Legge privacy: a che punto siamo

Nulla accade per caso: è così che mi piace intavolare il prossimo argomento. Ora vi dico a cosa mi riferisco. Con questo articolo vorrei presentarvi il tema della privacy attraverso un percorso storico: quando e come, per la prima volta, il concetto di “legge privacy” ha iniziato ad essere oggetto del dibattito popolare? In che modo, poi, il tema ha trovato riscontro nella realtà odierna considerando anche le sue implicazioni informatiche.
Dunque…

Cenni Storici

Immaginiamo per un attimo di fare un breve viaggio indietro nel tempo e di ritrovarci catapultati nella città di Boston, verso la fine del 1800. Possiamo osservare una realtà di questo tipo: l’innovazione tecnologica è ancora ai suoi albori, iniziano a diffondersi i primi mezzi di trasporto meccanici, mentre la televisione e le radio sono ancora progetti inconcepiti ed inconcepibili. Cosa c’entra la privacy, vi chiederete voi: ci arriviamo subito!
In questo contesto di novità la nascita della macchina fotografica e – in generale – la diffusione della fotografia suscitano un certo entusiasmo: assistiamo alla pubblicazione, sui giornali locali, di immagini raffiguranti le signore dell’alta società, i borghesi, le loro abitazioni e proprietà, le feste mondane aperte alla sola élite e partecipate da dame e signorotti (e no, non ci troviamo nella serie Tv “Bridgerton”).

Senza dubbio gli amanti del gossip apprezzavano queste foto, fonti inesauribili di chiacchiere e di commenti (d’invidia, sia chiaro); al contrario, qualcuno più acuto iniziò a riflettere diversamente, ponendo l’attenzione su aspetti nuovi: la riservatezza e la protezione della propria sfera privata.
È così che si arriva ad attribuire un significato al termine “Privacy”, derivante proprio dalla concezione americana dell’essere lasciati in pace, formalizzato poco dopo nel primo articolo “The Right to Privacy” (“Il Diritto alla Privacy”) nel 1890. Bisogna invece attendere ancora qualche tempo per poter parlare di un tema diverso e correlato alla Privacy: la protezione dei dati.

L’esperienza legislativa

Ritorniamo ai giorni nostri, o quasi, e riordiniamo le diverse leggi in materia di privacy che si sono susseguite nel panorama legislativo europeo ed italiano.
Il primo disegno europeo di legge privacy è costituito dalla Direttiva 1995/46/CE, vincolante per ciascuno Stato limitatamente agli obiettivi perseguiti indipendentemente dalle norme nazionali adottate per il perseguimento di quel medesimo scopo. Frutto della direttiva nell’Ordinamento giuridico italiano è proprio il D. Lgs. 196/2003, il cosiddetto “Codice Privacy”.

Nel 2007, con la firma del Trattato di Lisbona, gli Stati Membri hanno attribuito alla Carta di Nizza (la Carta dei Diritti Fondamentali dell’Unione Europea) del 2001 il medesimo carattere vincolante riconosciuto ai trattati, richiamandola all’interno dello stesso trattato.

L’art. 7 della Carta di Nizza, come l’art. 8 della CEDU, sancisce il diritto al rispetto della propria vita privata e familiare, riconosciuto e condiviso da tutti gli Stati Membri. Inoltre, l’art. 8 della Carta di Nizza introduce per la prima volta il tema della protezione dei dati personali, secondo i princìpi di lealtà, delle forme e delle finalità individuate dalla legge.

La norma attuale

Il GDPR (il Regolamento Generale per la Protezione dei Dati), in sostituzione alla precedente Direttiva, costituisce dal 2016 lo strumento apicale e di collegamento tra i trattati comunitari e la normativa nazionale: ecco perché oggi siamo in grado di garantire una protezione dei dati effettiva ed il più possibile efficace.
Sebbene si tratti di un regolamento, il GDPR non disciplina tutti gli aspetti rilevanti in materia e lascia spazio di intervento ai legislatori nazionali, adattando le norme alla propria realtà legislativa e culturale: infatti, il legislatore italiano ha mantenuto alcuni articoli del Codice Privacy inerenti alla salute, i minori e le condanne penali, poiché compatibili con le norme e i principi del GDPR.

