Regolamento europeo GDPR e autorità italiana di controllo: funzioni, compiti e poteri di intervento del Garante privacy per tutelare i cittadini dall’utilizzo indebito delle proprie informazioni riservate.

Tutti noi disseminiamo ogni giorno, quasi senza accorgecene, una grande quantità di informazioni che rivelano i nostri gusti, abitudini, comportamenti, propensioni di spesa, idee e tendenze: lo facciamo semplicemente interrogando Google o Bing e formulando le nostre ricerche, oppure consultando i social network ed aprendo i post che più ci interessano, o registrandoci ad un sito e ad una mailing list.

Insomma, ogni nostro gesto compiuto sul web è tracciato, e questo lo sappiamo bene. Non siamo altrettanto consapevoli, però, che quelle informazioni sono preziose: possono essere vendute a società interessate a proporci l’acquisto dei loro prodotti, o addirittura usate per scopi illeciti. In questa preoccupante situazione, è molto importante sapere da chi e come vengono protetti i dati personali su internet. Vedremo che c’è una doppia tutela: una amministrativa, che opera in via generale, e una giudiziaria, che interviene in casi specifici.

GDPR: Regolamento Generale sulla Protezione dei Dati

Il problema principale nasce dal fatto che la rete internet è per definizione senza confini: il web travalica le frontiere degli Stati nazionali e- salvi i casi di oscuramento disposti dai governi totalitari, tra cui fortunatamente non rientra l’Italia – i nostri dati personali possono essere trattati, gestiti, elaborati, utilizzati e sfruttati al di fuori dell’Unione Europea, dove dal 2018 vige il severo e minuzioso GDPR, General Data Protection Regulation, il Regolamento generale sulla protezione dei dati.

L’Italia in questo settore era già avanti, perché sin dal 2003, dunque vent’anni fa, si era dotata di un Codice privacy, ora irrobustito dall’entrata in vigore del GDPR (che, essendo un regolamento comunitario, non necessita di un recepimento da parte degli Stati membri, come invece accade per le direttive). Questa normativa sancisce il quadro generale, integrato dalle previsioni del Codice penale in caso di commissione di reati derivanti dalla fraudolenta acquisizione o dall’indebito utilizzo dei dati personali.

Quali sono i dati personali?

Per prima cosa dobbiamo chiarire cosa si intende per dati personali: sono le informazioni che identificano o permettono di identificare una persona (ad esempio, il volto di una persona ritratto dalle telecamere di sorveglianza), o che comunque forniscono informazioni significative sulle sue caratteristiche (età, altezza, peso, residenza, stato di salute), abitudini (frequentazioni e relazioni personali, attività lavorativa, sport, hobby) situazione economica (reddito, patrimonio, beni posseduti, risparmi, investimenti, spese).

Come puoi ben notare, si tratta di informazioni tanto delicate quanto preziose, che ognuno di noi in varie occasioni “deposita”, volontariamente o per necessità, negli archivi informatici, pubblici o privati, come quando ci si rivolge a una clinica per ottenere determinate prestazioni sanitarie, si va al Caf per chiedere l’Isee o per predisporre la dichiarazione dei redditi, o quando si va in banca per chiedere un finanziamento, o semplicemente si passa per strada e si entra in un negozio, venendo ripresi nei filmati di videosorveglianza.

Ma anche l’indirizzo Ip del dispositivo da cui ci colleghiamo permette facilmente l’identificazione del soggetto, proprio come la targa di un veicolo. E spesso forniamo il nostro nome e cognome, immagini, numero di telefono e codice fiscale a vari siti: sono tutti dati personali.

Tra i dati personali, la categoria più delicata, e che necessita di maggior protezione, è quella dei cosiddetti dati sensibili: sono tali quelli che rivelano informazioni riservate ed intime, come lo stato di salute, l’orientamento sessuale, l’origine razziale od etnica, le convinzioni religiose e filosofiche, le opinioni politiche e l’appartenenza sindacale. Anche i dati genetici (il profilo Dna) e i dati biometrici (impronte digitali e riconoscimento facciale) rientrano in questa categoria.

