra abitazione o intercettare il nostro telefono senza che vi siano giustificati motivi per abbattere quel muro della riservatezza che ci tutela dalle incursioni arbitrarie nella nostra vita privata di terzi, siano essi persone, aziende o lo Stato stesso. Il diritto alla privacy è dunque legato a doppio filo con il diritto alla libertà d’espressione, pilastro fondante di ogni democrazia, proprio perché un cittadino spiato e controllato in ogni momento non può essere davvero libero di fronte allo Stato. Con alcune sentenze successive il concetto andò espandendosi uscendo dalle mura domestiche e riconoscendo un diritto più ampio alla riservatezza della propria vita privata, in assenza di un eventuale interesse pubblico a comprimere quel diritto.

Con l’arrivo della prima ondata tecnologica degli anni ‘90 l’Europa introdusse il diritto alla protezione dei dati personali. Nel 1995 arrivò la Direttiva 95/46/CE, introdotta nel nostro ordinamento con la legge 675/1996, poi sostituita dal Codice Privacy, il D.Lgs. 196/2003. Con la legge del 1996 nasce la figura del Garante Privacy, un’Autorità amministrativa indipendente con il compito di assicurare il rispetto della protezione dei dati personali. Il primo Garante fu il professore Stefano Rodotà che, assieme al magistrato Giovanni Buttarelli, poi nominato Garante Europeo della Privacy (2014-2019), contribuì in modo incisivo a delineare i principi della protezione dei dati personali in Europa e nel mondo.

Nel 2000 il diritto alla privacy e alla protezione dei dati personali entrano anche nella Carta Europea dei diritti fondamentali (artt. 7 e 8) mentre nel 2002 viene pubblicato il testo della Direttiva ePrivacy, poi aggiornata nel 2009, che tutela la privacy delle comunicazioni elettroniche che nel frattempo si sono diffuse su larga scala.

Nel 2012 iniziano i lavori a Bruxelles per aggiornare la prima direttiva del 1995 sui dati personali e che portano alla pubblicazione nel 2016 del GDPR, il Regolamento Generale per la protezione dei Dati Personali che entrerà in vigore il 25 maggio del 2018.

Da grandi poteri derivano grandi responsabilità

Il GDPR ha ricevuto da subito molte critiche, da chi lo riteneva inadeguato ad arginare lo strapotere delle Big Tech e chi lo riteneva troppo oneroso per le piccole e medie imprese. La verità è che la sua forza sta proprio nel fatto di non prescrivere una lista dettagliata di cose da fare quanto piuttosto di principi da seguire, primo tra tutti quello di accountability. Chi gestisce i dati, il Titolare del trattamento, è come Spiderman, “da grandi poteri derivano grandi responsabilità”. Perché dalla startup alla banca alla big tech, quei dati ormai sono la nostra carta d’identità nel mondo digitalizzato e fisico. Dicono dove abito, che professione faccio, dove vado a lavoro e in palestra, quanto spendo al mese, qual è il mio ristorante preferito, quali le mie preferenze sessuali e politiche. Ed è grazie a quei dati personali che è allora possibile violare anche la mia privacy e dunque la mia persona. Con quelle informazioni chiunque potrebbe ottenere la mia fiducia fino a farmi fare un bonifico da mezzo milione di euro.
Per questo altri principi fondamentali sono quello della minimizzazione dei dati e della privacy by design e by default. Perché ormai è chiaro che quando parliamo di data breach, di ransomware, non parliamo più di se ma di quando. Quando un cyber criminale entrerà nei server della mia azienda a quanti e quali dati avrà accesso? Le password e le carte di credito saranno in chiaro o vedrà solo una stringa di numeri senza valore? Avrò un backup pronto per riattivare i miei sistemi in poche ore o dovrò pagare un lauto riscatto per riavere indietro i computer della mia azienda? Per prevenire e limitare i danni allora, oltre ai sistemi di sicurezza e alla formazione continua del personale (prevista dal GDPR) è bene avere nei propri database solamente i dati necessari al servizio che offro e nulla di più. Anzi, qualsiasi servizio, business, app io voglia mettere sul mercato, dovrò progettarla in modo che persegua il suo fine nel modo meno invasivo possibile, chiedendo quindi solo i dati personali strettamente necessari e informando gli utenti su quanto accadrà con i loro dati. Perché il GDPR mette al centro il “data subject”, l’”interessato”, che in qualsiasi momento può chiedere indietro i suoi dati (e allora dovrò sapere dove sono), la loro cancellazione o modifica, e dovrà sapere anche per quali fini sono stati usati, se sono stati ceduti a terzi o addirittura trasferiti fuori dall’UE.  

Ma non preoccupatevi, proprio nel rispetto del principio di accountability non a tutte le aziende, professionisti, è richiesto lo stesso livello di attenzione.

Tuttavia sono finiti i tempi in cui la privacy era solo “il modulo della privacy”. Pensare alla privacy e ai dati personali è passato dall’essere l’ultima noia burocratica a uno dei pilastri fondanti la nostra attività, uno di quelli su cui giocarsi la reputazione.

Foto di Jason Dent su Unsplash

Colophon, Privacy e Cookie Policy

Wolf è un supplemento di Slow News
Edito da Slow News StP Srl- via Eugenio Carpi 23, 20131 Milano (MI)
C.F. 09962490968
P.I. 09962490968
Registrazione n. 43 dell’8 febbraio 2016 presso il Tribunale di Milano
ISSN 2499-4928
direttore responsabile: Alberto Puliafito
mail: info[at]slow-news.com
pec: slownewssrl[at]legalmail.it

Privacy Policy
Cookie Policy
Abbiamo a cuore la tua privacy e pensiamo che non sia solo una questione di farti leggere una policy. Ecco perché ti spieghiamo come difenderla.