Cybersecurity Identità e privacy Il diritto alla privacy

II.

Il diritto alla privacy

“Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.”

-Articolo 12 della Dichiarazione universale dei diritti umani delle Nazioni Unite.

Per quanto la dichiarazione dei diritti umani del 1943 contenga un riferimento alla privacy, è solo in tempi recenti che si è cominciato a sottolineare l'importanza della privacy su internet. Il panorama digitale di oggi ha reso la definizione della privacy molto più urgente di quanto generazioni precedenti si potessero aspettare. La definizione della privacy nel mondo fisico si distingue da quella del mondo digitale. Prima della rivoluzione digitale la più grande minaccia alla privacy si riteneva provenisse dai governi che avevano i migliori mezzi a disposizione per raccogliere e archiviare ampie quantità di dati sui singoli individui. Con il boom dei servizi digitali e online, sui quali facciamo affidamento ogni giorno, le aziende che gestiscono questi servizi sono capaci di raccogliere enormi quantitativi di dati sul nostro conto.

Le regolamentazioni precedentemente in vigore e che riguardavano prevalentemente istituti governativi e istituzioni come le banche e le compagnie d'assicurazione sono risultate inadeguate per il nuovo mondo digitale. Il chiaro bisogno di regolamentazioni migliori ha portato alla creazione di regolamenti come l'RGPD nell'Unione europea.

Per quanto le regolamentazioni siano migliorate nella maggior parte dei paesi del mondo, è bene comprendere che in alcuni casi esse vengono prevalentemente ignorate. La Cina per esempio ha aggiunto leggi sulla privacy che vengono spesso ignorate dalle autorità stesse. Anche quando la legge viene osservata dai governi, spesso essa prevede delle eccezioni per quanto riguarda alcuni istituti per ragioni di sicurezza nazionale.

I paesi della UE hanno fatto enormi passi in avanti nel proteggere la privacy dei loro cittadini. Approfondiamo l'RGPD e confrontiamolo con le regolamentazioni americane equivalenti.

Un cartello con le bandiere della UE e degli Stati Uniti che indicano direzioni opposte
Un cartello con le bandiere della UE e degli Stati Uniti che indicano direzioni opposte

RGPD

Il regolamento sulla privacy dell'UE RGPD (Regolamento Generale sulla Protezione dei Dati), si prefigge lo scopo di proteggere il diritto alla privacy dei cittadini dell'UE. Lo scopo primario dell'RGPD è quello di fornire una cornice di riferimento per le aziende che archiviano e controllano i dati dei cittadini dell'UE. In ultima istanza l'RGPD garantirà un diritto più forte alla privacy per i singoli individui definendo il modo in cui si devono trattare i dati privati di una persona e definendo le pene per la violazione di queste regole.

L'RGPD reagisce all'aumento dei servizi che archiviano e gestiscono dati online. I regolamenti sulla privacy sono stati e nella maggior parte dei paesi sono ancora frammentati. Con l'RGPD l'UE vanta la cornice di regolamento più onnicomprensiva e con il più alto livello di protezione della privacy digitale nel mondo.

I diritti coprono i cittadini dell'UE anche se i servizi che usano non hanno sede nell'UE, fintanto che un qualsiasi servizio venga offerto all'interno dell'UE o a cittadini dell'UE.

L'RGPD definisce 8 diritti degli utenti. Essi sono:

  1. Il diritto all'informazione: La persona ha il diritto di sapere quali dati sono stati archiviati e come vengono usati.

  2. Il diritto di accesso: La persona ha il diritto di vedere quali informazioni un servizio ha a disposizione sulla propria persona.

  3. Il diritto di rettifica: La persona ha il diritto di correggere i dati che un servizio ha a disposizione sulla propria persona.

  4. Il diritto alla cancellazione: La persona ha il diritto di richiedere che un servizio cancelli i dati raccolti sulla propria persona.

  5. Il diritto di limitazione di trattamento: In certi casi si ha il diritto di richiedere la cessazione del trattamento dei propri dati.

  6. Il diritto alla portabilità dei dati: Il diritto di ricevere a scopi personali i dati personali raccolti da un servizio o di mandarli ad un altro servizio.

  7. Il diritto di opposizione: La persona ha il diritto di opporsi al trattamento dei propri dati, per esempio si ha il diritto di opporsi al tracciamento per mezzo di cookie.

  8. Il diritto di evitare il processo decisionale automatizzato: Si ha il diritto di non essere sottoposti al trattamento automatizzato e alla profilazione.

Tutti questi diritti prevedono delle eccezioni e altre clausole, ma fondamentalmente sanciscono la possibilità di decidere se un servizio può conservare dati sulla propria persone e se sì, di mantenere il controllo sul modo in cui vengono utilizzati e sulla loro cancellazione.

