Il 15 dicembre è stata approvata la bozza della normativa di riforma sulla Data Protection, la protezione dei dati degli individui. L'idea alla base è che le aziende, specialmente quelle americane, raccolgono e sfruttano eccessivamente i dati degli europei, e quindi occorre in qualche modo restituire alle persone il controllo sui dati.

La Commissione Europea ha così presentato i progetti di un Regolamento (General Data Protection Regulation o GDPR) e una Direttiva (Data Protection Directive).
Il Regolamento, che entra in vigore automaticamente per tutti gli Stati senza necessità di recepimento, permetterà ai cittadini di controllare meglio i loro dati e al tempo stesso la conseguente armonizzazione delle norme consentirà alle aziende di ridurre gli oneri burocratici e le spese.

La Direttiva, che invece necessita di norme di recepimento statali, unificherà le norme sulla cooperazione transfrontaliera delle forze di polizia e in materia di giustizia al fine di una più efficace lotta alla criminalità e al terrorismo. A seguito della riforma in Europa vigerà sostanzialmente un'unica legge in materia.

These are the people who struck the agreement on the EU's #dataprotection package tonight in #Strasbourg. #EUdataP pic.twitter.com/DWehh1HOdu

— Jan Philipp Albrecht (@JanAlbrecht) December 15, 2015

In sintesi le nuove regole prevedono:

- più facile accesso ai propri dati da parte dei cittadini che avranno migliori informazioni su come i loro dati vengono trattati;
- diritto alla portabilità dei dati, che consentirà di trasferire i dati personali tra i vari servizi online;
- più chiaro “diritto all'oblio”, che consentirà di cancellare i dati quando non vi sono motivi legittimi per il loro mantenimento online;
- notifica delle violazione dei dati, obbligando così le aziende a informare le autorità di controllo sulle gravi violazioni (cioè se è probabile -likely- un alto rischio per i diritti dei cittadini) in modo che gli utenti possano adottare appropriate misure;
- adozione del principio del “one-stop shop” (sportello unico), cioè le imprese avranno a che fare con una sola autorità di vigilanza, quella dello Stato nel quale avranno la sede principale;
- adozione del principio della privacy by design, cioè i prodotti e i servizi dovranno essere progettati in maniera da tutelare la privacy degli utenti, privilegiando tecniche di pseudoanonimizzazione;
- multe fino al 4% del fatturato globale delle aziende in caso di violazioni.

I testi definitivi dovrebbero essere adottati nei primi mesi del 2016 dal Parlamento e dal Consiglio. La riforma dovrebbe entrare in vigore due anni dopo l'adozione da parte delle tre istituzioni (2018).

Dati personali

La nuova normativa allarga la definizione di dati personali includendo espressamente gli identificatori online (numeri IP e cookie) e i dati di posizione tra i dati soggetti a tutela.
La GDPR introduce anche i “dati genetici” e “dati biometrici” (impronte digitali, riconoscimento facciale, scansione della retina…) quali dati soggetti alla regolamentazione. In particolare quelli genetici sono parificati ai dati sensibili (potendo portare al rifiuto di cure mediche o di stipula di assicurazioni).

Viene introdotto il concetto di pseudoanonimizzazione, laddove i dati pseudonimi sono dati personali sottoposti a processi (hash, crittografia) che non rendono (in teoria) più possibile l'identificazione diretta dell'individuo. Per capirci la pseudoanonimizzazione si può avere semplicemente separando in due il database, in modo che un'azienda ha un elenco di dati legati ad un identificativo (es. bruno_67), e l'altra ha l'elenco degli identificativi collegati al nome.
Anche i dati pseudonimi sono comunque considerati dati personali, cioè soggetti alla GDPR, ma le aziende che trattano tali dati beneficiano di regole meno severe relativamente ai requisiti di accesso o di notifica delle violazioni.

Consenso

L'attuale normativa prevede la possibilità di elaborare dati personali in presenza di un consenso o perché sussistono “interessi legittimi” a tale elaborazione da parte dell'azienda. Il consenso può anche essere implicito, tranne per i dati sensibili. La sussistenza di “interessi legittimi” consente una certa flessibilità ad alcuni Stati nel permettere il trattamento di dati da parte delle aziende (da ciò dipendono le differenze attuative della normativa in Europa).

La nuova normativa prevede (art. 6), invece, un consenso sempre esplicito, tranne specifici e dettagliati casi. Il consenso, inoltre, deve essere informato, cioè il titolare del trattamento dovrà fornire dettagliate informazioni sulla fonte dei dati e il periodo di conservazione, e le informazioni devono essere fornite in maniera chiara e comprensibile. Il consenso deve essere anche specifico, così permettendo l'elaborazione dei dati per i soli scopi per i quali si è acquisito il consenso.

