Informativa sulla privacy dopo il Gdpr: cosa deve contenere?

Posted on : 27-05-2018 | By : admin | In : Attualità e Società, feed

0

Come adeguarsi alla nuova legge sulla privacy e come aggiornare la modulistica da far firmare agli utenti.

Il 14 maggio 2016 è stato pubblicato, sulla Gazzetta Ufficiale dell’Unione Europea, il famoso GDPR, ossia il General Data Protection Regulation, meglio conosciuto come il regolamento sulla privacy (Regolamento UE n. 2016/679). In materia di trattamento dei dati personali, la nuova normativa ricalca il vecchio codice della privacy, salvo prevedere obblighi più stringenti e informative più chiare. Proprio per mettersi in regola con il mutato quadro normativo, le aziende hanno provveduto ad aggiornare l’informativa sulla privacy, quel lungo modulo che viene puntualmente fatto firmare alla clientela la momento della firma di un contratto e che sintetizza le misure adottate dall’azienda o dal professionista nella conservazione e utilizzazione dei dati altrui. Se hai deciso di costituire una nuova attività o ne hai già una e vuoi solo metterti in regola con la nuova legge, ecco cosa deve contenere l’informativa sulla privacy dopo il Gdpr.

Cosa deve contenere l’informativa sulla privacy?

C’è un contenuto minimo che ogni informativa sulla privacy deve necessariamente contenere. L’elenco, che troverai qui di seguito e che dovrai rispettare “alla lettera” se non vuoi incorrere nelle sanzioni amministrative, potrà sembrarti eccessivamente generico, ma non può essere diversamente visto che la legge non poteva diversificare le multiformi ipotesi imprenditoriali che esistono. Non per questo, però, tu puoi essere altrettanto generico. Difatti le informative devono essere date con linguaggio chiaro, facilmente comprensibile da tutti e devono fornire un’informazione leale e completa.

Per cui, se hai deciso di scrivere la nuova informativa sulla privacy da far firmare ai tuoi clienti, ecco gli elementi che non puoi assolutamente dimenticare di inserire:

  • l’identità e i dati di contatto del titolare del trattamento: si tratta della ragione sociale della tua azienda (se persona giuridica) o dell’imprenditore (se persona fisica o ditta individuale);
  • i dati di contatto del Dpo (Data protection officer), se nominato;
  • i dati di contatto del responsabile della protezione dati, ove applicabile;
  • la finalità del trattamento: devi spiegare perché ti servono i dati dei tuoi clienti e per quali ragioni hai la necessità di conservarli;
  • la base giuridica su cui si fonda il trattamento e l’interesse legittimo nel caso in cui questo costituisca la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’eventuale trasferimento dei dati personali in Paesi terzi e, in caso affermativo attraverso quali strumenti.

Quando possono essere trattati i dati altrui?

Per poter trattare i dati altrui, è necessario che l’utente abbia dato il proprio consenso. Il consenso non si può più presumere come un tempo. Per cui non puoi inviare informazioni commerciali solo perché il destinatario non ha mai espresso il diniego al trattamento dei propri dati. In più l’utente deve essere messo dinanzi alla possibilità di scegliere se fornire o meno il proprio consenso, senza possibilità di prevedere solo la prima ipotesi.

In alternativa il trattamento è consentito solo se necessario all’esecuzione di un contratto che l’interessato ha accettato e firmato o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso.

Il trattamento può essere ammesso anche:

  • per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento;
  • perché necessario per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica;
  • perché necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
  • ecc.

Cos’è il principio di accountability?

  • Il titolare, in base al principio di accountability, deve dimostrare in qualunque momento di rispettare il Gdpr e in particolare di aver applicato i principi fondamentali relativi al trattamento, tra i quali, oltre quello di liceità e correttezza, anche e soprattutto il principio di trasparenza.

Chi deve nominare il Dpo?

