Il 25 maggio 2018 è entrato in vigore, in tutti i Paesi europei, il regolamento UE 2016/679 in materia di privacy e tutela dei dati sensibili. Il regolamento è entrato direttamente in vigore negli Stati membri, dato che si tratta di fonte normativa comunitaria, alla quale la legislazione interna di ciascuno Stato si è adeguata senza l’emanazione di decreti attuativi o altro tipo di provvedimento interno. I contenuti del regolamento possono essere integrati da ciascuno Stato, ma la ratio di questo provvedimento è che tutti i membri dovranno seguire una linea di condotta comune, che renda più omogeneo ed elevato il livello di protezione dei dati personali, poiché l’UE è stata definita come spazio comune di sicurezza, libertà e garanzie.
Molti cittadini si domandano che cosa significhi questa novità ed in cosa consista il cambiamento, soprattutto in materia di sicurezza informatica. Oggi, infatti, gran parte della vita quotidiana, anche quella di coloro che vengono definiti analfabeti digitali, è in realtà proiettata in rete, anche senza un espresso consenso: si pensi, ad esempio, a chi dispone di uno o più conti bancari, chi usufruisce di buoni pasto di nuova generazione o a chi è inserito nei pur incompleti (e talora frammentari) archivi del sistema sanitario nazionale. La domanda è legittima, poiché il regolamento disciplina il trattamento dei dati di persone fisiche viventi e non di persone giuridiche ed anche l’entrata in vigore del regolamento è stata largamente pubblicizzata in molti Paesi, inclusa l’Italia.
In realtà, la pubblicità dell’evento non ha spiegato esattamente né la portata delle innovazioni né la loro reale efficacia. L’Unione Europea stessa aveva definito questo regolamento come un modo per far sì che il trattamento dei dati personali fosse al servizio dell’uomo. Ma l’evidenza dei fatti ci dimostra che i pur importanti cambiamenti introdotti non sono esattamente all’altezza delle aspettative. Si parla in primo luogo di trattamento automatizzato dei dati con nuovi limiti, nel senso che, ogni volta che tali dati verranno processati, il titolare dei medesimi dovrà esprimere il proprio consenso; suddetto titolare avrà diritto all’oblio, ossia alla cancellazione di ciò che lo riguarda da archivi fisici ed elettronici, che peraltro devono essere resi sicuri attraverso procedure che li rendano accessibili solo a soggetti qualificati e riconoscibili e resilienti, ossia capaci di resistere ad intrusioni o, ove ciò non sia possibile, facili da ripristinare o riportare in condizioni di sicurezza; il consenso al trattamento dei dati citati dovrà essere breve, conciso ed espresso in maniera trasparente (ossia senza clausole occulte) e diretta, ma dovrà anche riportare le cosiddette specifiche, ossia ambito e scopo per cui le informazioni vengono processate; è infine diventato obbligatorio segnalare le violazioni (data breach).
I problemi che questo nuovo impianto normativo presenta sono purtroppo numerosi. Innanzitutto, nonostante sia obbligatorio segnalare le violazioni, nella prassi non è così semplice farlo: alcuni dei nostri sistemi, infatti, appaiono complessi per coloro che non sono nativi digitali. Inoltre, sia per ciò che riguarda l’obbligo di segnalazione dei reati che per ciò che riguarda la conservazione dei dati, il digital divide (sia interno ad ogni Paese che tra Paesi membri) resterà comunque evidente: coloro che risulteranno più svantaggiati saranno, come di consueto, persone fisiche poco pratiche del mondo digitale e persone giuridiche afferenti a piccole realtà, come ad esempio le PMI. Queste ultime, in particolare, avranno nuovi obblighi ma non potranno godere, se non in maniera indiretta (garanzie per i clienti e i lavoratori ivi impiegati, intesi come persone fisiche) di maggiori tutele, a fronte della necessità, spesso non supportata dalle infrastrutture pubbliche, è di aggiornare i propri sistemi di gestione e conservazione dei dati. Inoltre, anche per ciò che riguarda il consenso informato, le novità non sempre sono al passo con la prassi: in un Paese come l’Italia, ad esempio, il nuovo consenso informato non è così chiaro come dovrebbe essere e, per coloro che fanno già parte di una banca dati, si limita ad essere un avviso relativo al diritto di recesso “e quindi di cancellazione“ dalla banca dati. Discorso analogo è quello del diritto all’oblio: è facile esercitare tale diritto con soggetti qualificati e che operano nel rispetto della legge. Ma non è altrettanto semplice agire in quei settori, peraltro ancora scarsamente regolamentati, dove le informazioni circolano con estrema facilità, come ad esempio i social networks, dove chiunque, ivi compresi gli amici, possono postare dati che ci riguardano senza il nostro esplicito consenso. Vero è che, al giorno d’oggi, anche i social network si stanno adeguando al rispetto del cosiddetto diritto all’oblio, ma è anche vero che, spesso, i nostri dati vengono letteralmente venduti (o comunque ceduti) a terzi, seppur in forma anonima, prima che ci sia possibile esercitare il diritto citato. Infine, sempre per parlare di diritto all’oblio, in un Paese come l’Italia, è assai difficile riuscire a ricomporre una normativa organica a proposito di illeciti e crimini informatici: molto spesso, tali crimini vengono codificati nel contesto di preesistenti articoli del codice penale o trattati come aggravanti di altri reati, ma non costituiscono un corpus organico.
Un ulteriore problema riguarda tutti quei provvedimenti degli organi nazionali di garanzia in materia di videosorveglianza, amministrazione di sistema, fidelity cards, uso di dati biometrici e tracciamento flussi bancari: i singoli regolamenti nazionali non vengono aboliti dal nuovo regolamento europeo, ma dovranno essere aggiornati alla luce del medesimo. Appare paradossale che un settore così delicato non sia stato regolamentato dall’Unione, anche perché, soprattutto in materia bancaria, l’UE ha spesso agito per dare linee di condotta comuni, come nel caso di Basilea3. In tutto questo panorama, infine, numerosi dubbi sono sollevati dalla creazione di una nuova figura, il Data Protection Officer (DPO), che andrà a sostituire il Privacy Officer quale figura preposta alla sicurezza dei dati personali. In Paesi come l’Italia, questa figura potrebbe essere esternalizzata e questo costituirebbe un ulteriore problema, soprattutto per gli enti pubblici, ove le procedure di selezione sono lunghe e talora poco aderenti alle reali necessità del soggetto promotore della selezione. La sicurezza in rete dovrebbe essere il risultato di un processo di formazione e responsabilizzazione dei cittadini e non la semplice risultante di un nuovo inquadramento normativo proveniente da una fonte superiore: non è un caso che, con la normativa à vigore, siano aumentati anziché diminuiti i casi di cellulari ed altri dispositivi mobili colpiti da ramsomware, ossia da malware (software malevoli) informatici che chiedono un riscatto (in bitcoin o denaro tradizionale) a utenti che temono di veder diffusi indebitamente i propri dati personali “rapiti”, ossia sottratti con l’inganno.