Attenzione, però, a non confondere la Data Protection con la Cookie Law, laddove la prima ha lo scopo di tutelare la sfera privata dell'utente (nella quale rientra anche il dispositivo con il quale l'utente accede ad internet) mantre la seconda si occupa esclusivamente delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell'accesso ad informazioni già registrate su quel dispositivo.

Tutte le azioni precedenti o successive alla registrazione o all'accesso a tali informazioni non ricadono nella regolamentazione della Cookie Law, bensì nell'ambito della normativa generale (Data Protection). Cioè se il gestore di un sito vuole condurre un'analisi dell'uso del sito da parte degli utenti, a fini di statistica (analytics), dovrà inviare dei cookie al terminale dei visitatori. L'invio e quindi la registrazione sul terminale dell'utente dei cookie ricade, appunto, nella Cookie Law. Qualsiasi ulteriore accesso ai cookie già impiantati sul terminale dell'utente ricade anch'esso sotto la Cookie Law.

Però, nel momento in cui il gestore del sito vuole analizzare le informazioni raccolte tramite i suddetti cookie, questa analisi e tutti i trattamenti successivi, avvenendo al di fuori del terminale dell'utente, non sono soggetti alla Cookie Law bensì alla Data protection. La Cookie Law fornisce una protezione superiore rispetto alla Data Protection visto che tra dati personali e non personali e richiede sempre il consenso (a parte il rilascio di cookie tecnici).

Nella GDPR permane la possibilità di trattare dati sulla base dei legittimi interessi del responsabile del trattamento (controller), a meno che tali interessi non siano in contrasto con i diritti e le libertà fondamentali dell'interessato, in particolare se esso è un minore. Anche il legittimo interesse delle terze parti alle quali il controller fornisce i dati può autorizzare l'uso dei dati. Il problema si trasporta sulla definizione, vaga, di legittimi interessi.

Legittimi interessi (Considerando 38) sono comunque quelli collegati all'attività dell'azienda, come ad esempio la sicurezza, ma anche l'accorpamento dei dati dei vari servizi da parte di Google anche in assenza di consenso specifico, oppure finalità di direct marketing, per cui l'invio di pubblicità agli utenti è da considerare legittimo interesse per un'azienda di advertising.

Un'ultima considerazione sul consenso si rende necessaria, essendo stata rilanciata la notizia che la GDPR consentirebbe l'iscrizione ai social network solo ai soggetti con almeno 16 anni, limitandone quindi l'uso. In realtà la limitazione riguarda tutti i servizi online, non solo i social network, quindi anche quelli di messaggistica (Whatsapp) ad esempio.

Attualmente il limite è posto a 13 anni in base alla legge americana COPPA (Children's Online Privacy Protection Act), limite che nella sostanza è stato adottato in molti altri paesi.
L'attuale normativa europea, invece, non prevede un vero e proprio limite, che però è (o almeno dovrebbe essere) ricavabile dal quadro normativo considerando che l'iscrizione ad un servizio online è di fatto la stipula di un vero e proprio contratto con conseguenze giuridiche di non poco conto sull'utente (tra le quali principalmente la raccolta di dati e conseguente profilazione).

Per cui occorre (occorrerebbe) che il soggetto sia in grado di apprezzare la natura e le conseguenze del suo consenso, cosa che non è dato per i soggetti minori o comunque al di sotto dei 16 anni (limite fissato in molti paesi per la stipula di contratti). La normativa europea, ad esempio, prevede espressamente che solo ai 16 anni un soggetto può dare autonomamente il proprio consenso al trattamento medico, mentre al di sotto dei 16 anni il medico dovrebbe valutare il grado di maturità del minore per verificare se è in grado di prendere decisioni autonome, oppure raccogliere il consenso di un genitore o tutore.

Non si vede perché nel caso della profilazione la situazione dovrebbe essere regolata diversamente, ma è pacifico che le aziende non sono in grado di effettuare una valutazione del tipo sopra menzionato.
E comunque molti codici di comportamento per le aziende di direct marketing prevedono proprio il limite dei 16 anni per la raccolta del consenso.

Si tratta, insomma, di comprendere che l'iscrizione ad un servizio online come è, ad esempio, Facebook, non è più, non solo, l'iscrizione al social ma un vero e proprio contratto con quale l'utente consente ad una profilazione spinta dei propri comportamenti.
Bisogna comunque considerare che la GDPR prevede che questo aspetto possa essere regolato diversamente dai singoli Garanti nazionali (comunque il limite non può essere al di sotto dei 13 anni).