La nomina del Dpo (il Data protection officer) non è obbligatoria nella generalità dei casi. Diventa invece necessaria nelle seguenti ipotesi:

  • il trattamento dei dati è effettuato da un’autorità e/o un ente pubblico;
  • le attività core del titolare o del responsabile del trattamento si identificano in trattamenti che richiedono un monitoraggio continuo e sistematico, su larga scala, di interessati;
  • le attività core del titolare o del responsabile del trattamento si identificano in trattamenti su larga scala di categorie speciali di dati o di dati relativi alle condanne penali e ai reati o connesse misure di sicurezza.

Quali sono i dati personali?

Per dato personale s’intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Quali sono i dati sensibili?

Sono dati sensibili quelli che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Rientrano tra queste categorie:

  • i dati relativi alla salute: dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
  • i dati genetici: dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
  • i dati biometrici: dati personali ottenuti da un trattamento tecnico specifico, relativi al- le caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

GDPR e blog: come gestire i dati degli iscritti

Posted on : 25-05-2018 | By : admin | In : Attualità e Società, feed

0

Ho un blog dove gli iscritti possono registrarsi per commentare gli articoli. In vista dell’imminente entrata a regime del GDPR, cosa devo fare dei dati degli iscritti? In attesa di decidere se chiedere eventualmente un nuovo consenso o togliere proprio le funzioni interattive, posso/devo cancellare i dati degli utenti dal database, anche se in questo modo si dovesse perdere eventualmente la cronologia delle loro operazioni? Per cancellare i loro dati o spostare il sito così com’è su un hosting più sicuro, come dovrei avvertirli preventivamente? Potrei contattarli uno per uno, anche se questo non fosse espressamente previsto dalla privacy policy (di Iubenda), o è meglio pubblicare un banner in homepage o sulla pagina Facebook, anche se qualcuno potrebbe lamentare successivamente di non averlo visto? E che fare della Facebooklikebox e dei pulsanti social?

Il regolamento generale sulla protezione  dei dati UE 2016/679, nel Considerando 171 evidenzia che “qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento”.

Pertanto, a parere dello scrivente, il lettore non dovrà raccogliere un nuovo consenso o cancellare i dati in suo possesso bensì provvedere all’adeguamento alla nuova normativa e, nello specifico:

1) Proteggere i dati personali con sistemi cifrati, programmi informatici o ogni altro strumento che consente di evitare la dispersione e/o la distruzione.

2) Indicare, in modo chiaro e leggibile, preferibilmente nella home page del blog, le informazioni esplicate all’art. 13 del Regolamento, quali ad esempio i dati di contatto del responsabile del trattamento dei dati o il periodo di conservazione dei dati personali.

3) Indicare la possibilità, per l’utente, di esercitare il diritto di accesso ai propri dati.

4) Indicare il diritto all’oblio e alla cancellazione dei dati personali se non più necessari allo scopo per i quali sono stati prestati.

Con riferimento a Facebook e agli altri social network, il lettore potrà adottare i medesimi provvedimenti.

Quanto evidenziato, viene affermato per i seguenti motivi.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, prossimamente in vigore, è relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in abrogazione della direttiva 95/46/CE (regolamento generale sulla protezione dei dati) [GDPR – General Data ProtectionRegulation].

Il Regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri a partire dal 25 maggio 2018.

La normativa consta di 99 articoli la cui lettura approfondita evidenzia gli adempimenti da compiere e le modifiche da porre in essere in ossequio della legge.

Come statuito nell’art. 2 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.” La norma riguarda pertanto il trattamento e l’archiviazione di dati personali in modo automatizzato o non automatizzato.

L’art. 4 del regolamento è molto interessante in quanto espone le definizioni dei concetti fondamentali da tenere presente.

Ai fini del presente regolamento s’intende per:

1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

3) “limitazione di trattamento”: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;

4) “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;

5) “pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) “archivio”: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

8) “responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) “destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) “terzo”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) “violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

13) “dati genetici”: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;

14) “dati biometrici”: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;

15) “dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) “stabilimento principale”:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) “rappresentante”: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) “impresa”: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;

19) “gruppo imprenditoriale”: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;

20) “norme vincolanti d’impresa”: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune;

21) “autorità di controllo”: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;

22) “autorità di controllo interessata”: un’autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) “trattamento transfrontaliero”:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) “obiezione pertinente e motivata”: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;

25) “servizio della società dell’informazione”: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio [1];

26) “organizzazione internazionale”: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

L’art. 5, relativo ai principi applicabili al trattamento dei dati personali evidenzia che:

1. I dati personali sono:

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (“limitazione della finalità”);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (“esattezza”);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (“limitazione della conservazione”);

f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”).

Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”).

In sintesi, i dati personali devono essere trattati in maniera lecita e trasparente, raccolti per fini palesi, espliciti e pertinenti rispetto allo scopo che si desidera perseguire. I medesimi dati devono essere inoltre esatti e, se necessario, devono essere aggiornati, conservati per un periodo di tempo predeterminato e comunicato agli utenti. Infine, i dati devono essere protetti adeguatamente con misure tecniche e informatiche apposite onde evitare la perdita e la distruzione.

L’art. 6 del Regolamento disciplina la liceità del trattamento:

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; …”. Questo è, nello specifico, il caso che riguarda il lettore, infatti, come da questi sottolineato, gli utenti del suo blog, dopo avere letto le policy sulla riservatezza, davano il consenso al trattamento dei dati personali.

L’art. 7 disciplina le condizioni per il consenso:

1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Tale circostanza è facilmente dimostrabile in quanto sul blog l’utente, prima di prestare il consenso legge le policy e può, in qualsiasi momento, revocarlo.

L’art. 13 disciplina le informazioni da fornire qualora i dati personali siano raccolti presso l’interessato:

1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Queste sono le informazioni che devono essere fornite agli utenti del blog, preferibilmente in una pagina ben visibile.

Articolo tratto dalla consulenza resa dall’avv. Rossella Blaiotta

Le lettere dell’avvocato sono coperte da privacy?

Posted on : 24-05-2018 | By : admin | In : Attualità e Società, feed

0

La corrispondenza tra legale e assistito non può essere oggetto di acquisizione da parte della polizia. Ciò vale anche per un bigliettino da visita piegato in due.

Se dovessi avere problemi con la giustizia, non solo hai diritto ad avere un avvocato; non solo questo diritto implicherebbe la possibilità di parlare con lui in modo riservato, ma anche di avere una corrispondenza segreta. Per corrispondenza si intende qualsiasi oggetto di carta (oggi anche telematico) su cui è scritto un messaggio: basterebbe anche un bigliettino da visita piegato in due. La polizia non potrà mai chiederti di consegnarle il foglio per vedere cosa c’è scritto. A ricordare che le lettere dell’avvocato sono coperte da privacy è una sentenza della Corte Europea dei diritti dell’Uomo pubblicata poche ore fa [1].

La norma di riferimento da cui si evince che le lettere dell’avvocato sono coperte da privacy è l’articolo 8 della Convenzione Europea dei Diritti dell’Uomo, un trattato che anche l’Italia è tenuta a rispettare e le cui violazioni possono dar diritto a ricorrere alla Corte di Strasburgo (appunto la Corte Europea dei Diritti dell’Uomo, più semplicemente chiamata con l’acronimo Cedu). Questa norma ha un contenuto molto ampio: non si riferisce solo alle comunicazioni con il legale ma a qualsiasi tipo di corrispondenza. L’articolo va sotto il titolo «Diritto al rispetto della vita privata e familiare» e così recita:

«1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.

2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui».

L’applicazione di questo principio anche alle comunicazioni tra avvocato e cliente è fondamentale per garantire il diritto alla difesa. L’intrusione della forza pubblica nella corrispondenza tra difeso e difensore, l’intercettazione e l’apertura della corrispondenza, fosse anche a scopo di prevenzione di ulteriori reati, è – almeno in assenza di validi motivi imperativi (si pensi ai reati di terrorismo internazionale) – una arbitraria ingerenza nei diritti tutelati dalla Convenzione.

