CAROLINA BRUNAZZETTO – Social media e GDPR: cosa è cambiato?

CAROLINA BRUNAZZETTO – Social media e GDPR: cosa è cambiato?

Inserito da il Gen 14, 2019 in Incontri con
La normativa sul trattamento del dato personale è nata per creare un clima di fiducia negli utenti

Il nuovo Regolamento Europeo va visto come un vantaggio che si riflette positivamente sulla fiducia nell’azienda. Quanto più un’azienda, infatti, dimostra agli utenti di aver a cuore la loro privacy, tanto più potrà conquistarli. Anche nei social media funziona così e la trasparenza è uno degli elementi portanti del GDPR: da un lato le aziende devono essere chiare nel documentare il tipo di trattamento svolto, ma dall’altro lo stesso utente deve poter scegliere consapevolmente conoscendo i rischi connessi ai trattamenti.

GDPR e social media: cosa ha cambiato la nuova normativa europea?
I social sono luoghi di raccolta massiva di dati e sono stati indubbiamente destinatari di numerose sanzioni inflitte dai Garanti, oltreché ispiratori di riflessioni per il legislatore europeo. Per questo motivo le aziende devono porre massima attenzione alle modalità di trattamento, applicando con cura gli adempimenti richiesti. A scanso di equivoci, è bene ricordare che tutta la normativa sul trattamento del dato personale è stata concepita non certo per vietarlo, ma per regolamentarlo e per creare un clima di fiducia negli utenti. Quanto più un’azienda dimostra agli utenti di aver a cuore la loro privacy, tanto più potrà conquistarli. Tra le più discusse e commentate novità introdotte dal GDPR, vi è l’innalzamento dell’età prevista per rendere legittimo un consenso al trattamento dei dati personali da parte dei minori. In sostanza la normativa europea impone alle aziende, che offrono servizi della società dell’informazione (quali l’iscrizione ai social media o ai servizi di messaggistica), di raccogliere validamente il consenso al trattamento del dato esclusivamente da soggetti che hanno più di 16 anni, dovendo, diversamente, ricorrere al consenso dei genitori o dell’esercente la potestà genitoriale. È recente, peraltro, la notizia che il decreto di adeguamento della normativa nazionale al GDPR (D. Lgs. 101 del 10.8.2018 entrato in vigore il 19 settembre), ha ridotto a 14 anni, in Italia, il limite d’età per esprimere un valido consenso al trattamento dei dati personali. Chi lavora nel web e con i social deve attivarsi per comunicare agli utenti un’informativa privacy aggiornata in base all’art. 13 e 14 del GDPR: diventa obbligatorio spiegare in modo puntuale e chiaro quali sono le informazioni raccolte, come vengono utilizzate e a chi, eventualmente, vengono comunicate. Tra i “pilastri” del GDPR vi è, infatti, il principio di trasparenza che legittima il trattamento dei dati personali solo con una chiara e corretta informativa preventiva.

Dopo lo scandalo Cambridge Analytica, ad esempio, cosa è stato fatto per tutelare l’utente?
Il recente caso di Cambridge Analytica ha messo in luce una pratica (scorretta) tale per cui i dati raccolti venivano poi utilizzati, all’insaputa degli utenti, per la loro targetizzazione. Se il fatto si fosse verificato sotto la vigenza dell’attuale normativa, Facebook avrebbe rischiato una sanzione fino a 20.000.000 euro e fino al 4% del fatturato complessivo mondiale e il Garante lo avrebbe direttamente e immediatamente appreso dal titolare. Posto che il GDPR impone alle aziende di notificare eventuali violazioni di dati all’autorità senza ingiustificato ritardo e, ove possibile, entro 72 ore. A ciò si aggiunga poi che la nuova normativa europea riconosce agli interessati uno specifico diritto di opposizione ai trattamenti automatizzati, ivi compresa la profilazione. Il legislatore, nell’ottica di proteggere il trattamento dati dei cittadini, impone alle aziende di adottare misure di sicurezza con un approccio nuovo, basato sulla valutazione del rischio che, se da un lato ha l’evidente vantaggio di rendere le misure di sicurezza più plasmabili al mutare delle esigenze e degli strumenti tecnologici, dall’altro impone ai titolari del trattamento una serie di obblighi che possono andare oltre la mera conformità alla legge. Come sottolinea costantemente il Garante Privacy, da un lato le aziende devono essere chiare nel documentare il tipo di trattamento svolto, ma dall’altro lo stesso utente deve poter scegliere consapevolmente conoscendo i rischi connessi ai trattamenti.

Le applicazioni che permettono l’estrazione dei dati dai social media sono legali?
In base al GDPR (e al principio di trasparenza), ogni attività di estrazione deve essere preventivamente esplicitata nell’informativa privacy e autorizzata con un consenso espresso dell’interessato, a meno che non si tratti di marketing diretto indirizzato, ad esempio, ad un cliente. Inoltre, vale la pena ricordare che i dati diffusi dagli utenti sui social non possono costituire oggetto di trattamento per finalità diverse rispetto a quelle per le quali sono stati pubblicati. Le aziende dovranno quindi assicurarsi che tutti i processi di raccolta siano in linea con gli obblighi informativi e con i principi di liceità, finalità e proporzionalità del trattamento.

Percepisce disappunto da parte delle aziende rispetto alle nuove regolamentazioni? Ritiene che si stia procedendo nella giusta direzione?
La nuova normativa è rivoluzionaria perché cambia sostanzialmente l’approccio dell’azienda nei confronti del trattamento dei dati personali: il GDPR passa da una visione “formale” ad una visione “sostanziale”, perché l’impresa non può più pensare di essere in regola semplicemente con la compilazione di modelli generici. Il nuovo Regolamento europeo introduce infatti il principio dell’accountability, vale a dire della “responsabilizzazione” in base al quale è il titolare del trattamento (l’azienda) a dover valutare le misure tecniche e organizzative da adottare sulla base della natura dei dati, dell’oggetto e della finalità del trattamento. È evidente, quindi, che le aziende, soprattutto quelle più piccole, stanno vivendo con grande preoccupazione questo passaggio epocale perché sono chiamate a riflettere non solo sulle misure tecnologiche poste in atto, ma anche su quelle organizzative, oltre a sentirsi onerate da un’attività di monitoraggio continuo sulle stesse. Del resto anche questa è una necessaria conseguenza dell’evoluzione tecnologica: non più solo i grandi colossi, ma anche le piccole realtà aziendali possono, con internet e i new media, profilare gli utenti e proporre campagne pubblicitarie mirate. Per questo è corretto che vi sia una presa di consapevolezza sui rischi che tali trattamenti possono provocare e sulla necessaria adozione di idonee misure di sicurezza. L’opera del legislatore, quindi, oltre che impositiva di nuove e significative misure, ha il grande merito di aver portato in luce i rischi legati al trattamento del dato personale.