GDPR e privacy: Si tratta ancora di privacy?
Il nuovo testo GDPR regolamenta la protezione delle persone fisiche circa il trattamento dei dati personali e la loro libera circolazione. Non si tratta solamente di privacy ma più in generale di protezione dell’intero ecosistema dei dati, aprendo di fatto una vera e propria fase inedita in materia di protezione dei dati personali.
Comprendere le differenze tra GDPR e il regolamento europeo sulla privacy attualmente in vigore (l’”ePrivacy Regulation”) è importante sia per le aziende che per i consumatori. Il regolamento ePrivacy è stato emanato per ampliare il raggio d’azione dell’attuale direttiva sul trattamento dei dati personali e allo scopo di allineare le molteplici norme online esistenti negli Stati membri dell'UE in materia di privacy. Esso prende in considerazione tutte le definizioni di privacy e dati che sono stati introdotti col GDPR allo scopo di definirlo e migliorarlo. In particolare si focalizza su tre concetti: 1) Marketing ”non richiesto” (unsolicited marketing); 2) Cookies; 3) Riservatezza. Li vediamo nel dettaglio.
- Marketing non richiesto: i regolamenti ora includono qualsiasi forma di comunicazione, inclusi e-mail e messaggi di testo, da autorizzare esplicitamente prima di essere utilizzati. Gli operatori di marketing non possono inviare e-mail o testi senza previa autorizzazione da parte del titolare dell’account.
- Cookies: i cookies verranno ora monitorati all'interno del software e dal suo browser l’utente avrà accesso ad un pannello impostazioni che può modificare in base alle proprie esigenze. Questo eliminerà la noiosa litania di banner pop-up che richiedono il consenso per l'uso dei cookies sui singoli siti web. Ciò inficia i precedenti regolamenti che hanno abilitato ciascun sito Web alla possibilità di utilizzare i cookie di ciascun utente.
- Riservatezza: poiché il regolamento ePrivacy costituisce un’integrazione della direttiva sulla Privacy esistente, uno degli obiettivi prestabiliti è quello di ampliare l'ambito di applicazione dei provider di comunicazioni online attribuendo loro gli stessi requisiti dei fornitori di telecomunicazioni tradizionali. A tal proposito, le società che includono Gmail, Skype, Facebook Messenger e WhatsApp ora sono tenute a fornire lo stesso livello di sicurezza dei dati di un fornitore di petrolio, per fare un esempio. I fornitori di qualsiasi servizio di comunicazione elettronica sono tenuti, dunque, a garantire tutte le comunicazioni attraverso le migliori tecniche disponibili. Ciò implica la necessità per i siti Web di rimanere tecnologicamente in sincronia con i migliori sistemi di sicurezza disponibili sul mercato. Le nuove norme alimentano la necessità di trattare i metadati allo stesso modo del contenuto effettivo di una comunicazione. E’ inoltre proibita l'intercettazione di qualsiasi messaggio, eccetto laddove autorizzata da uno stato membro dell'UE, in base alla legge (un procedimento alla stregua di quello utilizzato per un'indagine penale).
Veniamo al GDPR. Esso nasce allo scopo di allineare le leggi sulla privacy dei dati in tutti i paesi dell’UE. Un importante aggiornamento introdotto dal GDPR è che l'elaborazione di qualsiasi informazione riguardante cittadini dell'UE è ora protetta, indipendentemente dal fatto che avvenga all'interno dell'UE o meno, e a prescindere dalla provenienza del rivenditore. Qualsiasi rivenditore, in tutto il mondo, che vende qualcosa a un cittadino dell'UE è tenuto per legge a garantire la sua privacy. L'idea dei dati sul traffico è stata rivista e ampliata nel GDPR, includendo ora tutti i metadati che derivano come risultato delle comunicazioni.
Il GDPR rafforza anche l’idea del consenso, del modo in cui le informazioni personali di un utente possono essere utilizzate o se possono essere condivise. Inoltre, fa si che gli utenti abbiano facile accesso ai propri dati personali, e si tratta di un requisito fondamentale: tutte le aziende e i siti Web che raccolgono informazioni da qualsiasi utente deve “mantenerle” e renderle disponibili allo stesso se richieste.