Ambito di applicazione

La nuova normativa (art. 3) si applica a tutti i titolari (controller) e responsabili (processor) del trattamento stabiliti nel territorio dell'Unione ma anche a quelli che trattano dati di persone residenti nell'UE offrendo loro beni o servizi (quindi alle aziende che hanno clienti nella UE). È del tutto irrilevante dove effettivamente avviene il trattamento dei dati.
Per la prima volta i processor sono soggetti alla normativa, mentre oggi sono soggetti solo al contratto che li lega al controller.

One stop shop

La GDPR introduce il principio dello sportello unico (one stop shop), che vuol dire un'unica autorità di vigilanza per le denunce in materia di protezione dei dati. Quindi le imprese avranno sempre a che fare con l'autorità di controllo del paese della sede principale, piuttosto che con le autorità di 28 Stati.
Per le aziende tale principio realizza una forte semplificazione delle procedure, ma di contro ciò comporta maggiori difficoltà per i cittadini i cui reclami saranno decisi da autorità di altro Stato, con le ovvie difficoltà per la distanza fisica e le differenze di lingua, che costituiranno barriere importanti, alimentando così l'idea di un'Europa burocratica a lontana dagli interessi dei cittadini.

Diritto all'oblio

Con la nuova normativa si introduce il diritto all'oblio (più correttamente web reputation), così come elaborato dalla Corte di Giustizia europea (causa Costeja v. Google). Tale diritto consente la cancellazione di informazioni nel momento in cui venga a mancare un diritto legittimo al mantenimento in pubblico delle stesse (per le problematiche sottese si legga l'intervista a Franco Pizzetti).

Il problema relativo al diritto all'oblio è che la sua attuazione è sostanzialmente demandata alle aziende private (es. Google) ed implica che le informazioni inerenti un individuo siano nella sua titolarità, cosa che nella maggior parte dei casi non è propriamente vero.
Dalle statistiche emerge, infatti, che le richieste di delisting ai motori di ricerca riguardano spesso informazioni che semplicemente danno fastidio all'interessato anche se comunque sussiste un interesse pubblico al loro mantenimento.
La vaghezza delle regole porterà facilmente ad abusi che possono incidere sulla libertà di parola.

Inoltre non è nemmeno chiaro chi dovrà essere soggetto al diritto all'oblio. Sicuramente i motori di ricerca, come già acclarato nella sentenza citata, ma è molto probabile che tali regole si applicheranno anche agli altri ISP, quindi ai social network come Facebook e Twitter, mentre è ancora incerto se si possano applicare agli hoster (es. blog).

In sintesi l'errore è di accomunare le problematiche nascenti dalla profilazione, foriere di procedure di esclusione e alle quali al momento non esiste una semplice tutela, all'utilizzo di dati personali per altri fini, per i quali sono già presenti negli ordinamenti europei gli strumenti di risoluzione adeguati con le opportune procedure di bilanciamento di diritti.

Se consideriamo che l'Unione Europea avrà il potere di infliggere alle aziende multe fino al 4% del fatturato globale (entrate, non profitti), l'impressione è che si introduce una responsabilità per gli intermediari in potenziale contrasto con la normativa ecommerce. Di contro, però, l'articolo 2 della GDPR recita:

“3. This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive”.

In questa prospettiva, non essendo regolamentato un meccanismo specifico di attuazione di attuazione del diritto all'oblio, lasciato quindi ai privati, si potrebbe applicare proprio il meccanismo di rimozione previsto dalla normativa ecommerce, così risolvendo alcune problematicità, costituendo le norme della direttiva ecommerce una tutela per gli ISP, anche se minima, contro le richieste infondate.

Diritto alla portabilità dei dati

Un ulteriore diritto introdotto dalla GDPR è il diritto alla portabilità dei dati, creato allo scopo di migliorare l'interoperabilità del trattamento dei dati.

Oggi online si sta procedendo, purtroppo, a grandi passi verso la centralizzazione dei servizi. Se, ad esempio, attivare un'utenza cellulare con uno od altro operatore è indifferente, poiché i servizi di telefonia sono interoperabili (Tim parla con Vodafone che parla con Wind che…), ciò non è possibile con i servizi online (eccetto le mail). Immaginiamo Facebook e gli altri servizi di social networking, oppure, ancora di più, i servizi di messaggistica tipo Whatsapp o i servizi Voip (in passato Messagenet portò dinanzi all'antitrust europeo Skype proprio per questo motivo).
Per questo la scelta di attivare un'utenza non dipende tanto dalla qualità del servizio stesso ma piuttosto dalla quantità di persone già iscritte, con ovvio vantaggio per i servizi nati per primi, così realizzandosi delle forme di monopolio.

