Ci siamo. Da oggi ha efficacia il Gdpr (general data protection regulation), il regolamento sulla protezione dati che si applicherà a tutte le informazioni elaborate in Europa o da aziende insediate nella Ue. Molti se ne saranno accorti negli ultimi giorni, aprendo una casella di posta elettronica intasata da email di aziende che ci tengono a far sapere di «aver aggiornato le proprie policy».

Tempismo a parte, nulla di strano. Per imprese e amministrazione la corsa all'adeguamento è iniziata da tempo, toccando tasti delicati come la designazione di un «responsabile protezione dati» (un esperto indipendente che vigila sull'applicazione del Gdpr), il diritto all'oblio e l'obbigo di notifica di qualsiasi violazioneentro 72 ore. Ma per i cittadini “normali” cambia davvero qualcosa? Un utente senza particolari vocazioni può trarre qualche beneficio? Sì. Vediamo alcune delle innovazioni principali.

Vuoi i miei dati? Scrivilo bene
Addio a informative chilometriche e policy scritte in un «burocratese» comprensibile solo ai giuristi. In teoria. Quando un'azienda cerca di accedere a dati personali, deve chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7), oltre a spiegare bene perché e a quale fine utilizzerà alcune informazioni (articolo 13). Altro criterio che va considerato è il «periodo di conservazione»: per quanto tempo si custodiranno i dati, fornendo all'utente un ulteriore elemento di valutazione per cedere o meno informazioni a proprio riguardo. I vincoli più stretti costringeranno le aziende «a fare autoanalisi e chiedere solo quello che gli serve», spiega Vincenzo Tiani, esperto di politiche europee legate al digitale. «Gli utenti avranno accesso a più dettagli - prosegue Tiani - All'interno di una richiesta chiara e non “diluita” in contratti lunghi e noiosi da leggere».

Google, dimenticami!
Le nuove regole si accompagnano a nuovi diritti. Fra i più rilevanti ci sono il diritto di accesso (articolo 15: il cittadino deve poter sapere subito come e perché stanno trattando i suoi dati), il diritto di rettifica (articolo 16: «la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo»), diritto di oblio (articolo 17: l'utente può far cancellare i dati in suo proposito, ad esempio se non servono più o sono stati prelevati in maniera illecita ) e il diritto alla portabilità dei dati (articolo 20): l'utente può ricevere in forma strutturata tutte le informazioni che lo riguardano e trasmetterle a un altro titolare, senza impedimenti di nessuna natura. Per citare un caso concreto, da oggi si potrebbero tranquillamente scaricare tutti i propri dati da Facebook e importarli su un social network rivale (se ce ne fossero...).

Arriva il responsabile della protezione dei dati
Hai dei dubbi su come aziende o enti pubblici stanno maneggiando le informazioni a tuo riguardo? Il Gdpr istituisce una figura ad hoc: il responsabile della protezione dati (articolo 37), definizione in italiano del cosiddetto data protection officer. Nel concreto si parla di un professionista chiamato a sorvegliare sull'applicazione esatta del regolamento, cooperando con l'autorità di controllo. Può essere interno o esterno alla società, ma in entrambi i casi deve garantire l'assenza di conflitti di interessi con il suo ruolo.

Se «bucano» il sito lo scopri entro 72 ore
Da qualche anno, anche gli utenti meno ferrati in materia hanno scoperto un termine tecnico: data breach, violazione dei dati. Quello che succede quando un soggetto esterno entra in possesso per vie informatiche di dati custoditi da un'altra azienda. In precedenza le società potevano prendersi tutto il tempo necessario per comunicare la falla. Ora devono farlo entro un massimo di 72 ore se «a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche». In altre parole non potrebbero più ripetersi casi come quello di Cambridge Analytica, l'azienda di marketing elettorale entrata in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. La violazione risale al 2015. Il caso è esploso nel 2018, tre anni dopo.

Via alla class action
Passato un po' in sordina, l'articolo 80 istituisce la possibilità di avviare azioni collettive contro l'uso di propri dati. «L'interessato - si legge nel regolamento - ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro [...]di proporre per suo conto e di esercitare per suo conto i reclami». Calato nella pratica, spiega Tiani, «sarà un po' meno improbabile fare guerra ai giganti tech» quando gestiscono in maniera poco trasparente le informazioni che ci appartengono. E magari ottenere un rimborso.

© Riproduzione riservata