sto caricando
Logo
GDPR
  1. Società dei dati, data driven innovation e protezione della persona
  2. Il RGPD: una prima risposta europea ai rischi della società digitale
  3. I diritti della persona nella società dei dati
  4. Gli obblighi e le nuove forme di responsabilità dei titolari del trattamento
  5. La protezione dei dati personali dei minori, fra forma e sostanza

 

Società dei dati, data driven innovation e protezione della persona

Di fronte alla scuola un bel gruppo di adulti sta attendendo impazientemente l’uscita dei ragazzi al termine delle lezioni. Finalmente nonno Ivo scorge il suo bel nipotino, zaino in spalla, uscire dal portone della scuola. Si commuove e decide repentinamente di immortalare quell’emozione. Afferra lo smartphone e fotografa il suo ragazzo sorridente, vicino ai suoi compagni. Decide poi di condividere l’immagine nel gruppo Whatsapp di famiglia e poi con i suoi amici più cari attraverso altri social media. A loro volta, i genitori e la zia del ragazzo inoltrano ai propri amici la foto condivisa da Nonno Ivo. Il ragazzo, poi, considerato che la foto lo ritrae in modo splendido, decide di caricarla sui social media che frequenta e di farne la sua immagine di riferimento, il suo status.

Niente di più bello, niente di più normale, al giorno d’oggi.

Senza accorgersene e, forse, senza neanche esserne pienamente consapevole Nonno Ivo ha dato origine ad una condivisione dei dati personali di suo nipote di portata considerevole. Infatti, la foto scattata dal suo smartphone, oltre ad essere condivisa con il novero cospicuo dei destinatari cui è stata inviata, viene condivisa automaticamente anche con tutte le app dello smartphone che hanno accesso – grazie al consenso che prestiamo quando le scarichiamo – alle immagini del device e così anche per tutti gli altri destinatari della stessa foto. In poche parole, in breve tempo e sulla base di una analisi abbastanza semplice dei dati personali ricavabili dalla foto in connessione con quelli degli smartphone in questione è possibile ricavare una molteplicità di informazioni sul ragazzo e sulla sua famiglia, sulla scuola e sull’ambiente frequentato.

Questo piccolo e banale esempio è utile, in primo luogo, per comprendere cosa si intende per società dei dati. Ormai tutta la nostra vita, intima e professionale, privata e pubblica, familiare e sociale, si sviluppa attraverso le tecnologie digitali. Ciò significa che è proiettata in un insieme gigantesco di dati (cd. datificazione) che transitano attraverso i canali dei fornitori – privati (più spesso) e pubblici – di prodotti e servizi digitali.

Questi dati, e più precisamente la capacità di analisi di questi dati, offrono oggi opportunità di sviluppo e di progresso inedite nella storia umana.

Attualmente, lo sviluppo di tutti i settori in cui si articola la società è trainato dalla capacità di condivisione, utilizzo e analisi dei dati prodotti nella vita digitale di persone, associazioni, imprese e istituzioni: tutto questo ha un nome, data driven innovation (innovazione guidata dai dati).

In questo nuovo contesto, nella società dei dati, nuove sfide si pongono per la tutela della persona, di Nonno Ivo, di suo nipote e della realtà familiare e sociale di cui fanno parte.

La produzione e condivisione incessante di dati e di dati personali viene utilizzata per fornire servizi e prodotti sempre più utili e raffinati, ma consente anche – strutturalmente – di conoscere la persona, le sue abitudini, le sue preferenze, i suoi desideri, i suoi pensieri, con una profondità inedita nella storia umana. L’utilizzo di questa conoscenza nuova da parte di chi possiede e tratta questi dati rappresenta una opportunità ed anche dei rischi sensibili per la persona.

In sintesi, la società dei dati rappresenta una grande rivoluzione, che porta con sé nuovi rischi e nuove esigenze di protezione.

 

Il RGPD: una prima risposta europea ai rischi della società digitale

E’ possibile proteggere i dati personali nella società dei dati?

A questa domanda tenta di rispondere positivamente il nuovo Regolamento Generale europeo sulla protezione dei dati personali (RGPD, REG. UE 2016/679), che ha ricevuto piena applicazione in tutti i paesi dell’Unione europea a partire dal 25 maggio 2018.

Il fatto che si tratti della risposta unitaria dell’Unione europea, la quale vanta una economia sviluppata, una popolazione mediamente istruita e fortemente digitalizzata, con una tradizione normativa in materia di protezione dei dati personali (Dir. 95/46/CE), assume particolare rilievo dal punto di vista della protezione dei dati personali, in quanto, come noto, i principali protagonisti del trattamento dei dati personali sono imprese multinazionali dotate di mezzi (economici e tecnologici) impressionanti. Pertanto è importante che su questo tema l’Unione europea si sia mossa tutta e tutta insieme.