L'RGPD definisce due categorie di dati, i dati “identificativi della persona” e i dati “personali sensibili”. Come si è visto nel capitolo precedente, i dati identificativi della persona sono dati che possono essere collegati ad una persona come ad esempio l'indirizzo. I dati personali sensibili sono dati che possono rivelare informazioni pertinenti ai propri parametri biomedici, genetici, di salute, sessuali, religiosi, filosofici, politici, razziali o etnici. Se un servizio conserva e fa uso di dati personali sensibili, è soggetto a misure più rigide riguardanti il consenso e la protezione dei dati rispetto ad un impiego non autorizzato.

L'RGPD è stato al centro di molti dibattiti e molta pressione è stata esercitata da più parti affinché venissero aggiunti degli emendamenti al regolamento, tuttavia i capisaldi del regolamento è improbabile che cambino di molto. Anche le sanzioni previste dall'RGPD in caso di violazioni hanno destato scalpore. Le sanzioni possono arrivare fino a 20 milioni di euro o al 4% dei ricavi globali di un'azienda, a seconda di quale cifra risulti più alta.

Le leggi sulla privacy negli Stati Uniti

Gli Stati Uniti non hanno un regolamento unico come l'RGPD nell'UE, ma ciò potrebbe cambiare in futuro. Negli Stati Uniti si fa però affidamento su una serie di regolamenti diversi a livello federale e dei singoli stati. Non è da escludere che un regolamento come l'RGPD venga adottato anche negli Stati Uniti. Tuttavia esistono alcune organizzazioni come Privacy for America che si qualificano come un gruppo di lobbisti dell'industria americana e il cui scopo è quello di fare in modo che le esigenze di queste aziende vengano soddisfatte. Alcuni ritengono necessaria la creazione di una Agenzia per la protezione dei dati con il ruolo specifico di far valere le leggi sulla privacy sul territorio americano. Il fatto che ce ne siano diverse, non significa che gli Stati Uniti non abbiano leggi sulla privacy. Ce ne sono eccome. La maggior parte dei problemi negli Stati Uniti derivano dal fatto che esiste un mosaico complesso di regolamenti e leggi, alcune vigenti a livello federale, altre all'interno dei singoli stati.

Il più grande ostacolo per l'implementazione di un corpo legislativo come l'RGPD negli Stati Uniti deriva dalle differenze tra questo paese e l'UE. Negli Stati Uniti si attribuisce molta importanza ai diritti dei singoli stati e un regolamento federale viene considerato come una violazione del diritto dei singoli stati di auto-governarsi. Alla fine anche negli Stati Uniti si troverà molto probabilmente una soluzione adeguata, ma il risultato finale potrebbe essere piuttosto diverso da quello europeo.

Alcuni stati hanno adottato una prospettiva molto più rigida sulla privacy dei loro cittadini rispetto a quanto non valga a livello federale. Per esempio il CCPA (California Consumer Privacy Act) comprende fondamentalmente gli stessi diritti previsti dall'RGPD. Anche il CCPA si applica a tutti i californiani a livello globale e questo è di grande importanza perché la California è la quinta potenza economica nel mondo.

Lo scudo UE-USA per la privacy

L'UE e gli Stati Uniti si sono confrontati per agevolare lo scambio dei dati tra parti nel rispetto della protezione della privacy secondo parametri accettati da entrambe le parti. Le aziende americane che desiderano trasferire dati tra gli Stati Uniti e l'UE devono fornire un'autocertificazione secondo lo Scudo per la privacy.

Lo Scudo per la privacy non è un regolamento ma un accordo. Ciò significa che eventuali violazioni da parte di aziende americane dell'RGPD non possono venir perseguite a meno che le aziende violino le disposizioni dell'FTC negli Stati Uniti. Lo Scudo per la privacy inoltre non copre tutti i diritti sanciti dall'RGPD. Vale la pena anche notare che il predecessore dello Scudo per la privacy, i Safe Harbour Privacy Principles, è stato dichiarato invalido dalla Corte di Giustizia dell'UE e lo Scudo per la privacy potrebbe incontrare la stessa sorte.

Next section
III. Proteggere la propria identità

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Questo corso è stato creato nell'ambito dell'iniziativa Digital SkillUp, marchio derivante dal progetto European Digital Academy, finanziato dalla Commissione europea con il supporto del Parlamento Europeo. Il progetto intende rendere le conoscenze di base sulle tecnologie emergenti disponibili ed accessibili a tutti i cittadini e alle piccole e medie imprese. Il suo scopo è quello di creare uno spazio di formazione online che offra contenuti ed opportunità di apprendimento aperti a tutti su temi quali l'IA, la blockchain, la robotica, la cybersecurity e l'IoT.

Questo progetto è stato finanziato dall'Unione Europea. Questa comunicazione riflette il mero punto di vista dell'autore. Non rappresenta il punto di vista dalla Commissione europea e la CE non è responsabile per nessuno degli usi che possono derivare dalle informazioni ivi contenute.