Digitale & Privacy, Celeste Tabita intervista l’avvocato Manuele Sillitti
– Intervista di Celeste Tabita –
Parlare oggi di Privacy è come addentrarsi in un campo minato, consapevoli che ad ogni passo falso si rischia un’esplosione. Non importa che l’argomento si affronti cautamente o meno, le polemiche saranno comunque di casa. La società è cambiata. Noi siamo cambiati.
Internet è ad oggi parte concreta e caratterizzante della nostra realtà. Anche solo immaginare di vivere separati da quella mole di informazioni che giornalmente fruiamo ci sembra inimmaginabile; e il come o a che prezzo tali informazioni risultino a portata di un click ha un peso solo quando ci sentiamo violati della nostra intimità.
Ecco che i dati, i nostri dati, spesso concessi con troppa leggerezza, diventano un potere; un potere che a ragion del vero è sempre esistito ma che deve fare i conti con lo sviluppo tecnologico.
In nome del progresso è ragionevole pensare a leggi che prescindano dagli stati nazionali, in quanto le barriere per quei ‘dati’ sono cadute ormai da tempo. Era della sorveglianza quindi da una parte, ma anche salvaguardia necessaria dall’altra per presidiare la nostra individualità in un mondo virtuale.
L’Avvocato Manuele Sillitti, CEO di Ecsogam srl risponde ad alcuni punti di riflessione circa il trattamento dei dati personali.
Manuele, come cambia la regolamentazione in termini di privacy dalla legge italiana 30 giugno 2003, n.196 alla transnazionale comunemente detta GDPR in vigore da maggio 2018?
“Il nuovo Regolamento nasce per tutelare e proteggere di fatto le persone fisiche in relazione alla circolazione dei propri dati personali.
L’esigenza è quella di armonizzare e quindi normare le regole riguardanti il trattamento dei propri dati personali e il trasferimento di quest’ultimi dall’UE verso il resto del mondo (dove hanno sede le maggiori Società detentrici di tali dati).
In sintesi il Regolamento Europeo introduce regole più chiare sul consenso e sulla relativa informativa, stabilisce i limiti al trattamento automatizzato di tali dati, fissa i criteri per il trasferimento di tali dati fuori dall’UE ma anche per le società che da fuori offrono servizi rivolti al mercato UE.
Infine fissa norme rigorose per la violazione di tali dati.
A partire da questa data il Garante della Privacy può avviare controlli, grazie anche all’ausilio della Guardia di Finanza verso tutti coloro che eseguono attività di profilazione su larga scala, come i grandi Istituti di credito e i gestori delle grandi banche dati. Sono state fissate sanzioni di importi ingenti, oltre 200 milioni di euro (e fino al 4% del fatturato). Sono stati stabiliti punti precisi sui quali il Garante potrà intervenire, imponendo o sospendendo il trattamento dei dati per coloro che non rispettano la normativa con conseguente risarcimento di danni patrimoniali e non.
Nell’alveo di tale normativa sono contemplati i danni ‘reputazionali’ (che troppe volte sono stati oggetto di tristi epiloghi di cronaca)”.
Storicamente Privacy e codice deontologico professionale sono sempre andati di pari passo?
“Personalmente direi di no.
Il pacchetto normativo alla base della Legge sulla Privacy ha fatto i conti con la ‘prassi delle libere professioni’ e molto spesso, più per incapacità culturale e limiti di tempo ma anche costi elevati, i professionisti non hanno adottato le misure idonee a garantire la minima copertura di riservatezza ai propri clienti e in genere ai dati trattati e custoditi.
Ad esempio, riguardo la professione forense, il Garante ha ridefinito le ‘regole deontologiche’ in ottemperanza al Dlgs. 101/2018 fissando condizioni di liceità e correttezza dei trattamenti per scopi statistici e scientifici, per quelli a fini statistici e di ricerca scientifica nell’ambito del SISTAN, per quelli a fini di archiviazione nel pubblico interesse o di ricerca storica e per quelli effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.
Tali regole erano già state impartite nel provvedimento del Garante n. 60 del 2008, facente parte sempre della novella 196/2003, perciò con la riforma del 2018 sono pochi gli interventi additivi introdotti.
Appare evidente la volontà del Garante di consentire l’utilizzo di dati per i quali è la Legge a prevederne e disporne la pubblicità legale mentre, da tale utilizzo, dovrebbero rimanere estromessi quelli presenti in internet ove non sia una norma a disporne, con quel mezzo, la pubblicità.
Di fatto il professionista non può condividere tali informazioni quando l’attività è prestata individualmente (come la maggior parte dei casi specie in Italia), sarà solo Egli a poter incaricare per iscritto terzi professionisti, con medesime caratteristiche deontologiche (ad es. commercialisti, medici, o professionisti qualificati) ad assumere informazioni inerenti dati protetti”.
Oggi internet ha creato nuovi profili professionali detentori di dati sensibili, cosa cambia rispetto al passato nella gestione di tali informazioni?
“Ritengo e spero che le nuove aziende del settore abbiano la capacità e la formazione tale per raccogliere tali dati e gestirli in maniera corretta ma soprattutto legale.
Quando si tratta di società accreditate presso gli organi competenti è probabile che tali regole siano mantenute e rispettate, ma il web specie in questi anni è costellato da miriadi di nuove figure professionali più o meno regolamentate. Ad esempio assistiamo alla prolificazione di Digital Strategist, Seo Specialist, Community Manager o Web Content Editor (ma ce ne sono a mucchi…).
