Analisi. L’ex garante spiega il nuovo regolamento per la tutela dei dati personali Entrerà in vigore dal 25 maggio 2018
08 Maggio 2018Pubblichiamo l’analisi di Franco PIZZETTI, docente Ordinario di Diritto Costituzionale all’Università degli Studi di Torino, sul nuovo regolamento per la tutela dei dati personali che andrà in vigore il 25 maggio p.v. nell’Unione Europea, presentata nella pagina 13 del settimanale «La Voce e il Tempo» di domenica 6 maggio:
Il 25 maggio entrerà in piena attuazione in tutta l’Unione europea il «Regolamento generale per la tutela dei dati personali» noto come Gdpr, secondo l’acronimo inglese.
La nuova normativa sostituisce le leggi nazionali. Infatti il Regolamento deve essere applicato nello stesso modo in tutta l’Ue perché tutela il diritto fondamentale dei cittadini europei alla protezione dei loro dati. Continuare ad applicare le leggi nazionali sarebbe come se la libertà personale o di pensiero o di riunione fosse disciplinata diversamente da regione a regione.
I legislatori nazionali perdono ogni sovranità in materia, salvo che per limitati settori quali informazione, diritto al lavoro, pubblicità degli atti della Pa, attività statistiche, di ricerca scientifica, storica, archivistica. Inoltre gli Stati membri potranno stabilire a che età, compresa fra i 16 e i 13 anni, i minori, ai quali vengono offerti servizi della società dell’informazione, possono esprimere un valido consenso. Gli Stati potranno inoltre compiere alcune scelte in materia di salute e di sanità, e prevedere in casi specifici anche sanzioni penali.
Fuori da questi settori si applica integralmente il Gdpr. Dunque, dal 25 maggio tutti i cittadini europei avranno la medesima tutela rispetto ai trattamenti dei loro dati personali, da chiunque e per chiunque finalità posti in essere. È una cosa molto importante perché nel mondo contemporaneo i dati, soprattutto quelli personali, sono sempre più utilizzati per servizi e prestazioni di ogni tipo. Non si tratta più di tutelare soltanto la privacy intesa come riservatezza. Ormai quasi tutti i servizi di cui ci avvaliamo e le attività quotidiane della nostra vita di relazione comportano la circolazione dei nostri dati, che devono essere conosciuti e usati per darci servizi e conserntirci di coltivare la rete di rapporti che è parte integrante della nostra vita.
In questo contesto il problema non può più essere quello di limitare la circolazione delle informazioni che noi stessi forniamo ogni volta che facciamo un acquisto on line, che utilizziamo un social, che comunichiamo via smartphone, che interroghiamo un motore di ricerca, che facciamo un acquisto o una prenotazione o un pagamento on line.
Né può più bastare prevedere che i dati circolino solo previo consenso espresso da parte degli interessati. La crescente quantità di servizi di cui ci gioviamo ogni giorno on line e lo sviluppo inarrestabile delle tecnologie digitali, impongono di garantire non tanto il nostro consenso (un consenso che comunque siamo costretti a dare se vogliamo usare questi servizi) quanto che essi restino sotto il nostro controllo.
È sempre più importante definire le responsabilità a cui deve far fronte chi usa i nostri dati per le finalità che sono sue ma quasi sempre sono anche nostre, come avviene quando on line chiediamo un servizio, acquistiamo un prodotto, comunichiamo con altri. Spetta dunque a chi tratta i nostri dati e per questo assume la qualifica di titolare dei trattamenti, tutelare le informazioni che ci riguardano, informarci in modo chiaro e comprensibile a tutti dell’uso che ne fa, garantire che i trattamenti avvengano in modo sicuro, adottando le misure organizzative e tecniche necessarie.
La circolazione dei dati, anche personali, è essenziale per l’economia e la società digitale. Quello che si vuole è garantire che la circolazione dei dati e lo sviluppo dell’economia digitale possa avvenire in un clima di fiducia nelle innovazioni tecnologiche e nelle nuove opportunità che il mondo digitale offre. È evidente che se si vuole avere la fiducia dei cittadini occorre che i loro dati siano protetti; che gli obblighi e le responsabilità di chi li utilizza siano chiari; che essi siano sempre informati in modo semplice, leale e comprensibile degli scopi dei trattamenti dei loro dati; che le Autorità di controllo siano subito informate se ci sono perdite di dati personali.
Visto così, il Gdpr ha come fine ultimo non solo la tutela di un diritto fondamentale europeo, ma l’elevazione dello standard di civiltà dell’Unione Europea. Questo composta anche nuovi diritti a favore degli interessati, legati alle innovazioni che la tecnologia, specialmente nel quadro dell’Intelligenza artificiale, già oggi rende possibili.
Sempre più saranno numerose, e potenzialmente invasive, le macchine in grado di analizzare i dati relativi alle persone per trarne informazioni ulteriori, per decidere in modo automatizzato se consentire o no l’accesso a un servizio, per decidere come e in che posizione inserire in una lista la richiesta di una prenotazione, per accettare o rifiutare un pagamento. Sono già in fase di sperimentazione auto senza guidatore, tecniche di riconoscimento facciale e vocale sempre più raffinate, tecnologie automatizzate in grado di pronosticare più tempestivamente i sintomi di malattie, di scoprire nuovi farmaci, di assicurare più lunghe opportunità di vita. In questo modo, qui appena evocato, sarà sempre più importante garantire che una persona possa opporsi a un trattamento facendo valere il suo specifico e prevalente interesse; chiedere che sia interrotto un trattamento che ritiene illegittimo; che siano cancellati dati diffusi illegittimamente nella rete; che i trattamenti in atto siano limitati fino a che non se ne dimostri la liceità e legittimità. Sopratutto è importantissimo il diritto per le persone di conoscere la logica della macchina che assume decisioni vincolanti nei suoi confronti, sia che si tratti di uno sportello di metropolitana che non si apre perché la videocamera non ha riconosciuto il nostro visto (cosa che potrà accadere ben prima di quanto pensiamo), sia che si tratti di una prenotazione per un intervento medico urgente che la macchina ci fissa per una data che solo lei decide in base a istruzioni che solo lei conosce.
Riassumendo: siamo in presenza di una nuova normativa importantissima che vuol conciliare una elevata protezione dei dati personali con una loro sempre più ampia e libera circolazione, in un contesto giuridico che ha come scopo ultimo elevare la fiducia dei cittadini.
A tal fine, da un lato si aumentano moltissimo i doveri e le responsabilità di chi tratta i dati sia imponendo che adotti modalità adeguate ai rischi che le sue attività comportano, sia dando agli interessati una informativa ampia e chiaramente comprensibile a tutti. Da un altro lato si aumentano i diritti delle persone di potersi opporre ai trattamenti che le riguardano, di poterne chiedere la limitazione, di poter chiedere la cancellazione di dati diffusi in rete (il famoso, e sempre mal capito, diritto all’oblio). Dare piena attuazione al Gdpr non è solo un dovere giuridico. Significa tutelare i nostri diritti, le nostre libertà e persino la nostra responsabilità di scegliere e decidere nel mondo del digitale. In altre parole significa difendere il nostro libero arbitrio.