La formazione Privacy

Conoscere la materia della legge privacy e della protezione dei dati è fondamentale e porta ad una maggior consapevolezza del cittadino: per questo motivo la formazione privacy costituisce una delle difese che possiamo utilizzare a nostro vantaggio e protezione.

La formazione dei più piccoli

Nell’ottica della formazione, uno dei prossimi obiettivi di Mondo Privacy è quello di sensibilizzare i giovani alla materia, a partire dagli studenti e dalle scuole, facendo capire loro il valore di ciascun loro dato, soprattutto se si tratta di minori poiché i loro dati rientrerebbero nella categoria dei dati sensibili/particolari. Piantando delle solide radici fin dalle scuole, è possibile tutelare le giovani generazioni in futuro, contrastando i rischi legati all’utilizzo smodato della tecnologia e dei social networks=canali di potenziale diffusione incontrollata di dati verso soggetti indeterminati.

La consapevolezza dei genitori

Lo stesso vale per i familiari degli studenti: non possiamo sapere fin dove arriverà la foto di nostro figlio condivisa sulla chat WhatsApp del gruppo genitori! Lo Sharenting, cioè la condivisione di contenuti dei propri figli (minori) da parte dei genitori sulle piattaforme o sulle applicazioni online, è un fenomeno molto diffuso e anche in questo caso la posta in gioco è elevatissima. Sebbene sia comprensibile il desiderio di condividere i momenti più belli della vita dei figli (talvolta addirittura la stessa nascita), è fondamentale che i genitori comprendano il rischio a lungo termine di questo comportamento. Sono, infatti, possibili alcune conseguenze negative: si pensi a furti di identità, pedofilia, pornografia, e altri possibili scenari, alcuni dei quali spiegati mediante esperimenti che sfruttano l’intelligenza artificiale.

La formazione privacy per le aziende

Anche nell’ambito delle imprese la riservatezza e la protezione dei dati ricoprono un ruolo fondamentale e la formazione privacy è altrettanto importante, non solo limitatamente alla singola Azienda, ma con riferimento all’intera filiera: è tutto collegato, tutto consequenziale, il funzionamento di ciascun anello assicura il buon funzionamento della catena. Per questo si suggerisce alle aziende di effettuare un controllo sulla filiera! Pertanto, formare gli incaricati assicurerebbe una maggior tutela dei dati ed un minor rischio di incombere in adempimenti poco “GDPR compliant”.

Privacy e Cybersecurity

La formazione è efficace solo se accompagnata ad un altro tassello: la sicurezza informatica-cybersecurity. Si tratta di un ulteriore aspetto spesso poco compreso dai “piani alti aziendali”. Solitamente le Aziende ritengono antieconomico spendere tanti soldi per salvaguardare la rete informatica, ma in realtà è fondamentale individuare i punti deboli e scegliere i corretti strumenti di protezione. In questo modo è possibile salvare le aziende da attacchi che potrebbero condurre al fallimento totale. Per fare un esempio: se qualcuno dovesse rubare tutta la documentazione digitale in possesso di una realtà che non effettua alcun tipo di backup (in lesione al core business aziendale), un attacco potrebbe fermare l’intera produzione poiché non potrebbe essere garantita in alcun modo la continuità del business (cd. Business Continuity).

Negli ultimi anni sentiamo parlare frequentemente di attacchi informatici: il rischio di subirne uno, infatti, è elevatissimo poiché diversi gruppi di attaccanti o hacker professionisti sono abili nel rubare dati e richiedere riscatti, mettendo così KO intere infrastrutture informatiche. Più le aziende sono informatizzate e più queste si affidano a infrastrutture poco sicure, maggiore è il danno che possono subire.
Il mondo della sanità è uno dei più soggetti ai rischi legati al furto di dati, anche particolari (riguardanti visite o referti medici). Questi, una volta sottratti, sono venduti a caro prezzo – o peggio – messi nella disponibilità di chiunque. Capite bene come la sicurezza informatica in questo caso sia davvero un tassello imprescindibile e, purtroppo, ancora sottostimato.

Tecnologia o sicurezza?