Il primo aspetto che il Reg. europeo mette in luce e sottolinea è strettamente connesso con l’esempio fatto all’inizio: alle grandi opportunità proprie della società e della vita digitale si riconnettono rischi consistenti per le persone derivanti dalla produzione, raccolta, circolazione, utilizzo di dati personali.

Il rischio principale consiste nel fatto che, sulla base della raccolta e dell’analisi dei dati personali che ci riguardano, si creino dei profili individuali o di gruppo – questa è la cd. profilazione – in base ai quali soggetti privati (e pubblici) possono assumere decisioni che ci riguardano e che incidono direttamente sulla nostra vita, anche senza la necessità di conoscerci, di valutarci di persona, di incontrarci faccia a faccia. Sulla base della profilazione qualcuno può assumere decisioni che riguardano la nostra vita personale o professionale (la concessione di un credito, la conclusione di una polizza assicurativa, l’idoneità a questa o a quella opportunità personale, il rendimento lavorativo, la progressione di carriera, l’accesso a corsi di studio ecc.) senza interpellarci di persona. Nel caso peggiore, la decisione può addirittura essere assunta da una macchina governata da un algoritmo. Ciò può accadere in quanto la profilazione consente non solo di conoscere il nostro comportamento e la nostra personalità nel passato (cd. profilazione comportamentale), ma consente di prevedere (secondo un calcolo probabilistico) il nostro comportamento e lo sviluppo della nostra personalità nel futuro: questa è la cd. profilazione predittiva.

In questo contesto, i minori si trovano in una situazione peculiare, poiché a causa della condivisione dei dati che li riguardano da parte degli adulti e, poi, dell’utilizzo massivo e non sempre consapevole degli strumenti della società digitale, si trovano ad essere osservati sin dall’inizio e nel progredire della loro vita. E’ più facile profilarli in modo approfondito ed analitico, con le possibili conseguenze che si sono già tratteggiate.

Per fronteggiare questi rischi il Regolamento europeo prevede una serie di diritti dell’interessato (cioè della persona fisica cui i dati personali si riferiscono) e una serie cospicua di obblighi e di responsabilità in capo ai titolari del trattamento (cioè dei soggetti che trattano i dati personali, in particolare le imprese e le istituzioni pubbliche), che vengono rafforzati quando il trattamento riguarda dati personali di minori.

 

I diritti della persona nella società dei dati

La protezione dei dati personali si concretizza attraverso il riconoscimento di una serie di diritti dell’interessato, che hanno quale tratto comune la finalità di garantire alla persona il potere di governare il flusso delle informazioni di carattere personale che la riguardano.

Essi possono distinguersi in diritti di carattere conoscitivo e in diritti di controllo sui trattamenti di dati personali e sui dati personali in quanto tali.

I diritti conoscitivi hanno ad oggetto il diritto di ricevere, di norma preventivamente, informazioni sul trattamento e sulle sue vicende (è il cd. diritto all’informativa), di chiedere accesso o copia dei dati trattati, di ricevere informazioni in caso di violazioni accidentali o dolose dei dati personali.

Le informazioni sul trattamento sono necessarie per consentire alla persona di poter esprime – nei casi in cui il Reg. europeo lo richiede – il proprio consenso al fine di autorizzare in modo consapevole ed informato il trattamento. In questi casi, il consenso può anche essere revocato in un momento successivo. Si tratta, come è evidente, di una forma di controllo garantita all’interessato sul trattamento.

Accanto a questa vanno citati il diritto di limitazione del trattamento e il diritto di opposizione al trattamento, che possono essere fatti valere al ricorrere di alcuni presupposti specifici.

Infine, l’interessato ha un potere di controllo sui dati che lo riguardano: può chiedere che siano trasferiti (diritto alla portabilità), modificati (diritto di rettifica) o addirittura, in certi casi, eliminati (diritto alla cancellazione e all’oblio).

Proprio per far fronte ai rischi legati alla profilazione nella società dei dati, attualmente è riconosciuto agli interessati anche il diritto a non subire decisioni fondate su trattamenti automatizzati dei propri dati personali.

Come si può osservare, l’obiettivo del Regolamento europeo è, pertanto, di offrire alla persona fisica una serie di strumenti concreti – di diritti, per l’appunto – in grado di renderla un attore non passivo di fronte ai rischi, attuali e potenziali, della società dei dati.