Molti operano in regime di non ufficialità, stipulando accordi verbali, aggirando le norme fiscali e tributarie nonché gran parte della normativa in generale e nello specifico quella sulla Privacy. I clienti di questo universo di professionisti il più delle volte trasmettono informazioni personali e peggio ancora informazioni di terzi per essere gestite e valorizzate da i suddetti operatori abbattendo e neutralizzando quanto in precedenza detto.
Se è vero che rispetto al passato le regole sono state rafforzate è pur vero che l’avvento di nuovi operatori web ha aumentato incertezza e scarsa attenzione al rispetto di tali regole”.
Con Berryflip gestite la privacy dei vostri utenti, tale processo è semplificato con un iter accessibile anche ai meno esperti?
“Con questa app abbiamo cercato di rendere il processo facile e in armonia con il dettato europeo e internazionale. Il processo di registrazione, sospensione e cancellazione è equilibrato e rispettoso della normativa, l’utente, con un minimo di attenzione e lettura di quanto è agevolmente riportato nel pannello di controllo è in grado di ottenere tutte le informazioni utili e i riferimenti alla gestione dei dati che ci rilascia. Riceviamo di sovente mail con richieste e delucidazioni da parte dei nostri utenti e questo significa che il sistema funziona e che il canale informativo è compreso e utilizzato”.
Geolocalizzazione: come ci si tutela e cosa è richiesto all’esercente?
“La geolocalizzazione può avvenire grazie a diversi sistemi, un gps integrato nel proprio device che attraverso una triangolazione fornisce i dati relativi alla propria posizione su una mappa terrestre, oppure attraverso l’uso di reti tipo wifi ma anche con rilevamento di altri sistemi come ad esempio i beacon.
In generale per i titolari del trattamento che intendono utilizzare le varie tecnologie, occorrerà prestare molta attenzione all’obbligo di informare, in modo chiaro, conciso e facilmente visibile, i propri utenti/clienti del fatto che, attivando il gps e concedendo l’autorizzazione a tale lettura (in Berryflip occorre acconsentire a questo doppio passaggio) si sarà individuati su una mappa, comunicare quali sono le modalità per non essere geolocalizzati/profilati/tracciati altresì se nell’area, sono installati questi dispositivi, specificando le medesime informazioni.
Occorrerà, in particolare, descrivere in modo chiaro come poter neutralizzare il rilevamento, se non desiderato: il più delle volte si tratterà di disattivare il Bluetooth, il wifi (benché ciò potrebbe risultare, in alcuni casi, non facile quando il device dell’utente utilizza questa tecnologia anche per interagire con altri oggetti, come auricolari o smartwatch) oppure modificare le impostazioni della piattaforma sul rilevamento”.
Quali sono i reati più comuni nel momento in cui i nostri dati vengono violati? E su chi ricade tale responsabilità?
“A seconda del tipo di violazione commessa possono essere previste sanzioni amministrative e pecuniarie, risarcimento del danno o la reclusione.
Le violazioni più comuni sono inerenti gli obblighi che riguardano i principi di base del trattamento e le condizioni relative al consenso, violazione dei diritti degli interessati, violazione degli obblighi inerenti il trasferimento di dati personali ad un destinatario di un Paese Terzo o un’organizzazione internazionale, aver cagionato un danno fisico, materiale o immateriale, aver comportato discriminazioni, furto o usurpazione d’identità, aver arrecato pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, aver rivelato dati sensibili.
In ambito penale ad esempio rischia fino a 6 anni chi ha comunicato e diffuso illecitamente dati personali, fino a 4 l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, 2 anni per l’inosservanza dei provvedimenti del Garante”.
Cos’è il diritto all’oblio?
“La Corte di Cassazione definisce il diritto all’oblio come il ‘giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata’.
Il diritto all’oblio è il diritto a essere dimenticati dal web: è stato esaminato nella sentenza della Corte di Giustizia UE del 13.05.14, la quale afferma che esiste il diritto a che il proprio nome non sia associato a un qualche risultato, evento e/o circostanza tramite una ricerca in rete. Questo diritto si traduce, operativamente, in diritto alla cancellazione o alla de-indicizzazione del risultato.
Anche il Regolamento UE 2016/679, conosciuto come GDPR, imprime al diritto all’oblio ancora più forza, assegnando alla persona il potere di cancellarsi dal mondo digitale, tanto da potersi definire un diritto alla cancellazione dei propri dati presenti nel web“.
Parlando di nuove professioni nel mondo digitale, può un freelance senza partita iva gestire dati sensibili?
“Personalmente ritengo di si. L’importante è che chi gestisce tali dati, poiché titolare di un blog o una newsletter o altro, applichi tutte le regole riguardanti la gestione e l’uso dei dati personali.
Dovrà specificare la policy del trattamento, quella dei cookie (se presenti), come prestare il consenso e come revocarlo, inserire banner di tutela per attivare e disattivare tali consensi e soprattutto essere reperibili e conoscibili, specificando chi è la persona che gestisce tali informazioni e a che scopo sono gestite.
Il rispetto delle persone, il rispetto della riservatezza altrui (e dei dati) è qualcosa che ritengo vada al di là della semplice norma codificata, è più un fatto etico e morale, forse culturale, che purtroppo sfugge alle logiche commerciali.
Per quanto la Legge potrà regolamentare e il Garante controllare, il passo fondamentale spetta a noi, come tutto ciò che riguarda le interazioni umane, perché solo noi, custodi di ciò che ci circonda, con scienza e maturità, abbiamo l’obbligo umano e civile, di non arrecare danni e pregiudizi a terzi, nel più ampio spirito possibile“.