Opinioni

Il codice. Furto di dati: coinvolti 214mila utenti italiani. Ora la Ue detta la linea

Vincenzo Grienti giovedì 5 aprile 2018

Il numero uno di Facebook, Mark Zuckerberg (Ansa)

Il numero uno di Facebook, Mark Zuckerberg, testimonierà l'11 aprile davanti al Comitato per l'energia e il commercio della Camera Usa. L'audizione arriva dopo le rivelazioni che la società di consulenza politica Cambridge Analytica, che ha lavorato per la campagna presidenziale di Donald Trump, si è impossessata di dati personali di ben 87 milioni di utenti Facebook (inizialmente si pensava 50 milioni). Coinvolti anche 214.134 italiani.

Il caso di Cambridge Analytica e dei dati raccolti da ben 87 milioni di utenti di Facebook per influenzare la campagna elettorale Usa del 2016 continua a far discutere, soprattutto dopo le ulteriori rivelazioni sulla Brexit di Cristopher Wylie, l’ex dipendente della società britannica di analisi digitali. Il popolo della Rete resta spaccato tra il 'partito' dei disinteressati all’argomento, quelli che hanno preso maggiore coscienza sull’importanza della sicurezza dei dati personali online e coloro che hanno avuto la reazione opposta aderendo alla campagna di cancellazione #DeleteFacebook in segno di rifiuto nei confronti del colosso della Silicon Valley fondato da Mark Zuckerberg. Nonostante il Ceo di Facebook in un lungo post abbia scritto di avere la responsabilità di proteggere i dati degli utenti, ammettendo di fatto i suoi errori, ciò non ha evitato la perdita di fiducia di milioni di persone nei confronti della 'F' più famosa del mondo. Facebook, che per l’intera vicenda di Cambridge Analytica ha provocato un’onda lunga negativa per tutti i titoli tecnologici quotati a Wall Street, ha annunciato di voler rendere chiari e visibili in una sola pagina della piattaforma tutti gli strumenti per controllare la privacy, la possibilità di cancellare definitivamente post passati dalla piattaforma, velocizzare e rendere più selettivo il processo di download della propria storia sul social network.

Uno scandalo, quello del 'datagate', scoppiato a meno di due mesi dall’applicazione, il 25 maggio 2018, del General Data Protection Regulation (Gdpr), il nuovo regolamento europeo 2016/679 sulla protezione dei dati personali, che a partire dal 25 maggio prossimo introduce molteplici novità sia per il singolo cittadino che per le aziende, gli enti pubblici e le associazioni. Già da due anni si parla di questo importante cambiamento, la cui guida e il testo integrale articolo per articolo sono disponibili nel sito del Garante italiano della privacy (www.garanteprivacy.it/regolamentoue). Dopo i fatti di Cambridge Analytica è cresciuta da parte dell’opinione pubblica l’attenzione verso il Gdpr che rappresenta la risposta europea al rischio sicurezza per i dati personali e sensibili dei cittadini dei Paesi membri.

Da parte sua Zuckerberg, intervistato dall’Agenzia Reuters, ha chiarito che si sta lavorando alle nuove versioni di Privacy Policy ma che il Gdpr non sarà considerato come standard internazionale per la protezione dei dati personali su Facebook, sottolineando di essere d’accordo con 'lo spirito' del Gdpr, ma che le regole dell’Ue non varranno per il social network su scala globale. L’evoluzione tecnologica negli ultimi anni ha investito settori come il web e il social media marketing e la riflessione sul futuro dei 'big data' è in atto con tante luci ma anche molte ombre. Non mancano poi le notizie su attacchi informatici e sui furti di identità ed è naturale che un regolamento lungimirante come quello varato dall’Unione Europea diventa un appiglio legislativo nell’ambito della tutela della libertà e dei diritti dell’individuo.

Lo si nota a partire dall’oggetto del regolamento, cioè il dato personale inquadrato come «qualsiasi informazione riguardante una persona fisica identificata o identificabile» sia attraverso i dati anagrafici tradizionali come il nome, il cognome, luogo e data di nascita che attraverso un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Il Gdpr inoltre interviene sul concetto di gestione del trattamento e sul consenso a un certo tipo di trattamento dei dati che fino ad oggi poteva anche essere tacito ora, invece, il consenso diventa obbligatoriamente esplicito con la possibilità del cittadino di poter effettuare una verifica su come viene utilizzato in qualsiasi momento ed eventualmente revocarlo in modo semplice. Il Gdpr tocca anche la questione della profilazione dell’utente, ovvero quella forma di trattamento automatizzato di informazioni che utilizza tali dati per valutare, analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di una persona fisica. Nel caso di marketing diretto l’interessato avrà sempre diritto di opporsi.

Un ampio capitolo del regolamento è poi dedicato ai diritti degli interessati. Tra questi il 'diritto di accesso' prevede la possibilità per il cittadino di ricevere una copia dei dati personali oggetto del trattamento con l’indicazione del periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi; 'il diritto alla portabilità' grazie al quale diventerà molto più semplice trasferire i propri dati ad esempio da un gestore ad un altro per contratti come la telefonia e come quelli per acqua, luce e gas in quanto il gestore attuale sarà obbligato al trasferimento autorizzato delle informazioni verso terzi; il 'diritto all’oblio' con cui l’interessato può ottenere dal titolare del trattamento la cancellazione dei propri dati personali tempestivamente specialmente se sussiste uno dei motivi come il fatto che i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati. Il regolamento europeo della privacy tratta anche di violazione dei dati personali (data breach).

Un fatto che sotto il profilo della sicurezza comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Il testo del nuovo regolamento prevede l’obbligo di notifica all’autorità di controllo entro 72 ore e la comunicazione della violazione al diretto interessato.

Il Gdpr affronta anche il tema dell’accountability, cioè la 'responsabilizzazione' che attribuisce direttamente ai titolari del trattamento il compito di assicurare e comprovare tutti gli altri principi. A ciò si aggiunge la nuova figura del Dpo (Data Protection Officer), il responsabile per la protezione dei dati e di un registro delle attività di trattamento. Sul tema della sicurezza e della protezione dei nostri dati personali in Rete si giocherà il successo o meno del Gdpr. Se da un lato, infatti, sussiste l’esigenza di tutelare i diritti e le libertà degli interessati, dall’altro occorrerà tenere conto dell’imperante evoluzione tecnologica e digitale. Per questo il Gdpr ha previsto alcuni obblighi come la Data Protection by Design e by default, cioè una procedura che deve essere applicata ad ogni progetto di innovazione. In Italia, dove la realtà delle Pmi da nord a sud rappresenta la spina dorsale dell’imprenditoria del nostro Paese, dovrà accelerare il passo e adeguarsi ai nuovi standard introdotti dal Gdpr proiettandosi verso un futuro in cui occorrerà tra le altre cose una nuova cultura della sicurezza e una maggiore consapevolezza in termini di difesa dei dati personali.