Se da un lato non possiamo invertire la rotta e fermare il progresso tecnologico, necessario nel processo di evoluzione (non tocchiamo Darwin, lasciamolo ad altri professionisti del settore), dall’altro lato dobbiamo imparare a valutare i rischi, introducendo misure di sicurezza secondo il principio di privacy by design di cui al considerando 78 del GDPR. Già in fase di progettazione è, infatti, fondamentale vigilare e vagliare ogni aspetto e conseguenza al fine di limitare i fattori di rischio ed evitare possibili incidenti.
Un buon business aziendale deve poter contare anche su un sistema privacy strutturato per preservare al meglio i dati personali trattati e, in adempimento ad uno specifico obbligo o comunque per una migliore Accountability, l’Azienda deve avvalersi della figura del Data Protection Officer (DPO).
La stabilità di ciascuna realtà è legata indissolubilmente alla presenza di questi mattoncini che, impilati correttamente uno dopo l’altro, aiutano a preservare e a tutelare ciascun dato trattato.

Le sanzioni oggi

Ma qual è il livello di conformità delle Aziende GDPR? Come è stato recepito il regolamento? Per rispondere a questa domanda, analizziamo la questione e procediamo per esclusione, identificando il numero di aziende e la tipologia delle sanzioni pecuniarie inflitte.

Per ricordare le sanzioni comminate nel Regolamento Europeo, rispolveriamo i seguenti valori:
– fino a 10.000.000€ (o fino al 2% del fatturato se maggiore di 10.000.000)
– fino a 20.000.000€ (o fino al 4% del fatturato se maggiore di 20.000.000)

Sanzioni in italia

Vediamo ora nel dettaglio cosa è accaduto in Italia con l’entrata in vigore del GDPR. Dal 2018 ad oggi, infatti, l’Autorità ha irrogato sanzioni per un valore totale di 132.856.000€, con circa 287 multe emesse: con questo valore l’Italia si posiziona al 4° posto della classifica europea relativa alle sanzioni (bene ma non benissimo, l’unica consolazione è che non siamo sul podio).

La sanzione più elevata risale al 2020, emessa nei confronti dell’operatore delle comunicazioni TIM per un ammontare di 27.800.000€: sono milioni di euro! A cosa è dovuto un valore così elevato? Delle molteplici motivazioni, le più importanti riguardano:

• la mancanza di consenso per le finalità di invio di comunicazioni commerciali verso Interessati, iscritti nel registro delle opposizioni;
• l’utilizzo di un solo consenso per molteplici finalità;
• la mancanza di un consenso specifico per attività/finalità di marketing.

Possiamo dire che nella TOP 10, per valore di multe ricevute, troviamo spesso compagnie telefoniche (si pensi a Wind Tre, Vodafone, Fastweb), sanzionati principalmente per il cosiddetto “telemarketing selvaggio”. A tal proposito, nel 2023 il Garante italiano (GPDP) ha approvato un nuovo Codice di Condotta per il Telemarketing, il quale permetterà di uniformare e dettagliare lo svolgimento delle attività promozionali per mezzo telefonico. La speranza, dunque, è quella di vedere meno sanzioni di questo tipo perché ciò dimostrerà l’efficacia delle regole previste dal Codice.

Un’altra sanzione di rilievo è stata irrogata nei confronti di Clearview AI Inc. nel 2022, per un valore di 20.000.000€: l’Autorità ha contestato l’applicazione di tecniche di sorveglianza con riconoscimento biometrico sul territorio italiano che prevedevano poi un trasferimento dei dati negli USA presso la sede dell’Azienda. Quindi, mediante il servizio di ricerca e la creazione di profili basati su dati biometrici, l’Organizzazione aveva trattato illegalmente i dati contenuti nella banca dati, in assenza una corretta base giuridica e in compresenza con ulteriori inadempienze.

Il Garante italiano però e per fortuna – oserei dire- non ha comminato soltanto sanzioni milionarie, ma anche con importi limitati ad alcune centinaia di euro. L’applicazione delle multe dipende infatti da numerosi fattori: la tipologia, la gravità, la natura e la durata della violazione, nonché il numero di interessati coinvolti e il fatturato dell’azienda.

L’attività sanzionatoria, interpretata da un punto di vista più educativo che punitivo, rappresenta un monito anche per tutte le Aziende, che possono apprendere dagli errori altrui e possono avviare attività e processi per garantire maggior tutela e protezione dei dati personali che trattano. Un auspicio per il domani, nella speranza che presto la quasi totalità delle aziende operi nel rispetto dei diritti degli Interessati e che nasca una cultura della protezione dei dati che in questo momento è ancora molto embrionale.