La locuzione, apparentemente contraddittoria, è conosciuta più per la seconda proposizione che è utilizzata, soprattutto, per assicurare “al trono” il successore e l’avvio di un nuovo corso. Sembra perfetta per descrivere quello che sta avvenendo oggi alla privacy.
La “disciplina dei dati personali” doveva evolversi per far fronte ai notevoli cambiamenti della società e dell’economia, ma la “tutela della privacy” è ancora un problema cruciale! Nonostante la copiosità di norme e iniziative, mai come oggi la privacy viene violata, con strumenti di indagine sempre più sofisticati. Il digitale che ci connette al mondo è inevitabilmente anche una tecnologia di sorveglianza e di controllo, con tutte le implicazioni, in ogni campo dall’economico, al sociale, al politico e al sentimentale e affettivo. E l’anonimato in rete è un miraggio! Il caso Cambridge Analytica, che ha travolto la reputazione di Facebook, è solo l’ultimo della serie. Tim Cook, CEO di Apple, in una recente intervista a Recode, ha dichiarato: «Potremmo fare soldi a palate se i nostri clienti fossero i nostri prodotti e li monetizzassimo. Ma abbiamo scelto di non farlo: non traffichiamo con la vita privata delle persone: la privacy è un diritto umano, una libertà civile».
Cook, come altri, auspica, quindi, norme che chiariscano cosa si può e cosa non si può fare. L’Unione europea, con il General data protection regulation 679/2016 (GDPR), già entrato in vigore il 4 maggio 2016, anche se prevede un periodo di applicabilità che si concluderà il 25 maggio di quest’anno, ha voluto cogliere tre obiettivi: 1) innalzare il livello di protezione dei dati, non solo privacy quindi, ma data protection; 2) uniformare, per tutti i paesi UE, le norme specifiche; 3) proteggere i dati che nascono nell’UE anche se vengono esportati e usati fuori dall’Unione.
Il nuovo corpus abroga il Codice della Privacy e, quindi, le implicazioni sono notevoli. Il GDPR introduce due principi fondamentali: privacy by default e privacy by design. Il primo fa riferimento alla necessità di tutelare la vita privata, appunto “di default”, ovvero come impostazione predefinita, mentre il secondo principio stabilisce che la protezione dei dati deve avvenire fin dalla progettazione. Ma come fare con tutti i sistemi e processi legacy? Inoltre, se un trattamento ha insito il rischio per i diritti e le libertà personali, occorre una analisi ex-ante dell’impatto qualora fossero violate le misure di protezione. Poi, non vi sono più le “misure minime di sicurezza”, ma l’adozione di “misure che possano garantire il livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento”.
Ma come misurare concretamente l’adeguatezza? Diventa, infine, obbligatoria la nuova figura del “data protection officer” che prefigura un radicale intervento organizzativo. E infine, si è tenuti a segnalare alle autorità eventi di violazione dei dati entro 72 ore dal rilevamento, pena pesanti sanzioni fino a 20 milioni di euro o al 4% del fatturato. Per tutto ciò, il livello di impreparazione sembra essere elevato, soprattutto nelle PMI, e questo è confermato dall’enorme offerta di corsi, consulenze, seminari e convegni sul tema, nonché da innumerevoli articoli e commenti compreso il presente. Il fatto è che siamo entrati in un territorio tutto nuovo, nel quale lo status stesso dei dati privati esce dagli schemi del passato. Come si chiede Danilo Taino sul Corriere della Sera, “si può creare un mercato nel quale ognuno di noi abbia la proprietà del proprio profilo?” Al momento, la domanda resta senza risposta. La tendenza è quella di introdurre nuove norme, aspetto importante ma che non va al cuore della questione: chi è il vero “owner” dei dati e dei diritti del loro uso?