Nel 1977 la NASA lanciò nello spazio le sonde Voyager, la cui missione era quella di raggiungere e studiare il sistema solare esterno per poi proseguire il proprio viaggio nello spazio profondo. Su ciascuna delle sonde venne applicata una copia del Voyager Golden Record, un disco per grammofono contenente suoni e immagini del pianeta terra, una sorta di capsula temporale codificata in modo da essere comprensibile per eventuali forme di vita aliene che l’avessero trovata. Fu un atto simbolico più che scientifico, vista le scarse probabilità che la sonda venga intercettata da una civiltà evoluta, e simboleggia la spinta dell’umanità a voler essere conosciuta e ricordata, un modo per conservare la memoria di sé e farla sopravvivere anche a quel pallido puntino azzurro che è il pianeta Terra se osservato dalle remote distanze dello spazio esterno. Questa pulsione verso la conservazione della memoria collettiva che dimostriamo come specie, questo impulso istintivo a lasciare di noi esseri umani una traccia, va di pari passo con l’urgenza di tenere nascosti, qui sul pianeta terra, i nostri dati personali. Apparentemente le due pulsioni, quella di voler esser ricordati nel cosmo e al tempo stesso di voler esser dimenticati quaggiù sembrerebbero in aperta contraddizione. In realtà si basano sulla volontà comune di poter, come specie e come individui, gestire e controllare i nostri dati personali.
Ma che cos’è un dato personale?
Tornando sulla terra vorrei partire da questa domanda per affrontare l’applicazione del regolamento generale sulla protezione dei dati (RGPD o GDPR per gli anglofoni), applicazione che ufficialmente avrà luogo a partire dal 25 Maggio 2018, dopo un paio di anni di transizione, sostituendo la ormai incompatibile direttiva sulla protezione dei dati e, in Italia, abrogando le norme del codice per la protezione dei dati personali. Sempre più spesso sentiamo parlare di dati personali in merito soprattutto ad episodi spiacevoli legati alla loro diffusione non autorizzata (o solo parzialmente autorizzata) in rete. Il recente scandalo di Cambridge Analytica ha riportato i riflettori del mondo sulla questione, ed è quindi importante definire cosa siano i dati personali per capire come questo importante regolamento cambierà il modo in cui vengono trattati. E quindi, che cos’è un dato personale? Secondo la terminologia utilizzata dai legislatori stessi, "i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer". Insomma, qualunque tipo di informazione che riguardi o sia ricollegabile ad un individuo. Nello specifico, la legislazione parla di cittadini e/o residenti di una nazione europea (ci torneremo) e gestori che operano in europa e/o trattano dati di cittadini europei. Il regolamento ha come target soggetti che sono identificabili come data controller (titolare del trattamento) e/o data processor (responsabile del trattamento). Si dice che processi i dati personali chi li raccolga, registri, organizzi, cancelli, invii o utilizzi in una qualunque maniera. Chi decide come e quando dei dati personali vengono processati è un data controller (in italiano la traduzione trae in inganno in quanto il termine titolare, ovvero chi li tratta, rischia di essere confuso con quello di interessato, ovvero colui al quale appartengono, che in inglese viene definito data subject): un’azienda con un sito per gli acquisti online che mantiene i dati dei clienti per inviare email e quant’altro è considerato il titolare del trattamento. Un’azienda alla quale un gestore affida i dati personali dei propri clienti per gestirne le newsletter o le pubblicità mirate è invece il responsabile del trattamento. Entrambi sono soggetti alla nuova normativa. Il regolamento (che a differenza di una direttiva non richiede alcun tipo di legislazione applicativa da parte degli stati membri) prevede alcuni punti fondamentali, e verte su due aspetti complementari: la gestione dei dati personali da parte degli utenti e la sicurezza dei dati personali da parte delle aziende. Per prima cosa l’idea alla base è quella di uniformare il sistema legislativo europeo in fatto di gestione dei dati personali. Ad oggi ogni stato ha le sue regole, e per aziende le cui app vengono utilizzate in tutta europa è spesso molto complesso gestire i dati dei cittadini spagnoli in maniera diversa da quelli dei cittadini francesi, con costi legali variabili e spesso onerosi. In secondo luogo viene dato un peso maggiore alla richiesta di consenso al trattamento di dati personali. Nello specifico quando questo consenso viene richiesto, deve essere fatto in maniera chiara ed evidente. Inoltre in caso di minori (età inferiore ai 16 anni, o 