Ecco perché la Corte ha detto che il messaggio, redatto su un foglio piegato a metà, scambiato tra un legale ed un cliente  rientra nel concetto di corrispondenza coperta da privacy. La segretezza della stessa gode di una tutela rafforzata da parte della Convenzione sui diritti dell’uomo, necessaria all’esercizio dei diritti di difesa. È irrilevante quale sia il suo contenuto, la forma, la finalità e se il destinatario od il mittente sia un detenuto: essendo dati strettamente confidenziali sono coperti da segreto professionale ed espressione del rapporto fiduciario col cliente.

La corrispondenza tra avvocato e cliente può però essere limitata solo per fini legittimi in rari e tassativi casi: questi sono la tutela della sicurezza, dell’ordine pubblico, prevenzione dei crimini più gravi. In più ci deve sempre essere il «sospetto del compimento di un atto illecito non rilevato dagli ordinari meccanismi di controllo». Quindi non è possibile l’apertura della corrispondenza  tra cliente e avvocato per funzioni di prevenzione. Se non c’è nessun elemento che faccia sorgere detto sospetto, la polizia non può intercettare dette comunicazioni che restano riservate e coperte da privacy.

Pur non essendo tale comportamento da parte del poliziotto un reato, esso è pur sempre «una lesione del principio di libera comunicazione tra un avvocato ed il suo cliente». Nel caso di specie «l’intercettazione e l’apertura della corrispondenza scambiata tra il ricorrente, in qualità di avvocato ed i suoi clienti non rispondevano ad alcun bisogno sociale imperioso e, perciò, non erano necessarie in una società democratica».

Gdpr: cos’è e cosa prevede per gli avvocati

Posted on : 20-05-2018 | By : admin | In : Attualità e Società, feed

0

Come devono adeguarsi gli avvocati al nuovo regolamento europeo in materia di protezione dei dati personali? Ecco il modello per essere al sicuro.

Il tam tam mediatico è stato quasi senza precedenti: dal 25 maggio 2018 entra in vigore il nuovo regolamento europeo in materia di protezione dei dati personali. Giornali e televisioni ne hanno parlato come di una svolta epocale per la tutela del diritto alla privacy dei cittadini, con risvolti e conseguenze difficilmente immaginabili.

Ma è proprio così? Il nuovo regolamento segnerà davvero un punto di non ritorno? Quali saranno le implicazioni concrete per gli avvocati? Cerchiamo di capirne un po’ di più con questo articolo. E allora: cos’è il Gdpr e cosa prevede per gli avvocati?

Gdpr: cos’è?

Il nuovo regolamento europeo in materia di protezione dei dati personali (per brevità chiamato Gdpr, acronimo che sta per General data protection regulation) [1] è stato adottato dall’Unione Europea sulla scorta di una semplice considerazione: i dati personali dei cittadini rappresentano, nel mondo di oggi, un bene giuridico di primo rilievo, al pari della libertà di pensiero, della libertà personale e del diritto di esprimere il proprio pensiero.

La globalizzazione, l’e-commerce, internet, i social network hanno creato una rete di dati e di scambio di informazioni talmente fitta da dover essere necessariamente rivista e tutelata. La privacy assurge quindi a diritto fondamentale del cittadino europeo. Proprio questo è l’obiettivo principale del regolamento: tutelare il diritto alla riservatezza del singolo individuo, proteggerlo da invasioni della sua sfera privata.

La veridicità di quanto appena detto è facilmente verificabile: quante mail indesiderate riceviamo quotidianamente da parte di siti a cui non siamo nemmeno iscritti? Quante volte siamo contattati telefonicamente da operatori che ci propongono offerte di beni e servizi che non abbiamo richiesto?

Gdpr: a chi è rivolto?

In effetti, il nuovo regolamento europeo in materia di protezione dei dati personali è rivolto principalmente alle grandi società, cioè agli enti che trattano una grande quantità di dati personali. In modo più specifico, la nuova disciplina riguarderà tutti i tipi di imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Il Gdpr impone a ogni organizzazione l’onere di assumersi maggiori responsabilità sui dati degli utenti e di compiere tutte le attività necessarie a proteggerli, dall’obbligo della cifratura dei dati a quello di notificare, entro 72 ore, all’Autorità di protezione dei dati una qualsiasi possibile violazione di dati personali (cosiddetto data breach), con multe fino a un massimo di 20 milioni di euro o, nel caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale.

