Big Data e profili di responsabilità d’impresa: le novità del GDPR
di Fabiana Brigante
Le innovazioni nelle tecnologie dell’informazione e della comunicazione e Internet hanno rivoluzionato le forme di interazione tra individui. Da un lato, queste tecnologie sono considerate strumenti cruciali per migliorare il godimento dei diritti umani, come l’accesso all’informazione, il diritto a un livello di vita adeguato, all’istruzione, alla salute e allo sviluppo. D’altra parte, i cambiamenti nelle tecnologie hanno aumentato le opportunità per gli Stati di sorvegliare ed intervenire nella vita privata dei propri cittadini.
Sorveglianza e censura nel regno digitale rappresentano una seria minaccia per il godimento, rispettivamente, dei diritti alla privacy e alla libertà di espressione; anche se gli Stati hanno il potere di comprimere, a determinate condizioni ed entro certi limiti, questi diritti – per esempio, nel cercare di indagare sulla commissione di un crimine o impedire la diffusione di discorsi di incitamento all’odio e pornografia infantile – l’interesse alla tutela della sicurezza pubblica può facilmente degenerare in interferenze illecite o arbitrarie che mettono a repentaglio il godimento dei diritti umani da parte degli individui.
Mentre la responsabilità delle violazioni dei diritti umani è in primo luogo dei governi, le società, in particolare i fornitori di servizi Internet (Internet Service Providers), svolgono un ruolo centrale nel fornire agli Stati i mezzi necessari per perpetrare gli abusi sopra citati. Non solo i providers possono filtrare o censurare le informazioni, ma possono diventare veri e propri ‘informatori’ dei governi, fornendo a questi ultimi i dati raccolti dagli utenti online o rivelando la loro identità.
Ma come possono le imprese interferire con il diritto alla privacy dei propri utenti? I cambiamenti nella tecnologia e l’emergere di nuovi modelli di business hanno permesso alle aziende di raccogliere, archiviare, manipolare e condividere quantità crescenti di dati dei consumatori. Nella vita di tutti i giorni, infatti, le persone producono un’enorme quantità di dati raccolti, raccolti e analizzati dalle società; questo fenomeno ha assunto il nome di “Big data”. Questa raccolta e il salvataggio dei dati consentono alle aziende di focalizzare meglio la propria pubblicità; nel 2012, ad esempio, il New York Times ha spiegato come la catena di distribuzione Target Corporation potesse determinare dalle abitudini di acquisto delle donne se esse fossero o meno in dolce attesa. I telefoni cellulari sono in grado di calcolare la posizione dei loro proprietari, i portatili memorizzano gli acquisti online, le auto moderne registrano la velocità nella loro scatola nera.
Nel 2013 un tecnico della National Security Agency (NSA) degli Stati Uniti, Edward Snowden, rivelò l’esistenza di Prism, un programma di sorveglianza di massa che monitorava l’attività di Internet e telefonica di centinaia di milioni di persone in tutto il mondo. Si trattava di sorveglianza di massa indiscriminata, avente come obiettivi privati cittadini e istituzioni di vari paesi, inclusi alleati occidentali degli Stati Uniti e membri della NATO. Ancora, e più di recente, l’inchiesta su Cambridge Analytica – che rivelò come la società di analisi di dati legata all’ex consigliere di Trump, Steve Bannon, aveva violato 50 milioni di profili Facebook per influenzare le elezioni – ha puntato ancora una volta i riflettori sui pericoli che nell’era digitale minano il nostro diritto alla riservatezza.
Il 27 aprile 2016, l’Unione Europea ha adottato il Regolamento generale sulla protezione dei dati (GDPR); esso è divenuto applicabile in tutti gli Stati dell’Unione a partire dal 25 maggio 2018. Il GDPR riconosce che, mentre il libero flusso di informazioni è essenziale per il commercio, le informazioni personali devono essere protette per salvaguardare i diritti e le libertà fondamentali, in particolare il diritto alla privacy.
Il GDPR impone a qualunque ente o azienda, a prescindere dal luogo in cui sia collocata la sede legale e che fornisca servizi a cittadini dell’Unione, di osservare e garantire regole per la protezione e l’utilizzo dei dati forniti dagli interessati per il servizio richiesto e di sorvegliare attraverso apposite strutture operative responsabili il rispetto delle stesse, informando tempestivamente le vittime di eventuali violazioni.
