L'autore
Siete pronti? Il garante della privacy non è il garante della privacy, ma è il garante per la protezione dei dati personali. Non è uno scioglilingua: le cose stanno proprio così, perché privacy e protezione dei dati, anche se spesso usati come sinonimi, in realtà sono concetti diversi, e forse è arrivato il momento di fare chiarezza.
Facciamo un minimo di cronistoria. Il concetto di privacy è vecchio come l’uomo e fa parte della sua storia nell’arte, nella società e nei rapporti tra le persone. L’idea che quello che faccio tra le mura di casa mia rimane un fatto mio personale risale probabilmente allo strutturarsi della vita sociale.
Ma la privacy ha anche un altro aspetto, di natura più giuridica, che nasce negli Stati Uniti nel 1890, con l’articolo pubblicato sulla Harvard Law Review “Right to privacy”, scritto da due avvocati di Boston: Samuel D. Warren e Louis D. Brandeis. Il principale concetto che ne emerge è quello di privacy come difesa del proprio cortile privato dalle invasioni dei giornalisti e della stampa scandalista che in quegli anni muoveva i primi passi.
È quindi una privacy strettamente correlata all’aspetto della protezione domestica, della persona e della sua intimità.
L’idea di protezione dei dati, invece, ha un’origine più europea, e nasce nel ‘900 durante le esperienza del totalitarismo, come protezione dei miei dati dal controllo dello stato che può poi usufruirne per attività discriminatorie o di profilazione legate poi agli episodi drammatici che hanno segnato il secolo scorso (sterminio minoranze, guerra fredda, schedature dei dipendenti, etc.).
Cambia quindi l’approccio: al centro non c’è più soltanto la vita intima delle persone (come nella privacy nord americana), ma è una protezione del dato del soggetto in società. Se quando parlo di privacy intendo quindi il mio personale concetto di ciò che ritengo inviolabile della mia vita privata e quello che invece decido di divulgare liberamente; la protezione dei dati, invece, è la normativa che la Comunità europea ha partorito attraverso numerosi passaggi per proteggere il cittadino nel momento in cui la società ha raggiunto un alto livello di controllo.
Protezione dei dati: il cittadino al centro del regolamento
L’avvento della società digitale ha alzato ulteriori minacce alla privacy che la normativa per la protezione dei dati cerca di contenere. Sempre di più privacy e GDPR sono accomunate, spesso si intersecano, ma ancora: non sono la stessa cosa. La privacy tra cittadini è già tutelata dal diritto civile, mentre la protezione dei dati interviene quando la persona, o meglio la sua rappresentazione elettronica/digitale, entra in contatto con le grandi aziende.
La confusione rimane, soprattutto quando sono io cittadino disposto a cedere i miei dati in cambio di servizi che necessitano di quei dati per funzionare correttamente. Se ci rivolgiamo ai social network il discorso si complica ancora di più, perché in questo caso l’esibizione e la divulgazione del dato sensibile e delle informazioni personali della propria vita privata diventa la regola.
Rimaniamo però nell’ambito del GDPR. L’elemento cardine di questo regolamento è che è stato costruito attorno ai diritti della persona. È difficile trovare nel regolamento delle disposizioni che siano favorevoli o agevoli all’impresa.
Questo significa che i dati raccolti dalle aziende (siano esse pubbliche o private), devono essere protetti, tutelati, e tenuto riservati, attraverso i principi di liceità e trasparenza. L’azienda, inoltre, è tenuta ad utilizzarli solo per la necessità che ne ha richiesto la raccolta, e non per altre.
Il GDPR interviene proprio in questo punto del rapporto, controllando il trattamento dei dati da parte degli enti che li raccolgono, cioè che non ne facciano un uso improprio e pretendendo anche la protezione nei confronti di tentativi di data breach. Inoltre i gestori dei dati devono rimanere a disposizione dell’utente qualora volesse richiederne la modifica o la cancellazione.
Che il dato sia raccolto attraverso il mio consenso, come ad esempio la necessità di rivelare certi particolari sensibili ad un’azienda sanitaria per un intervento, o che siano stati presi involontariamente, come può capitare a Google Street view nella realizzazione delle mappe fotografiche della città, la persona proprietaria di quel dato ha sempre diritto di intervenire. Il GDPR obbliga l’azienda a rispondere alla richiesta, ed eventualmente la sanziona se questo non avviene.
È quindi un regolamento fondamentale in un periodo in cui la circolazione dei dati è continua (app, social network, aziende gestione utilities, etc.) e in cui i dati acquistano sempre più valore sociale ed economico.
Proprio per questo è importante continuare a fare una corretta distinzione tra privacy e data Protection. Perché il GDPR è il risultato di una specifica tradizione europea di protezione del cittadino non tanto – o non solo – della sua sfera privata (per le querelle tra cittadini ci pensa il diritto privato), ma in quadro sociale di tutela dei dati sensibili contro l’occhio indiscreto del grande fratello.