Trattandosi di un regolamento europeo, la nuova disciplina sulla privacy sarà direttamente applicabile in tutti gli Stati membri dell’Unione Europea, senza necessità di un atto interno di recepimento (ad esempio una legge, un regolamento, ecc.). Di conseguenza, in tutti i Paesi dell’Unione si applicherà la stessa disciplina in materia di privacy, con conseguente abrogazione delle precedenti normative in contrasto con essa.

Da ciò segue un’ulteriore conseguenza: non solo le imprese e le istituzioni europee dovranno adeguarsi al nuovo Gdpr, ma anche tutti i soggetti (società, imprese, ecc.) che in esse lavorano oppure che offrono servizi in questi Paesi. Anche colossi come facebook e whatsapp, pertanto, dovranno rispettare la nuova normativa europea.

Gdpr: cosa sono i dati personali?

Il Gdpr attribuisce alle persone il diritto di conoscere e controllare ciò che accade con i propri dati personali, di assicurarsi che queste informazioni siano gestite con cura, tutelate rispetto ai più elevati standard di protezione possibile, di essere a conoscenza di quali dati vengono trasmessi a terze parti e come gli stessi dati vengono utilizzati.

L’incipit del sesto considerando del nuovo regolamento europeo in materia di protezione dei dati personali è oltremodo significativo: «La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo». È questo il cuore della nuova normativa: la tutela dei dati personali soggetti ad una circolazione di massa in ragione dell’uso (oramai indispensabile) dei moderni mezzi di comunicazione.

Fondamentale, quindi, è comprendere cosa si intenda per dato personale, protagonista assoluto del nuovo regolamento. Il Gdpr lo definisce come «qualsiasi informazione riguardante una persona fisica identificata o identificabile», con l’ulteriore precisazione che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» [2].

Come detto sopra, quindi, il regolamento è sì rivolto alle grandi imprese, ma l’oggetto della tutela è la persona fisica, il singolo individuo, indipendentemente dalla sua nazionalità o dalla residenza. Ne restano escluse, quindi, tutte le persone giuridiche (in linea di continuità, peraltro, con quanto già previsto dal Codice della Privacy).

Un secondo elemento di fondamentale importanza è la determinazione delle tipologie di attività rilevanti ai sensi della nuova normativa: la disciplina introdotta dal regolamento dovrà essere applicata ai casi di trattamenti di dati personali interamente o parzialmente automatizzati, nonché ai trattamenti manuali che abbiano a oggetto dati personali contenuti o destinati a essere contenuti in archivi. Cosa significa?

Significa che la nuova protezione è destinata ai dati delle persone fisiche, sia che essi siano trattati in maniera automatica tramite software specializzati che provvedono alla loro automatica gestione, sia nel caso in cui il trattamento avvenga in modo tradizionale, ma pur sempre destinato alla conservazione duratura.

Gdpr: quando il trattamento dei dati personali è lecito?

Secondo il nuovo regolamento sulla privacy, il trattamento dei dati personali è lecito solamente se:

  • c’è il consenso espresso dell’interessato al trattamento per una o più specifiche finalità (ad esempio, nel caso di incarico conferito ad un avvocato, il consenso espresso riguarderà il trattamento dei dati ai fini difensivi e/o giudiziari);
  • il trattamento è assolutamente necessario all’esecuzione di un contratto di cui l’interessato è parte (sempre in riferimento al mandato conferito all’avvocato, questi difficilmente potrebbe esercitare la sua professione senza essere a conoscenza dei dati del cliente);
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore [3].

Il regolamento, in maniera condivisibile, lascia agli Stati membri il compito di integrare le previsioni europee mediante disciplina di dettaglio volta non a derogare (non sarebbe possibile) ma a specificare i principi generali del regolamento stesso.

Gdpr: quando non si applica?

Da quanto detto finora possiamo già fissare alcuni confini del regolamento europeo sulla protezione dei dati personali. Abbiamo precisato, infatti, che la nuova disciplina:

  • si applica in maniera uniforme in tutta Europa;
  • tutela i dati personali delle sole persone fisiche;
  • è rivolta alle persone giuridiche che trattano i dati personali in modo automatizzato o manuale, in qualsiasi forma o modalità;
  • si applica a tutti coloro che agiscono nell’Unione Europea, anche se non vi hanno la sede o la residenza.