 

Gli obblighi e le nuove forme di responsabilità dei titolari del trattamento

E’ esperienza comune che non è sufficiente proclamare i diritti delle persone per garantirne una effettiva tutela. La protezione dei dati personali non fa certo eccezione.

Per queste ragioni, la principale e più incisiva innovazione introdotta dal Regolamento europeo consiste nell’individuare il soggetto responsabile (secondo il principio di responsabilizzazione) di garantire all’interessato i propri diritti, che è chiaramente individuato nel titolare del trattamento e cioè nel soggetto che, per perseguire i propri interessi privati o le proprie finalità istituzionali, organizza il trattamento e utilizza i dati personali.

Al titolare del trattamento non spetta solo il compito di garantire il formale rispetto di tutti i diritti dell’interessato tutelati dal Regolamento europeo. Egli deve, innanzitutto, valutare preliminarmente i rischi che il trattamento comporta per l’interessato (risk-based approach, cioè approccio basato sulla valutazione preventiva e costante del rischio), dotarsi di una organizzazione e di misure adeguate a ridurre o eliminare i rischi individuati, progettare il trattamento dei dati personali in modo da proteggere, anche per impostazione predefinita, i dati personali dell’interessato (privacy by design e privacy by default). Inoltre – e non si tratta di una incombenza di poco conto – il titolare del trattamento ha anche l’obbligo di dimostrare di aver svolto tutte le attività descritte pocanzi.

Se torniamo un istante al caso di Nonno Ivo, possiamo iniziare a comprendere il rilievo del principio di responsabilizzazione. Tutti i soggetti che fanno da intermediari alla comunicazione ed alla circolazione della foto del nipotino (applicazioni, piattaforme, social network, fornitori dei sistemi software dei device, ecc.) sono coinvolti nel trattamento e, spesso, in veste di titolari o responsabili del trattamento. Costoro possono del tutto legittimamente, su richiesta – come nella specie – dell’interessato, trattare i dati personali che questi intende condividere. Tuttavia, essi devono anche rispettare il principio di responsabilizzazione e quindi devono progettare quel trattamento tenendo conto della tutela dei diritti dell’interessato e dei dati delle persone fisiche coinvolte nel trattamento stesso. In altri termini, il titolare del trattamento è tenuto a garantire che i sistemi hardware e software attraverso i quali si svolge il trattamento dei dati personali condivisi da Nonno Ivo siano, sin dall’origine, progettati e utilizzati tenendo conto della preminente esigenza di garantire la protezione dei dati personali.

Ad esempio, ciascun titolare dovrà somministrare una informativa trasparente e comprensibile a Nonno Ivo, predisporre un sistema in grado di garantire a Nonno Ivo di poter trasferire la foto del nipotino da un social network ad un altro (portabilità) o di avervi accesso e dovrà garantire delle misure di sicurezza volte ad evitare la violazione di questi dati personali (cd. data breach). In mancanza, al titolare potranno essere applicate delle sanzioni, peraltro piuttosto salate.

Per assicurarsi che i titolari del trattamento ottemperino a quanto richiesto, almeno nel caso dei trattamenti più rischiosi, il Regolamento europeo richiede loro di designare un esperto nella protezione dei dati personali (il Responsabile della protezione dei dati personali), che ha il compito di assistere e indirizzare il titolare del trattamento verso il corretto adeguamento alle regole europee.

A vigilare, dall’esterno, sul rispetto di queste norme è preposta comunque una autorità di controllo pubblica, indipendente e specializzata: il Garante per la protezione dei dati personali.

Grazie a questo nuovo set di regole europee, in vista della piena applicazione del Regolamento europeo, i titolari del trattamento (come le piattaforme online ed i social network) hanno di norma provveduto ad aggiornare le proprie politiche di protezione dei dati personali e non di rado i propri sistemi software e hardware, in modo da adeguarsi ai nuovi obblighi e di proteggere in modo più stringente e documentabile i dati personali trattati.

 

La protezione dei dati personali dei minori, fra forma e sostanza

Un problema specifico, che il Regolamento europeo inizia ad affrontare adeguatamente, concerne la posizione dei minori e l’effettiva possibilità di proteggere i loro dati personali.

L’esempio di Nonno Ivo ci dimostra che un ruolo non secondario nella produzione e condivisione di dati personali dei minori è svolto dagli adulti, che con facilità condividono informazioni e dati personali del minore, sin dall’inizio della sua vita.

Accanto a questo aspetto, va rilevato che i minori di età sono, attualmente, anche nativi digitali, cioè persone per cui l’utilizzo delle tecnologie digitali rappresenta il canale più familiare per acquisire informazioni, instaurare e intrattenere relazioni, sviluppare, svolgere, svelare la propria personalità.