Per contrastare questa tendenza alla centralizzazione e alla realizzazione di semi-monopoli (walled garden) nasce appunto il diritto alla portabilità dei dati che comporta l'obbligo per il servizio di fornire tutti i dati all'utente che abbandona il servizio per uno concorrente in formato standard. Ma è palese che l'interoperabilità rimane un diritto “vuoto” se manca una reale ed effettiva concorrenza (lascio Facebook per andare dove?).

In tale prospettiva appare sintomatica la chiusura del servizio di messaggistica Hemlis.
Sarebbe stato molto meglio imporre l'adozione di standard di comunicazione tra servizi, come per le mail, quanto meno per i servizi di messaggistica e comunicazione.

Profilazione

La GPDR definisce la profilazione (art. 20) come una forma di trattamento automatizzato di dati personali per l'utilizzo di tali dati al fine di valutare gli aspetti personali di un soggetto fisico, in particolare per analizzare e prevedere gli aspetti concernenti le prestazioni sul lavoro, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità o il comportamento, la posizione o i suoi movimenti (art.4).

La profilazione, quindi, è una elaborazione automatica (l'estrazione manuale, quindi, è esclusa) effettuata su dati personali al fine di valutare aspetti personali di una persona fisica.

Non vi un divieto di profilazione, ma occorre rispettare specifici criteri. Cioè sono vietate le decisioni che hanno effetti giuridici su un individuo se basate esclusivamente su un trattamento automatizzato, a meno che l'attività di profilazione non sia autorizzata per legge o regolamento di uno Stato membro, oppure sia necessaria per la stipula od esecuzione di un contratto con l'interessato, o l'interessato ha fornito esplicito consenso all'uso dei suoi dati per finalità di profilazione. Nel caso in cui la profilazione si basi su un rapporto contrattuale occorre informare specificamente dell'esistenza del processo decisionale automatizzato fornendo informazioni sulla logica applicata e le conseguenze dell'elaborazione per l'interessato e consentire all'individuo di esprimere il proprio punto di vista.

Però la dizione “decision… which produces legal… or similarly significantly affects him or her” appare limitare l'applicabilità della norma. In base alla nuova normativa sarebbe, infatti, possibile attuare una “price discrimination”, ad esempio offrendo uno sconto per un viaggio ad un soggetto che l'azienda sa (sulla base dei dati raccolti nel profilo) che altrimenti non viaggerebbe, mantenendo però il prezzo più alto per i soggetti che in base al profilo viaggerebbero ugualmente. Sarebbe stato preferibile sostituire “decision” con “measures” per limitare maggiormente le operazioni di profilazione delle aziende che ovviamente non costituiscono “decision”.

Conclusioni

A differenza della riforma sul copyright, quella sulla Data Protection sembra aver retto meglio agli assalti delle lobby. Nonostante alcuni aspetti appaiano ampiamente favorevoli per l'industria (es. one stop shop, il troppo vago “risk based approach”), i principi base della riforma (es. consenso esplicito e specifico) rimangono quali pilastri dell'intera impalcatura.

La riforma non è altro che un tassello dell'ampia costruzione del Digital Single Market, e in tale prospettiva alcuni aspetti appaiono più facilmente spiegabili, nel senso che comunque viene intesa come un mezzo per portare all'attuazione di una finalità prettamente economica. In tal senso sembra che l'Europa si stia avvicinando alla visione americana, laddove i diritti dei cittadini negli Usa sono spesso visti come eccezioni al più generale interesse economico, e quindi tutelati finché non limitano troppo tale interesse.
In tal senso le problematiche relative alla pseudoanonimizzazione e ai legittimi interessi delle aziende e delle terze parti trovano una spiegazione ovvia.

È vero che altri aspetti appaiono favorevoli ai cittadini, specialmente l'introduzione del diritto alla portabilità dei dati (ma occorre vedere come sarà attuato), e l'obbligo di notifica delle violazioni dei dati (ma solo se è probabile un alto rischio per i diritti dei cittadini), che comunque si inquadrano in un'ottica di alimentare la fiducia dei cittadini nell'uso dei servizi online.
Insomma, vantaggi per le aziende e per i cittadini, ma molto dipenderà dalla concreta attuazione.