Privacy: fino a che punto i nostri dati restano personali?

Avete presente quando, aprendo una nuova pagina web sul desktop, compare in automatico un’inserzione che ci chiede se accettiamo la cookie policy? Oppure quando Facebook, al momento dell’iscrizione, ci chiede il consenso sul trattamento dei dati personali? Ecco, tutto ciò ha a che fare con la privacy ed il GDPR, acronimo di General Data Protection Regulation, ossia il regolamento generale sulla protezione dei dati.
Ma cosa s’intende per dato personale? Bisogna fare attenzione perché non qualsiasi informazione riservata relativa ad una persona fisica è tale. Solo informazioni che possono o potrebbero rilevare l’identità di una persona sono qualificabili come dati personali. Ad esempio: l’importo dello stipendio di un lavoratore, reso anonimo, non è un dato personale, ma il suo nickname su Instagram sì.
Altra faccenda sono i dati sensibili, ossia quei dati personali come l’origine etnica, le opinioni politiche e religiose, l’orientamento sessuale, i dati genetici e sulla salute fisica o mentale, ed infine i recentemente dibattuti dati biometrici, come ad esempio l’immagine facciale, grazie ai quali è possibile identificare uno e un solo individuo (si pensi ai nuovi smartphone che sbloccano lo schermo riconoscendo il volto del proprietario): i dati sensibili sono proprio quelli il cui trattamento e utilizzo è generalmente proibito.
Questo è quanto stabilito dal Regolamento (UE) n. 2016/679, la cui diretta operatività a partire dal 25 maggio del 2018, ha innescato l’obbligo per tutti gli Stati membri dell’Unione Europea di adeguarsi ai principi e alle norme in esso contenuti.
La direttrice chiave a cui è ispirato il GDPR, è, innanzitutto, la responsabilizzazione delle aziende che gestiscono ed elaborano dati personali, le quali devono nominare un “Titolare del trattamento dei dati”, che può essere una persona fisica o giuridica, interna o esterna all’azienda, il cui compito è quello di informare in modo comprensibile gli utenti, comunicando loro le strategie tecnico-organizzative adottate per limitare l’impatto del danno alla privacy. Questa nuova figura ricopre un ruolo chiave anche perché vigila sui cosiddetti “Data breach”, le violazioni dei dati personali; in questi casi il titolare del trattamento dei dati è tenuto a notificare la violazione al Garante per la privacy, l’autorità di controllo competente in materia, e la sanzione potrebbe essere molto severa: si parla di multe fino a 20 milioni di euro o del 4% del fatturato globale.
L’altro principio cardine che anima il GDPR consiste nel rafforzamento della tutela dei dati personali mediante l’armonizzazione delle diverse normative vigenti nei vari paesi europei e l’espansione dei diritti degli interessati, che includono, fra gli altri: la libertà di prestare o meno il consenso, con la successiva facoltà di annullarlo o modificarlo; il diritto di accesso alle informazioni che riguardano l’utente; la possibilità di richiedere la rettifica o la cancellazione dei dati inesatti; il diritto di essere informato in maniera concisa e trasparente sulle finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati e sul periodo di conservazione dei dati.
Tutti questi fattori tecnico-giuridici hanno una ricaduta diretta sulle nostre vite e soprattutto sui giovani, impegnatissimi nel mondo dei social, e conseguentemente più esposti ai rischi derivanti dalle foto che postano o dalle app che scaricano. Vi ricordate i dati biometrici di cui parlavamo prima? FaceApp, l’app creata da una società con sede legale in Russia che permette di simulare la propria immagine invecchiata, ringiovanita o trasformata in altro sesso, utilizza proprio questo tipo di dati: partendo dal selfie caricato dall’utente, ne genera una versione “old” o “young” mediante un sistema di intelligenza artificiale.
Andando più a fondo nella vicenda, ci si rende conto che FaceApp presenta forti criticità dal punto di vista della privacy, sebbene essa ricada nel campo di applicazione del GDPR, il quale, anche se di matrice europea, prevede (all’art. 2) che il regolamento si applichi al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento anche non stabilito nell’Unione.
Ma, se si analizza la privacy policy di FaceApp, si notano evidenti e plurime violazioni del Regolamento europeo, a partire dal fatto che l’informativa (art. 13 GDPR) sui termini di utilizzo dei dati personali dovrebbe essere sottoposta all’utente prima che siano raccolte informazioni che lo riguardano: invece, una volta avviata l’app, è possibile fruire immediatamente delle sue funzionalità senza passare dalla verifica delle condizioni d’uso.
In secondo luogo, non viene indicato il Titolare del trattamento di cui parlavamo in precedenza, né i relativi dati di contatto. Anche le finalità del trattamento sono poco trasparenti, se non del tutto incomplete: ci sono diversi riferimenti a trattamenti presentati come necessari e puramente tecnici, mentre l’informativa è evasiva sul trattamento del dato biometrico e assolutamente vaga sulla profilazione. A peggiorare le cose c’è poi l’omesso riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione (conoscere i dati che il titolare tratta, chiederne la modifica, la cancellazione ecc.); pertanto, non sussistono modalità specifiche per esercitarli – se non un semplice indirizzo e-mail a cui rivolgersi per “domande” sulla privacy policy o sul servizio.
L’ennesimo aspetto macroscopicamente distonico con i requisiti del Regolamento è il trasferimento delle informazioni personali al di fuori dell’Unione Europea: infatti, l’app comunica all’utente che ai suoi dati potranno accedere anche le “società affiliate”, senza indicare con precisione i motivi. In particolare, si legge che i nostri dati potranno essere dalle stesse utilizzate per migliorare i loro servizi, senza alcun accenno alla natura degli stessi.
Insomma, considerando che solo nel mese di luglio 30 milioni di persone (secondo i dati dell’ANSA) hanno consentito la trasmissione delle informazioni biometriche relative al proprio volto a un soggetto non chiaramente identificato che ha ottenuto, senza alcuno sforzo in materia di compliance GDPR e senza alcuna garanzia per gli interessati, preziosissime informazioni che può utilizzare per creare modelli di riconoscimento facciale, banche dati per analisi, ricerca e commercializzazione di informazioni dal valore inestimabile, i pericoli in cui potrebbero ricorrere gli interessati da questa “scansione di massa” sono enormi.

L’invito è quindi quello a non farsi trasportare dalla frenesia da social, facendo più attenzione alle neotecnologie nelle quali riponiamo la nostra fiducia incondizionata, perché nessuno di noi vorrebbe scoprire da un giorno all’altro che in Birmania stanno utilizzando il nostro volto per pubblicizzare chissà quale bagnoschiuma!