Senza filtro – Il grande bluff della tutela alla Privacy delle persone fisiche

di Alberto Borella, Consulente del lavoro in Chiavenna

 

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Europeo per la Protezione dei Dati Personali (GDPR – General Data Protection Regulation) che, stando a quanto esplicitato nell’art. 1, si propone una duplice finalità ovvero la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, nonché la creazione di norme relative alla libera circolazione di tali dati, partendo, e lo si dice a chiare lettere, dal fatto che il Regolamento:

protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Non si vuole qui disquisire dell’articolato meccanismo di regole e adempimenti previsti dal Regolamento, ma vogliamo invece soffermarci su quella che appare, quantomeno a chi scrive, una palese contraddizione, sia nei termini che nei fatti, di uno degli adempimenti base della normativa rispetto alle sue nobilissime finalità.

Ci riferiamo all’informativa che deve essere fornita al titolare dei dati personali e per la quale l’art. 12 del GDPR stabilisce peculiari caratteristiche – il regolamento le chiama “modalità trasparenti” – che permettano all’interessato una cosciente presa d’atto dei diritti garantitigli dal Regolamento:

1. Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Chiaro l’intento del legislatore di fare sì che l’informativa raggiunga l’interessato non solo in senso materiale ossia tramite la sua mera consegna, ma che sia da costui pienamente compresa, permettendogli quindi scelte autenticamente libere in relazione ad un eventuale consenso all’utilizzo dei propri dati per le finalità dichiarate dal richiedente.

In quest’ottica interessanti risultano alcune delle caratteristiche previste per questo documento:

– in primis l’obbligo di concisione dell’informativa, che, Treccani alla mano, dovrebbe esplicitarsi in uno scritto breve e in una esposizione essenziale, sintetica, stringata e succinta. Come dire: concentratevi sull’essenziale ed eliminate tutti i fronzoli, compresi i richiami agli articoli di legge;

– il secondo requisito è quello della intelligibilità dell’informativa che presuppone, sempre dizionario alla mano, la possibilità di essere compresa e correttamente interpretata dal destinatario. Come dire: attenzione a chi vi trovate di fronte.

Fondamentale a tale scopo sarà quindi, stando alla norma, l’utilizzo da parte di chi raccoglie e tratta questi dati di un linguaggio semplice e chiaro.

Le informazioni da fornire all’interessato, nel caso della contestuale raccolta presso il medesimo dei dati che lo riguardano, sono individuate dall’art. 13 del GDPR e sono

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f ) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f ) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

Da sottolineare peraltro che il Considerando 26 del GDPR stabilisce anche che

È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento.

Abbiamo sopra già evidenziato come tutte queste informazioni – su titolari e responsabili, interessi e diritti, finalità e modalità del trattamento, rischi e procedure – dovranno rispettare le caratteristiche, sostanzialmente di completezza e trasparenza, previste dall’art. 12 del GDPR.

Non sembra proprio un giochetto da ragazzi.

Ed infatti a causa della mole di informazioni da fornire all’interessato – va anche detto giustamente, considerati i diritti in gioco – ci stiamo inevitabilmente imbattendo nei primi fac-simili di informative redatte su più pagine in un impeccabile linguaggio tecnico-giuridico, all’evidente scopo di porre il titolare del trattamento al riparo dalla pesanti sanzioni previste dal GDPR.

Su questo fatto andrebbe sviluppata una prima, seria, considerazione. Una informativa che, utilizzando un linguaggio semplice e chiaro, volesse essere concisa, trasparente, intelligibile e facilmente accessibile e al contempo prevedere tutte le informazioni richieste, potrà mai raggiungere effettivamente il proprio scopo?

E qui non stiamo parlando del caso di un interessato analfabeta o straniero – aspetto che meriterebbe ulteriori considerazioni – ma dell’utente comune, quello per intenderci da social network i cui dati, gusti e abitudini, oggi rappresentano una grandissima ricchezza per ogni azienda che fa business.

Abbiamo tutti ben presente cosa succede con le varie corpose informative privacy allegate ai moduli contrattuali delle agenzie telefoniche o di istituti bancari. Ce li sbattono sotto il naso e senza avere il tempo di leggerli (anche se in tutta onestà spesso ci manca proprio la voglia) mettiamo una decina di firme in modo meccanico, inconsapevoli del contenuto e delle possibili conseguenze di quanto stiamo accettando e sottoscrivendo.

E siamo tutti altrettanto consapevoli che nei contratti online, di fronte alle informative privacy che propongono un link che conduce direttamente al testo dell’informativa oppure l’apertura di un pop-up (con l’obbligo di scorrerlo tutto prima di trovare la spunta di consenso) nessuno si prenda la briga di leggere alcunché.

Del resto è un dato di fatto che una informativa contrattuale che supera la mezza pagina diventi inevitabilmente indigesta alla maggioranza degli utenti finali, quelli italiani di certo.

A questa considerazione consegue una prima domanda: a cosa serve tutto questo? Alla protezione delle persone fisiche, con specifico riguardo al trattamento dei loro dati personali, oppure alla libera circolazione di tali dati?

Ripensiamo bene al sistema Privacy: il titolare del trattamento che utilizza, per legge o per contratto, i dati di una persona fisica ha l’obbligo di informarla; se desidera utilizzare questi dati per altre finalità, anche “commerciali,” deve acquisirne il libero consenso; una volta acquisiti, i dati devono comunque essere protetti dal rischio di perdita o di furto.

Personalmente si nutrono forti dubbi che tutto funzioni sempre così. Anzi, il più delle volte questo sistema – proprio in ragione della promiscuità tra informative, consensi obbligatori e consensi facoltativi – costringe l’utente ad accettare, senza attentamente leggerle, tutte le clausole contrattuali proposte, spesso anche a causa della ineluttabilità della scelta nel trovarsi davanti al classico “pacchetto prendere o lasciare”.

E per i medesimi motivi, altrettanto di sovente, accade che il “furto” dei nostri dati avvenga molto prima, sotto i nostri occhi, in sede di richiesta e acquisizione del consenso al trattamento.

Ed eccoci giunti così alla domanda conclusiva: il nuovo Regolamento potrà mai creare un impianto volto alla reale tutela, di rango costituzionale, dei diritti e delle libertà fondamentali delle persone fisiche oltre che dei loro dati personali?

O forse è più verosimile ritenere che questo sistema serve più a parare le spalle ai grandi centri di potere che i dati li “trattano” ovvero li raccolgono, li gestiscono ma, soprattutto, li vendono?

Non sarà che proprio grazie all’informativa e agli annessi consensi – rispettosa, la prima, certamente dei contenuti e dei requisiti richiesti dalla legge, ma si dubita fortemente di quelli di concisione e di intelligibilità – le grandi aziende potranno sempre giustificare ogni loro operato a fronte di eventuali contestazioni di utilizzo illecito dei dati?

Chi scrive non ha esitazione alcuna su quale sia la risposta corretta.