Precisiamo ancor più i contorni dicendo che il Gdpr non copre per intero il raggio d’azione dell’Unione Europea. Cosa vuol dire? In altre parole, se è vero che il regolamento sulla protezione dei dati personali è direttamente applicabile ad ogni Stato membro e a tutti coloro che operano nell’Ue, è altrettanto vero che l’attuazione indiscriminata della nuova disciplina rischierebbe di frenare alcuni settori dell’Unione. Ad esempio, il Gdpr non trova applicazione nel settore della politica estera e della sicurezza comune dell’Unione, oppure nelle attività delle autorità pubbliche competenti a fini di prevenzione, indagine, perseguimento di reati ed esecuzione di sanzioni penali.

Le ragioni della deroga sono comprensibili: le autorità giudiziarie che perseguono i crimini (si pensi alla lotta al terrorismo internazionale) avrebbero le mani legate se dovessero rispettare il Gdpr come sono di fatto obbligate le società.

A questa deroga se ne aggiunge un’altra: il nuovo regolamento europeo non si estende alle attività svolte a carattere esclusivamente personale e domestico da parte di persone fisiche, senza connessioni con attività commerciali o professionali, quali la corrispondenza o la creazione di indirizzari a uso personale, o il ricorso a social network e simili strumenti online, sempre per fini personali. Chi invece fornisce i mezzi per trattare i dati nell’ambito di attività personali o domestiche (come ad esempio, chi fornisce gli strumenti per scambiare dati tramite social network) è invece completamente soggetto all’applicazione delle norme previste dal Gdpr.

Gdpr: cosa cambia per i professionisti?

Il nuovo regolamento europeo in materia di protezione dei dati personali si applica non soltanto alle persone giuridiche, ma anche ai professionisti. Ed infatti, il Gdpr dice che il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri [4].

Questo significa che non solo le imprese, ma anche gli avvocati, gli architetti, gli ingegneri e, in genere, tutti i liberi professionisti devono adeguarsi alla nuova normativa. In concreto cosa cambierà? In verità non molto: il professionista dovrà sottoporre al proprio cliente un documento ove viene indicato espressamente il consenso al trattamento dei propri dati personali. Vediamo più nel dettaglio quali sono le informazioni che i professionisti e, in particolare, gli avvocati, devono fornire ai propri clienti.

Gdpr: cos’è previsto per gli avvocati?

L’avvocato, nel momento in cui riceve il mandato, viene a conoscenza dei dati personali del cliente: luogo e data di nascita, residenza, professione, ecc. L’avvocato, quindi, diventa il titolare del trattamento dei dati, dati che potrà divulgare solo a fini professionali e dietro consenso dell’interessato, cioè del cliente.

Secondo il regolamento europeo in materia di protezione dei dati personali [5], il titolare del trattamento (nel nostro caso, l’avvocato o, comunque, il professionista) fornisce all’interessato (l’assistito), nel momento in cui i dati personali sono ottenuti, alcune informazioni, tra cui:

  • i propri dati identificativi (nome, cognome, indirizzo, telefono, ecc.);
  • le finalità del trattamento cui sono destinati i dati personali;
  • i legittimi interessi perseguiti dal titolare del trattamento (chiaramente legati all’attività difensiva);
  • gli eventuali destinatari dei dati personali (controparti, autorità giudiziaria, organismi di mediazione, ecc.);
  • il periodo di conservazione dei dati personali, normalmente coincidente con quello del rapporto fiduciario;
  • l’esistenza del diritto del cliente di chiedere all’avvocato l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • l’obbligatorietà del trattamento dei dati legato al mandato conferito.

Qualora l’avvocato, titolare del trattamento, intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento è obbligato a fornire all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

Gdpr: cosa cambia per gli avvocati?