Uno dei punti centrali del GDPR ruota attorno al concetto di accountability, o anche responsabilizzazione. A tal proposito emergono le figure de il titolare del trattamento e il responsabile del trattamento. Il primo, così come definito dall’art. 4 del GDPR, ha il compito di determinare “le finalità e i mezzi del trattamento di dati personali”; il responsabile del trattamento invece è individuato quale soggetto che “tratta dati personali per conto del titolare del trattamento”. Mentre sul titolare del trattamento grava l’obbligo di attuare politiche adeguate in materia di protezione dei dati, incluse la formazione del personale e la documentazione delle violazioni dei dati personali, il responsabile del trattamento è tenuto, tra le altre cose, ad obblighi di trasparenza verso il titolare e ad adottare tutte le misure tecniche ed organizzative tese a garantire la sicurezza dei dati. L’approccio scelto dal GDPR è adesso proattivo e non più reattivo, in quanto i singoli titolari sono chiamati a decidere quale sia il modo migliore per rispettare la disciplina del Regolamento nell’ambito dello specifico trattamento effettuato; la valutazione dei rischi per i diritti e le libertà degli interessati posti dalle specifiche attività di trattamento di dati personali è rimessa di fatto a ciascun titolare. Il GDPR, tuttavia, introduce alcuni criteri specifici che i titolari dovranno rispettare e che li potranno guidare nell’applicazione della disciplina, tra i quali rilevano, quelli di “privacy by design” e “privacy by default”. Il primo indica l’obbligo di prevedere già in fase di progettazione dei sistemi informatici e applicativi, di sistemi che tengano costantemente sotto controllo i rischi che il trattamento può comportare per la tutela degli interessati. Per “privacy by default”, invece, si intende la necessità, tutte le volte in cui un soggetto ceda i propri dati ad un terzo, dell’esistenza di una procedura interna che preveda e disciplini le modalità di acquisizione, trattamento, protezione e modalità di diffusione. Si parla dunque di ‘responsabilizzazione’ in quanto sono le imprese ad essere chiamate a compiere una valutazione delle attività che comportano trattamento e circolazione di dati personali e, sulla base di tale analisi, identificare i possibili rischi che possano derivarne per i diritti e le libertà degli individui coinvolti e predisporre un sistema di misure di sicurezza adeguate per porre in essere una protezione dei dati che sia effettiva.
Il GDPR, inoltre prevede la designazione della figura del Data Protection Officer (DPO), in italiano Responsabile della protezione dei dati, da parte del titolare del trattamento e del responsabile del trattamento; questa figura prima dell’entrata in vigore del Regolamento esisteva solo in alcuni ordinamenti degli Stati europei. Il DPO ha, in primo luogo, il compito di vigilare sull’osservanza del GDPR da parte dei titolari che gli affidano tale incarico. Tra le mansioni svolte dal DPO si possono annoverare: i) la raccolta di informazioni per individuare i trattamenti svolti; ii) l’analisi e la verifica della conformità dei trattamenti al Regolamento; iii) l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Altro compito affidato al DPO è quello di assistere il titolare del trattamento dei dati nello svolgimento della valutazione d’impatto sulla protezione dei dati.
Per quanto riguarda il sistema sanzionatorio previsto dal GDPR, esso si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie. Quando sia accertata la violazione delle norme sancite dal Regolamento, l’autorità di controllo competente (in Italia, l’Autorità Garante per la protezione dei dati personali) potrà individuare la sanzione ritenuta più adeguata al caso concreto. Inoltre il Regolamento prevede la possibilità per le Autorità garanti di adottare anche misure di tipo correttivo, come ad esempio ammonimenti al titolare e al responsabile in caso di violazioni della normativa, oppure imporre limitazioni ai trattamenti, fino a vietarli completamente.
Pochi giorni fa, precisamente l’8 agosto, è stato approvato il decreto legislativo di armonizzazione del Codice Privacy (d.lgs. n. 196/2003) e delle altre leggi dello Stato alla normativa europea. Sebbene i regolamenti europei siano, per definizione obbligatori in tutti i loro elementi e direttamente applicabili in tutti gli Stati membri, senza dunque bisogno di strumenti nazionali di recepimento o implementazione, nel caso del GDPR il legislatore europeo del 2016 ha preferito lasciare agli Stati alcuni margini di manovra. Sono comunque fatti salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.