La vita dei minori si svolge e si sviluppa tramite la rete internet e l’utilizzo dei servizi della società dell’informazione. I minori sono in grado di utilizzare questi mezzi con maggiore facilità e immediatezza rispetto agli adulti. Ma sono in grado di comprendere e sostenere i rischi che l’utilizzo di questi mezzi comporta, anche a causa della produzione e condivisione massiva di dati personali?

A questo riguardo, il Reg. europeo individua alcuni punti fermi: i minori necessitano di una protezione specifica e differenziata rispetto a tutti gli altri soggetti, in quanto possono essere meno consapevoli dei rischi e delle conseguenze sui loro diritti derivanti dal trattamento dei loro dati personali, in modo particolare per quanto concerne la possibilità di essere soggetti ad una profilazione sistematica [CONS 38].

Questa protezione specifica dedicata al minore si sviluppa su quattro livelli.

Il titolare, quando il trattamento riguarda dati personali dei minori, è tenuto a considerare specificamente i rischi connessi al trattamento di dati di persone vulnerabili, come appunto i minori [CONS 75]; il trattamento dei dati personali del minore comporta una diversa e più stringente valutazione delle ipotesi in cui, perseguendo un suo legittimo interesse, il titolare del trattamento può trattare questi dati personali; inoltre, il principio di trasparenza è rafforzato quando sono trattati dati personali di minori: il titolare del trattamento è tenuto ad una particolare cura delle informazioni destinate specificamente ai minori e deve fornire al minore interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro [art. 12].

Il Reg. europeo dedica l’art. 8 al consenso dei minori in relazione ai servizi della società dell’informazione (come ad es. i servizi di social networking) e stabilisce che, quando il trattamento deve fondarsi sul consenso dell’interessato, il minore può prestare lecitamente il consenso ad una offerta diretta di servizi della società dell’informazione solo se ha compiuto sedici anni; altrimenti il consenso deve essere prestato dal titolare della responsabilità genitoriale. Il Regolamento ha consentito agli Stati membri di abbassare questa soglia di età e, in Italia, le modifiche introdotte al Codice in materia di protezione dei dati personali hanno abbassato questa soglia a quattordici anni.

 


 

Queste disposizioni riguardano esclusivamente il consenso dei minori al trattamento dei dati personali e non si estendono ad altri aspetti o settori, regolati dalle leggi dello Stato, in materia di capacità di agire del minore.

Considerata la delicatezza e la centralità del tema, il Reg. europeo prevede espressamente la possibilità che siano adottati codici di condotta da parte di associazioni o altri organismi rappresentanti le categorie di titolari del trattamento in merito all'informazione fornita e alla protezione del minore ed alle modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore [ART. 40].

Infine, fra i compiti attribuiti alle autorità nazionali di controllo (per l’Italia, al Garante per la protezione dei dati personali) figura attualmente quello di promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento, con particolare attenzione ai minori.

E’ forse questo il vero terreno su cui si gioca la protezione dei dati personali nella società dei dati: è necessario che utenti e intermediari acquisiscano – nel rispetto e forze grazie alle nuove regole europee – una nuova consapevolezza delle opportunità e dei rischi per le proprie libertà ed i propri diritti connessi con l’inarrestabile processo di digitalizzazione delle nostre vite e della realtà tutta, essendo coscienti che i minori di oggi si trovano, a questo riguardo, in una condizione di specifica vulnerabilità che può esporli, in un futuro non troppo lontano, a conseguenze inattese e negative, ma non del tutto imprevedibili.

IL VADEMECUM DI GENERAZIONI CONNESSE

La guida si rivolge a genitori, insegnanti, operatori del sociale e della salute mentale, a professionisti dell’infanzia e, in generale, a tutti coloro che sono coinvolti nelle tematiche in questione o semplicemente interagiscono con il mondo giovanile e intendono acquisire maggiori strumenti conoscitivi e operativi sui rischi collegati all’utilizzo delle TIC.

Il documento è strutturato in due parti:

  • una sezione dedicata all’approfondimento - con riferimenti teorici e operativi - di alcune problematiche quali: il cyberbullismo, i siti pro-suicidio, i siti pro-anoressia e pro-bulimia, il gioco d’azzardo online, la pedopornografia online, l’adescamento online, il sexting, il commercio online, i videogiochi online e la dipendenza da Internet;
  • una sezione con i riferimenti dei servizi a cui è possibile rivolgersi a livello regionale, qualora ci si trovi a dover gestire una delle situazioni prese in considerazione.

 

 

 
La sessione scade fra
5:00