Ciascuno di noi ha il diritto a mantenere riservata la propria vita personale, familiare, le relazioni, le sue preferenze, eccetera. Il termine scelto dai paesi occidentali per definire questo nostro diritto è privacy: deriva dall’inglese “private” (privato) ed a sua volta risale al latino privatu(m) da privu(m), “che sta davanti, isolato”.
Privacy: una spiegazione facile facile
Perché è importante preoccuparci della nostra privacy? Perché nel momento in cui gli strumenti digitali sono parte centrale delle nostre vite e che noi stessi produciamo inconsapevolmente ogni giorno una enorme mole di informazioni personali, di dati su cui abbiamo il diritto alla riservatezza, si pone un problema, ovvero come tutelare la nostra riservatezza (che bella parola, inziamo ad usare l’italiano anche per queste cose, che non abbiamo nulla da invidiare agli anglosassoni!).
Mi perdonerà il direttore se per spiegarmi in maniera efficace prenderò in prestito quanto già scritto da lui: «il nostro smartphone sa più cose di noi del nostro migliore amico, quello che conosciamo da una vita, sin da bambini. Sa più cose di noi dei nostri genitori, fratelli, sorelle. Sa più cose di noi del nostro capo, del medico, del salumiere di fiducia, del direttore di banca. Sa quanti soldi abbiamo sul conto (e quanti conti abbiamo), se siamo assicurati (e per cosa). Conosce le nostre abitudini, i nostri dati biometrici, sa se, quando e quanto ci muoviamo, dove andiamo, se siamo delle schiappe a correre, quali video guardiamo, cosa compriamo. Persino cosa stiamo per comprare e poi non compriamo (e lo ricorda per mesi). Grazie ai social, poi, il nostro fido device sa con chi interloquiamo di più, e con chi faremmo volentieri una scappatella. In alcuni casi può anche contribuire a risolvere un delitto».
Come funziona il business dei dati personali
Abbiamo già parlato di come le piattaforme che stiao usando ogni giorno da mesi per smart working e didattica a distanza utilizzino le nostre informazioni, ovvero dei milioni di dati che regaliamo ai colossi tecnologici statunitensi.
Bene, ma non basterebbe vietare questi dati? La risposta è No. Sarebbe utopico (ed anche un po’ stupido, diciamolo) immaginare un mondo sempre più tecnologico, internazionale, veloce, personalizzato, senza l’utilizzo delle informazioni che ciascuno di noi produce, singolarmente e collettivamente. In alcuni casi i dati diventano indispensabili per farci vivere meglio e contribuiscono a loro volta a tutelare a cascata molti altri nostri diritti (primo su tutti, la trasparenza).
Anche per questo si parla da diverso tempo, oramai, di “privacy dei dati” o di “privacy delle informazioni”, ovvero di come aziende private, organizzazioni sociali e sanitarie, governi, media, eccetera debbano gestire (correttamente) i dati personali, garantendone la protezione. La privacy dei dati è incentrata infatti sul modo in cui i dati devono essere raccolti, archiviati, gestiti e condivisi, nonché sulla conformità alle leggi sulla privacy applicabili.
Tant’è che sono nate e stanno nascendo in tutto il anche le prime “leggi” sulla protezione dei dati: regolamenti mirano a restituire alle persone il controllo sui dati, garantendo di sapere come vengono utilizzati i loro dati, da chi e perché, ovvero conferendogli il controllo, la scelta, su come i loro dati personali vengono elaborati e utilizzati.
Per fortuna che c’è il GDPR
L’Unione Europea è stata la prima istituzione a studiare e regolamentare tutto. Sì, lo so, di leggi sulla privacy ce ne erano già in diversi stati europei (come ad esempio il diritto all’oblio), ma si era reso necessario armonizzare e rafforzare – con giustificatissima urgenza, aggiungerei – l’intero perimetro generale della filiera dei dati che viaggiano su Internet, soprattutto alla luce dell’ingresso sul mercato dei colossi tech statunitensi e cinesi. Perché in questa epoca di economia dei dati, il vero valore aziendale risiede nei dati raccolti dal cliente. Ciò significa che i dati sono una risorsa degna di protezione e conservazione. E quello che le aziende sembra continuino a dimenticare è che questi dati personali che si trovano a dover “trattare” li stanno soltanto prendendo in prestito dai loro legittimi detentori.
Così nasce il GDPR, ovvero il regolamento generale (europeo) per la protezione dei dati personali. Un regolamento che riflette la nuova era digitale e il modo in cui i dati personali vengono creati, raccolti e gestiti.
Quali sono i dati personali da tutelare?
In Europa per dato personale intendiamo “qualsiasi informazione” che permetta la nostra identificazione, direttamente o indirettamente. Un identificativo è ad esempio quello che ciascuno di noi rilascia ai gestori dei siti e delle piattaforme internet ogni volta che le naviga, i cosiddetti “cookie” (ad esempio, avete notato – e letto bene – l’avviso che vi è stato proposto anche la prima volta che siete “atterrati” sul nostro sito e che ogni tanto vi riproponiamo di accettare?). E poi ci sono tutti gli identificativi più “fisici” come il nome, l’indirizzo (di casa, del lavoro, ma anche l’email), un numero di telefono, la nostra carta di credito, la targa dell’automobile, la cosiddetta geolocalizzazione (ovvero la nostra posizione), eccetera.
Poiché la definizione include “qualsiasi informazione”, si deve presumere che il termine “dati personali” debba essere interpretato nel modo più ampio possibile. Ciò è suggerito anche dalla giurisprudenza della Corte di giustizia europea, che considera anche informazioni meno esplicite, come le registrazioni degli orari di lavoro, che includono informazioni sull’ora in cui un dipendente inizia e finisce la sua giornata lavorativa, nonché pause o orari che non rientrano nell’orario di lavoro, come dati personali. Inoltre, le risposte scritte di un candidato durante un test e qualsiasi commento dell’esaminatore riguardo a queste risposte sono “dati personali” se il candidato può essere teoricamente identificato. Lo stesso vale anche per gli indirizzi IP. Se il responsabile del trattamento ha la facoltà legale di obbligare il fornitore a fornire informazioni aggiuntive che gli consentono di identificare l’utente dietro l’indirizzo IP, anche questi sono dati personali. Inoltre, si deve notare che i dati personali non devono essere obiettivi. Le informazioni soggettive come opinioni, giudizi o stime possono essere dati personali. Ad esempio la valutazione del merito creditizio di una persona o una stima delle prestazioni lavorative da parte di un datore di lavoro.
I dati personali sono tutte le informazioni che si riferiscono a un individuo vivente identificato o identificabile. Anche diverse informazioni, che raccolte insieme possono portare all’identificazione di una determinata persona, costituiscono dati personali.
Purtruppo mi piacerebbe spiegare ancora molte altre cose riguardo la protezione dei dati, ovvero altre parole da spiegare, dalla differenza tra anonimizzazione e pseudonimizzazione dei dati, alla crittografia e tutta la sfera della sicurezza informatica. Ma per ora credo di aver già scritto troppo. Ci torneremo più avanti (molto presto), promesso!
“Non so perché le persone siano così entusiaste di rendere pubblici i dettagli della loro vita privata, dimenticano che l’invisibilità è un super potere”.
Banksy
Questa voce del Dizionario spiegato è stata scritta da Leonardo, l’intelligenza non artificiale di Italia2030.