Parimenti delicati sono i tabulati telefonici (compresi quelli telematici dei collegamenti ad internet e dell’uso dei sistemi di messaggistica), i dati sulla geolocalizzazione, in quanto forniscono informazioni sui luoghi frequentati e sugli spostamenti, e i dati giudiziari, relativi a condanne o imputazioni iscritte, rispettivamente, nel casellario giudiziale o nel registro dei carichi pendenti, senza dimenticare la Banca dati interforze della Polizia.

Diritti dei cittadini sui dati personali

Il Gdpr definisce tre fondamentali figure coinvolte nel trattamento dei dati personali:

• l’interessato, cioè la persona fisica alla quale i dati personali si riferiscono;
• il titolare del trattamento, cioè il soggetto che acquisisce, riceve, gestisce, utilizza e conserva i dati, che può essere, a seconda dei casi, una persona fisica (come l’amministratore di condominio), una pubblica amministrazione o ente pubblico (Agenzia delle Entrate, Comune, Inps), o un’impresa, come una qualsiasi società commerciale;
• il responsabile del trattamento: è una figura eventuale, che entra in gioco quando il titolare gli chiede di eseguire, per suo conto, alcuni compiti di gestione ed elaborazione dei dati (ad esempio, un commercialista che predispone le paghe e i versamenti contributivi per i dipendenti di un’azienda).

I soggetti che effettuano il trattamento di dati personali altrui devono adottare tutte le misure previste ed imposte dal GDPR per garantire il corretto e sicuro utilizzo di tali informazioni.

In particolare, l’interessato ha sempre il diritto di conoscere come vengono trattati i propri dati personali: da qui nasce la cosiddetta informativa sulla privacy, che deve esporre preliminarmente le modalità del trattamento e dell’eventuale divulgazione dei dati a terzi (che può avvenire solo se c’è un espresso consenso dell’interessato) ed anche l’avvertenza sulla presenza di cookie nei siti web, che l’utente ad ogni collegamento è chiamato ad accettare o a rifiutare. Anche i cartelli che avvisano della presenza di sistemi di videosorveglianza sono informative sulla privacy sintetizzate, e l’interessato ha il diritto di chiedere al titolare il documento completo.

Tutela dei dati personali su internet

Per individuare in maniera inequivocabile i destinatari degli adempimenti stabiliti dal GDPR sono state previste, per ogni situazione concreta, le figure del titolare del trattamento e del responsabile del trattamento dei dati personali, ai quali l’interessato può sempre rivolgersi, in quanto sono chiamati a rendere conto del proprio operato, in primo luogo al proprietario dei dati trattati, e in seconda battuta – quindi in caso di inadempimento o mancato riscontro alle richieste – all’Autorità amministrativa indipendente o all’Autorità giudiziaria, come vedremo fra poco.

Anche i siti web devono individuare tali figure di riferimento, e adottare tutte le precauzioni opportune per salvaguardare i dati personali gestiti, evitandone la diffusione non autorizzata, la dispersione o il furto. È un rischio molto concreto ed attuale, come purtroppo molti episodi recenti dimostrano: gli attacchi informatici ad aziende ed enti pubblici sono diventati una nuova e pericolosissima forma di terrorismo.

Ed è importante notare che il trattamento dei dati personali è considerato di per sé un’attività rischiosa, come i processi produttivi delle aziende, a causa dei potenziali pericoli che l’uso illecito o comunque non autorizzato delle informazioni può comportare: se ciò accade, il danneggiato può chiedere il risarcimento al responsabile. E in ogni caso chi gestisce archivi elettronici, procedure automatizzate di elaborazione ed anche qualsiasi sito internet più o meno complesso (compresi quelli di e-commerce ed i semplici blog divulgativi) deve adottare tutte le misure e precauzioni necessarie, ai sensi del GDPR, per proteggere i dati personali degli interessati. Se possiedi un sito e vuoi approfondire questo aspetto, leggi come avere un sito in regola con le normative sulla privacy dei dati.