In effetti, che l’avvocato sia tenuto a chiedere il consenso al trattamento dei dati personali non è una novità: anche in precedenza, il legale, nell’ambito del mandato, faceva prestare il consenso secondo la normativa italiana [6]. Con il nuovo Gdpr le cose non cambiano in maniera sostanziale: in attesa di maggiori chiarimenti anche giurisprudenziali, sembra però opportuno essere più dettagliati nel momento in cui si sottopone il documento al cliente.

Nello specifico, sarebbe opportuno preparare un documento ad hoc da sottoporre al cliente, specificando tutte le condizioni che sopra abbiamo indicato. In caso contrario, se, cioè, si intende continuare ad inserire nel corpo della procura il consenso al trattamento dei dati personali, il regolamento europeo prescrive che la richiesta di consenso sia presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, affermando altresì che nessuna parte di una tale dichiarazione che costituisca una violazione del regolamento è vincolante [7].

Cliccando qui troverai un modello che potrai utilizzare nel caso in cui tu sia un avvocato.

Gdpr: cosa fare se il cliente è un minore?

Può sicuramente accadere che il cliente di un avvocato sia un minore. Cosa fare in questo caso? Il regolamento europeo sulla protezione dei dati personali  dice che il consenso si ritiene correttamente espresso anche se proviene da minore che abbia compiuto i sedici anni. La legge dello Stato, però, può prevedere anche un’età minore, purché non inferiore ai tredici anni [8].

Ove il minore abbia un’età inferiore ai sedici anni e non esista una legge che abbia abbassato tale limite, il trattamento è lecito soltanto se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Gdpr: come si trattano i dati sensibili?

Come già anticipato, il Gdpr non modifica in maniera sostanziale la definizione di dato personale. Alla stessa tregua, resta immutata la categoria dei dati sensibili, dovendosi intendere per essi quelli che rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

In questa ipotesi, il trattamento dei dati è vietato a meno che non vi sia consenso espresso e tali dati non siano essenziali per lo svolgimento dell’incarico conferito all’avvocato [9]. Si pensi, ad esempio, ad una violenza commessa nella convinzione (religiosa) di esercitare un proprio diritto: in questo caso il difensore avrà ben interesse a tirare in ballo, davanti al giudice, le opinioni religiose dell’imputato, in modo tale da farlo assolvere o, almeno, fargli ottenere uno sconto di pena. Non a caso, il regolamento dice che il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni.

GDPR: il paradosso della nuova legge sulla privacy

Posted on : 20-05-2018 | By : admin | In : Attualità e Società, feed

0

Tre ragioni per cui il GDPR non cambierà nulla per l’utente di internet e il consumatore tartassato dalla pubblicità.

Il 25 maggio 2018 entra in vigore il Gdpr, il nuovo Regolamento sulla Privacy che cancella definitivamente la legge 196 del 2003. La General Data Protection Regulation (è questo il significato dell’acronimo Gdpr) contiene una serie di obblighi in capo a chi raccoglie le informazioni dei propri clienti per evitare che i dati circolino e che, soprattutto, se ne faccia un uso distorto rispetto a quello dichiarato. Ecco perché è bene che l’utente venga messo al corrente di come verranno trattate tali informazioni che lui stesso dà, per quali scopi saranno utilizzate, per quanto tempo saranno conservate e come eventualmente chiederne la cancellazione (diritto che può essere fatto valere anche il giorno dopo aver fornito i dati). Chi ha già conosciuto la vecchia legge sulla privacy noterà numerosi punti in comune salvo un inasprimento degli obblighi di comunicazione che, da oggi, devono essere più chiari e analitici. Come dire: più spazi da firmare, più caselle da cliccare con il mouse. È inutile elencarli qui di seguito perché non è lo scopo di questo articolo. A noi interessa mettere in evidenza tre aspetti essenziali e, per certi versi, paradossali della nuova legge sulla privacy.