13 anni in alcuni stati) il consenso all’utilizzo dei dati personali dovrà essere dato dal genitore e dovrà essere verificabile. Per tutti, questo consenso dovrà essere modificabile o revocabile. Finirà forse l’era delle richieste di approvazione di duecento pagine di termini e condizioni illeggibili ai quali si finisce per rispondere, con un po’ di stizza e senza aver capito nulla, subito sì? Il principio di responsabilità prevede inoltre che al gestore dei dati personali sia addebitato l’onere della prova: in caso di problemi relativi alla gestione dei dati (hackeraggi, utilizzi non autorizzati etc...) starà al gestore dimostrare di aver fatto tutto il possibile per prevenire e risolvere il problema. Inoltre le autorità dovranno essere informate di qualunque episodio di hackeraggio o violazione dei dati avvenuto a danno dei cittadini europei, entro 72 ore, e in alcuni casi i cittadini stessi vittime del data breach dovranno essere informati di persona. A questo concetto si lega quello fondamentale di privacy by design and by default, secondo il quale i sistemi che tratteranno i nostri dati personali dovranno essere progettati (by design) per farlo in sicurezza e mantenendo un livello di privacy adeguato e automaticamente (by default) impostato su elevato. Per esempio criptando i dati stessi e separando metadati e dati personali su server differenti. In generale i gestori devono sapere in ogni momento dove si trovano i dati, saperli tracciare e trattarli in sicurezza. La sicurezza dei dati deve essere garantita quindi e il loro utilizzo autorizzato e comprovato, anche da parte di enti terzi che vogliano utilizzarli (escludendo polizia, magistratura etc...). I gestori, nello specifico quelli che trattano dati che richiedono un monitoraggio continuo e costante, dovranno quindi dotarsi di un responsabile per la protezione dei dati (data protection officer o DPO in inglese), figura esperta di sicurezza informatica e conoscitore della normativa, autonomo e indipendente, senza conflitti di interesse. La normativa tratta anche il diritto alla portabilità dei dati: ogni gestore deve permettere a ogni utente il trasferimento dei dati da una piattaforma elettronica a un’altra in un formato digitale di uso comune e comprensibile.
Il regolamento, per quel che riguarda i dati personali digitali, impone che sia prevista la possibilità che essi possano essere eliminati, limitati e/o modificati. Questo diritto alla cancellazione, alla limitazione e alla rettifica sancisce che chiunque possa richiedere la distruzione dei propri dati personali o, più semplicemente, il diritto a non voler che i propri dati personali vengano utilizzati per operazioni di marketing. In tal senso Facebook ha appena annunciato, al recente F8, l’aggiunta della possibilità di cancellare la propria history e i cookies, di modo che l’algoritmo non possa più utilizzarli per la profilazione e il re-targeting. Avete presente quando andate a cercare su Amazon l’ultimo ritrovato in fatto di smalto per tartarughe d’acqua dolce e di colpo su Facebook venite inondati di pubblicità di ombretti per le vostre testuggini? Ecco, succede perché quando avete visitato la pagina di Amazon avete ricevuto dei cookies, ovvero dei piccoli biscottini ripieni di informazioni, sui quali c’è scritto che avete un debole per i trucchi dei rettili e l’algoritmo Facebook, accedendo a questi cookies, pensa bene di farvi vedere altri prodotti simili che a suo avviso potrebbero interessarvi. È così che fanno i miliardi, baby. La scelta di Facebook di permettere questo reset (cosa già possibile nel vostro browser, per esempio) è in linea con lo spirito di questo regolamento, anche se non mancano critiche da parte del Parlamento Europeo presso il quale Mark Zuckerberg ha parlato recentemente. Questo gesto è stato accolto con i migliori auspici, ma non chiude affatto la questione, semmai la inaugura.
Dal punto di vista sanzionatorio per i gestori che infrangeranno il regolamento sono previste multe salatissime, fino al 4% del fatturato o 20 milioni di euro, a seconda di quale cifra sia più elevata.
Per quel che concerne la messa in pratica del regolamento vi sono già divergenze e cause miliardarie in preparazione: secondo alcuni infatti la soluzione adottata da Facebook e Google, ovvero il far accettare in toto le richieste di utilizzo dei dati personali pena il non poter accedere al servizio, violerebbe il regolamento stesso, che prevede appunto un'accettazione obbligatoria del trattamento dei soli dati personali strettamente necessari all'utilizzo del servizio stesso, con la possibilità di non condividere i dati non strettamente necessari a tal fine.