Garante per la protezione dei dati personali

Già nel 2007 il Trattato di Lisbona, sul funzionamento dell’Unione Europea, aveva sancito che la protezione dei dati personali è un diritto fondamentale dei cittadini, e, come abbiamo visto, il GDPR ha articolato l’espressione e le forme di esercizio di questo diritto. Sono parole al vento? No, perché il Regolamento è molto preciso nel disciplinare le varie forme in cui può legalmente avvenire il trattamento dei dati personali ed anche le deroghe, come quando i dati altrui sono necessari per far valere un proprio diritto in sede giudiziaria.

Ma sappiamo che qualunque principio enunciato rimane vuoto se manca un’Autorità, pubblica e indipendente, incaricata di vigilare sul suo rispetto e di intervenire in caso di inosservanza. In Italia l’Autorità di controllo è il Garante per la protezione dei dati personali, comunemente conosciuto come Garante privacy, in quanto la riservatezza è il principale aspetto in cui si manifesta la necessità di protezione dei dati.

Chiunque può rivolgersi al Garante per esporre e lamentare una violazione del trattamento dei propri dati personali, inviando reclami e segnalazioni utilizzando i moduli messi a disposizione sul sito dell’Autorità; ad esempio, per segnalare le telefonate abusive dei call center che chissà come hanno avuto il nostro numero e lo utilizzano per chiamarci nonostante la nostra iscrizione al Registro delle opposizioni, o per segnalare i tristi casi di revenge porn, tanto più pericolosi quando si verifica la diffusione via internet delle immagini o dei filmati compromettenti.

L’Autorità dispone di notevoli poteri di intervento, tra cui quello di vietare i trattamenti illeciti o comunque non conformi al GDPR, disponendone il blocco, se necessario, ed anche sanzionatori: in particolare, il Garante può comminare ai responsabili delle aziende che risultano aver trattato dati personali in violazione della normativa sulla privacy, o comunque trascurando gli adempimenti imposti dal GDPR, pesanti sanzioni amministrative pecuniarie che sono commisurate ad una percentuale del fatturato (dal 2% al 4%) e possono arrivare fino a 20 milioni di euro. Sono sanzioni particolarmente elevate per avere un effetto deterrente nei confronti dei giganti del web (un esempio per tutti: Meta, che recentemente è stata sanzionata dal Garante per irregolarità sul trattamento dei dati riscontrate su Facebook, Instagram e Whatsapp).

Autorità giudiziaria e Polizia postale

Infine, non bisogna dimenticare il fondamentale ruolo di vigilanza e di intervento svolto dall’Autorità giudiziaria specialmente attraverso la Polizia Postale, un organo operativo altamente specializzato nel contrasto ai crimini informatici.

In caso di reati commessi sul web o comunque tramite computer e smartphone, come l’accesso abusivo a sistemi informatici e telematici, il furto di credenziali di autenticazione ai sistemi di home banking, le intercettazioni abusive, la pedopornografia, il commercio illecito di armi, sostanze stupefacenti ed organi umani, ed anche per le comuni truffe, frodi e diffamazioni compiute via internet (la rete è equiparata alla stampa e agli altri mezzi di diffusione delle informazioni, quindi la diffamazione è aggravata), si può sporgere denuncia-querela alla Procura della Repubblica competente per territorio, anche per il tramite della Polizia Postale o di altri organi di Polizia Giudiziaria, chiedendo che si proceda penalmente nei confronti del responsabile, e sollecitando l’adozione urgente dei meccanismi idonei ad interrompere la commissione del reato, come il sequestro o l’oscuramento del sito internet interessato, o comunque la rimozione da esso delle informazioni pregiudizievoli e lesive.

Per ulteriori informazioni leggi “Come segnalare un sito internet” e “Quando fare denuncia alla Polizia Postale“.