Il primo. La privacy è tutelata solo a parole, ma nei fatti il cittadino può fare ben poco per difendersi. Immaginiamo di ricevere un sms pubblicitario da parte di un politico per una imminente consultazione elettorale o quello di una nota catena di supermercati che ci comunica le promozioni della prossima settimana. Oppure – scena che si ripete quotidianamente – immaginiamo di aprire la nostra casella di posta elettronica e trovare 20 email di spam. In tutti questi casi il messaggio ci è stato inviato senza che noi avessimo mai prestato il consenso o avessimo mai avuto a che fare con questi soggetti. Felici e contenti per il fatto che ora siamo tutelati dalla Gdpr che facciamo? Andiamo dal giudice e chiediamo un risarcimento del danno. Ma la Cassazione dice che non si può [1]. Secondo infatti la giurisprudenza attuale, il danno non patrimoniale non può essere richiesto per i piccoli fastidi e inconvenienti della vita quotidiana come ad esempio la pubblicità sgradita [2]. Il pensiero della Cassazione è «non si può scomodare un giudice per un’email o un sms che puoi cancellare in poco meno di un secondo». In un certo senso la Corte ha ragione: ma allora che senso ha scrivere una norma se poi non può essere fatta rispettare? Abbiamo ingigantito la burocrazia senza dare tutela concreta al consumatore.

Il secondo. Aumentano le informazioni, diminuisce l’attenzione. Alzi la mano chi, in passato, ha mai letto le lunghe informative sulla privacy fornite all’atto dell’adesione a un servizio o della conclusione di un contratto sul web. In questi contesti, il fornitore si tutela quanto più possibile ed elenca una sfilza di notizie e dati che neanche il giurista più attento ha la pazienza di leggere. È se questo è valso fino a ieri, come potrà cambiare domani? L’aumento dei moduli ci porterà a non tenerne più conto.

Oggi, come in passato, il consenso dell’utente non potrà ritenersi presunto, dovrà essere dato in anticipo. Ma se il fornitore ci dice: «O così, o niente», è chiaro che finiremo sempre per firmare senza farci tante domande o cliccheremo sul bottone «Accetta» senza leggere il pdf informativo. Facciamo un esempio. Stai firmando un mutuo in banca. Dopo una lunga istruttoria ti è stato concesso il finanziamento. Ora è il momento di concludere l’affare. Il funzionario ti presenta alcuni fogli con l’informativa sulla privacy. Ti dice che devi apporre altre dieci firme. Che fai? Fai saltare tutto perché prima vuoi leggere bene che c’è scritto? Di sicuro firmerai senza farti tante domande. E ancora di più sul web dove gli acquisti sono compulsivi. Questo significa che aumentare le informazioni all’utente non significa aumentare la tutela, ma anzi potrebbe proprio impoverirla.

Il terzo. A parole, tutti amiamo la nostra privacy; nei fatti no. È quello che ho scritto in un post su Facebook proprio l’altro giorno. La gente pubblica sui social network ogni genere di informazione che la riguarda. Pur di giocare a Farmaville rivela chi sono i propri amici, i familiari e i rapporti di parentela (già registrati su Facebook). Per vedere un film in streaming gratis dà tutti i propri dati: dalla data di nascita all’email. Per sentire un brano in mp3 del vale di 0,99 euro scrive il numero della propria carta di credito. Si tagga ovunque va: in un centro commerciale, in un hotel, in un museo. D’estate compaiono persino semi-nudi imbarazzanti. Si lasciano tracce di sé stessi ovunque e volontariamente. Per un po’ di notorietà si è disposti a barattare qualsiasi cosa, persino le foto dei propri figli minorenni. E poi ci si scandalizza e si denuncia la lesione alla propria privacy se Google profila i gusti degli utenti per fornire loro la pubblicità! 

Che poi, a volerla dire tutta, che male c’è a vedere un banner sulla base dei propri gusti e non su quelli degli altri? Personalmente preferirei un banner con dei prodotti tecnologici piuttosto che creme dimagranti o lingerie per donne. 

Certo, il peggio viene quando i dati vengono usati per fini diversi da quelli pubblicitari. Ma qui non c’entra più la piccola azienda di provincia che ha un raggio di azione limitatissimo. Ed ecco l’ultimo paradosso: la nuova legge sulla privacy addossa più oneri ai piccoli esercizi commerciali che non ai big del web che, invece, sono i veri “responsabili” di questo enforcement.