Molte questioni restano aperte. Tra le critiche più frequenti al regolamento vi è quella che sia incentrato un po’ troppo sui social network e sui servizi cloud, e molto meno sul trattamento dei dati dei dipendenti delle aziende. Un altro snodo cruciale è per esempio la nozione di cittadino europeo, qualcosa di abbastanza vago nel mondo virtuale di internet. Come faccio a sapere se il profilo di @giuanin81 che ha studiato presso l’Università della Strada, lavora presso se stesso e dice di esser nato a Mondovì, quella del Wisconsin però, sia o no un cittadino Europeo? Se il gestore (titolare o responsabile) ha sede in Europa (indipendentemente dal fatto che gestisca o meno dati di cittadini europei), allora deve sottostare al GDPR e trattare tutti i suoi utenti seguendo tali direttive. Anche in caso di aziende extra-europee che trattano dati di cittadini europei uno dei modi più semplici (e ovviamente più dispendioso per chi deve adattare i propri sistemi) è quello di trattare ogni utente seguendo queste direttive. Più in generale la normativa prevede che se un sito o un servizio è disponibile in Europa e presenta una versione in una qualche lingua europea, o ha come target o clienti cittadini potenzialmente europei allora dovrebbe applicare il GDPR per evitare spiacevoli conseguenze. Sicuramente sorgeranno infinite questioni di lana caprina, ma pensate che nonostante le apparenza anche gli avvocati sono esseri umani e devono pur mangiare per vivere. Per Facebook la questione è più complessa: la società di Menlo Park ha una sua sede a Dublino (grazie alla quale paga una frazione infinitesima delle tasse sui ricavi derivanti dall’Europa) e chi si iscrive al Social Network dall’Europa lo fa sottoscrivendo un contratto con questa sede, e quindi in automatico i suoi dati devono essere trattati secondo la normativa GDPR. Proprio per questo motivo (ma solo secondo i più maliziosi) starebbe spostando fisicamente via dall’Europa i dati degli account di un miliardo e mezzo di utenti non europei, mantenuti lì apposta per usufruire delle agevolazioni fiscali. Altre aziende più piccole si adeguano o soccombono.
Se pensate che questa normativa riguardi solo aziende più grosse però fate attenzione: se per esempio avete una vostra attività anche solo hobbistica per la quale per esempio avete attivato una newsletter (tramite MailChimp, per dire) dovrete adeguarvi al GDPR. Questo implica che dovrete aggiornare il servizio di sottoscrizione in modo tale da fornire ai vostri utenti tutte le informazioni necessarie per essere in regola con la normativa. Gli utenti che già sono iscritti dovranno essere informati tramite una campagna apposita, e non potrete inviare email a coloro che non abbiano accettato le nuove condizioni (per fortuna MailChimp fornisce una serie di utilissimi strumenti a tal scopo). Dopotutto, voi state gestendo una lista di email e altre informazioni correlate che sono, a tutti gli effetti, dati personali. Altro esempio? Il semplice utilizzo di Google Analytics (il servizio di Google per analizzare il traffico sui propri siti web) fa di voi che lo installate un data controller, e di Google il vostro data processor: anche voi siete quindi tenuti a render conto ai vostri visitatori del fatto che, tramite i cookies di profilazione, state trattando in qualche modo alcuni loro dati personali.
In definitiva, il GDPR è un primo passo, piccolo e grande allo stesso tempo. Altri ne seguiranno, mano a mano che l’umanità acquisterà la consapevolezza di vivere ormai su due piani di esistenza: uno reale e uno virtuale. È auspicabile pensare che le leggi evolveranno in direzione tale da consentire al tempo stesso di soddisfare il nostro bisogno di essere ricordati come specie e lasciati liberi di essere dimenticati come individui, con la consapevolezza che i segnali radio, TV, e quindi tutto quello che viaggia nell’etere, incluso internet, continuerà a diffondersi nello spazio senza che nessuna legge europea possa fermarlo. Ogni segnale generato sulla terra viaggerà per sempre nel cosmo, man mano attenuandosi fino a confondersi con il rumore bianco di fondo, sempre più difficile da captare.
Forse quindi l’unica maniera per essere sicuri di non vedere i propri dati condivisi è quello di trasferirsi su Alpha Centauri, o anche molto più in là.
Nello spazio nessuno può sentiti commentare.
in