PUBBLICITA'

Economia

Componente del Garante

Agostino Ghiglia

settembre 2021

Abbiamo intervistato Agostino Ghiglia, Componente del Garante per la protezione dei dati personali. Ci ha raccontato quali sono i rischi per i nostri dati sensibili e come tutelarci.

Da pochi anni c’è stata una rivoluzione in fatto di privacy con l’introduzione del Gdpr, spieghiamo di cosa si tratta.
Il Regolamento Generale sulla protezione dei dati 679/2016 ha il merito di aver eliminato l’estrema frammentarietà che caratterizzava la legislazione dei singoli Stati membri in materia di privacy introducendo importanti punti fermi che hanno reso la legislazione europea omogenea: responsabilizzazione del titolare del trattamento, modalità specifiche per la tutela dei diritti degli interessati, introduzione di un apparato sanzionatorio comune europeo.

Quali sono i compiti del collegio del Garante?
Il compito principale del Garante è controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali. Esso può prescrivere ai titolari dei trattamenti le misure da adottare per svolgere correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui.
Il Garante collabora con le altre autorità di controllo  al fine di garantire l’applicazione  l’attuazione  del Regolamento; esamina reclami e, nel caso di trattamenti illeciti, rivolge ammonimenti al titolare, ingiunge di conformare i trattamenti alle disposizioni del Regolamento; può imporre una limitazione provvisoria o definitiva del trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento, tiene registri interni delle violazioni più rilevanti e impone sanzioni pecuniarie ove previsto dal Regolamento e dalla normativa nazionale.

Quali comportamenti oggi per noi abituali si possono considerare a rischio per i nostri dati sensibili?
L’utilizzo quotidiano e crescente della tecnologia, ci immerge nella società digitale spesso senza la dovuta consapevolezza, esponendoci a forme di raccolta e monitoraggio minuzioso dei nostri dati.
L’utilizzo sbagliato di un social network, ad esempio, può ledere i diritti di taluni ed esporre a rischi non solo l’utilizzatore ma anche coloro che, inconsapevolmente, appaiono nei contenuti diffusi. Precauzione utile da adottare, ad esempio, nell’utilizzo dei social network è selezionare attentamente i contatti aggiunti, accettando in prevalenza persone che conosciamo nella vita reale. Inserendo i propri dati personali su un social se ne perde molto spesso il controllo, concedendo al fornitore del servizio la licenza di utilizzo del materiale inserito. I dati diventano così merce, inconsapevole, di scambio.
Spesso con l’installazione sul proprio cellulare delle applicazioni dei social network si autorizza l’accesso alla propria rubrica, ai contenuti multimediali (foto, video) non indispensabili al funzionamento dell’app stessa.
Altra insidia, navigando su Internet, potrebbe nascondersi dietro ad un click di consenso ad un cookie quando, in realtà, è solo un pop-up trappola che avvia il download di malware o spyware.

Per quanto riguarda le aziende invece cosa è cambiato?
Con l’entrata in vigore del GDPR è cambiata completamente la prospettiva: viene lasciato più spazio all’accountability, al titolare del trattamento che è il primo controllore di se stesso, il primo tutore della riservatezza dei dati personali all’interno dell’ente o dell’azienda in cui si trova ad operare. Sarà proprio il titolare a dover valutare per primo le conseguenze delle attività aziendali che possono coinvolgere dati personali e per farlo dovrà innanzitutto avere piena consapevolezza di tutto ciò che avviene nella sua struttura.

Focalizziamoci sulle piccole e medie imprese, quali misure sono attive e allo studio per la semplificazione delle procedure da affrontare per proteggere i dati di clienti e fornitori?
Il processo di “adeguamento” del GDPR alla realtà delle PMI non è un’operazione facile perché se da un lato occorre naturalmente tener conto della limitatezza delle risorse di una PMI e dell’esigenza di rendere per essa accessibili gli obblighi previsti dalla disciplina europea, dall’altra occorre considerare che i diritti della persona che un trattamento di dati può violare sono sostanzialmente gli stessi sia che la condotta provenga da una PMI o dalla più grande delle società. Le PMI sono trattate, nel Regolamento, come eccezioni alla regola prevedendo per esse talune deroghe e lasciandone altre ai singoli Paesi membri. L’impalcatura del GDPR, è pensata per assetti societari di grandi dimensioni e non congruenti con la realtà del nostro sistema di impresa, fatto appunto di piccole, piccolissime imprese spesso a carattere familiare. Le microimprese, in Italia, rappresentano il 95,4% delle imprese, le PMI il 4,6. Sono il tessuto essenziale del settore produttivo della nostra Nazione e lavoriamo affinché l’Autorità negli anni che verranno sia il più possibile aperta e dialogante con loro per sensibilizzare una nuova cultura della protezione dei dati.

Fermo restando che la situazione è fluida e in evoluzione, come conciliare l’utilizzo del green pass con la protezione dei dati dei clienti delle varie attività e dei servizi pubblici?
La situazione cambia di giorno in giorno. La conciliazione di diritti costituzionalmente garantiti avviene sempre nell’ottica del bilanciamento. La norma primaria prevede che le certificazioni possano essere emesse e rilasciate solo attraverso la Piattaforma nazionale-DGC e verificate esclusivamente attraverso l’App VerificaC19. Tale app infatti è l’unico strumento in grado di garantire l’attualità della validità della certificazione verde, in conformità ai principi protezione dei dati personali, garantendo inoltre che i verificatori possano conoscere solo le generalità dell’interessato, senza visualizzare le altre informazioni presenti nella certificazione (guarigione, vaccinazione, esito negativo del tampone). Altra misura, chiesta e ottenuta dal Garante nel corso delle interlocuzioni con il Ministero della salute, è che i soggetti deputati ai controlli delle certificazioni verdi siano chiaramente individuati e istruiti.

Quali altre sfide pongono le nuove tecnologie? Leggo ad esempio che un ambito particolarmente rischioso per la privacy degli utenti è quello delle cosiddette smart house e dispositivi collegati.
Negli ultimi anni in tutto il mondo, i ricercatori hanno evidenziato vulnerabilità negli oggetti di uso comune, vere porte di ingresso per i virus, dalla bambola interattiva in cui il suo Bluetooth riusciva a prendere il controllo del microfono e della videocamera, ai sistemi di antifurto e di videosorveglianza, alle smart tv, utilizzati come sistemi di intercettazione ambientale per spiare le case di ignari cittadini per finire con gli assistenti vocali che imparano dai nostri gesti quotidiani, ci “studiano”. Porre un freno a tutte queste nuove tecnologie non è pensabile e non opportuno perché i vantaggi sembrano superare i rischi, ma bisogna essere consapevoli dei rischi per riconoscerli ed evitarli.

Il ricorso massiccio allo smart working può porre problemi in questo senso?
La diffusione su larga scala dello smartworking ha riportato l’attenzione sul tema del controllo a distanza dei lavoratori, che accompagna l’evoluzione della legislazione e della giurisprudenza fin dai tempi dell’entrata in vigore dello Statuto dei lavoratori. Fino al 31 dicembre 2021 è previsto un regime semplificato dello smartworking, cioè senza accordi individuali. Alla scadenza di tale data, il ricorso a questa modalità di lavoro per essere efficace richiederà, oltre all’accordo sindacale, una revisione dell’organizzazione e dei processi di valutazione. L’esercizio del potere di controllo dovrà essere subordinato ad una informativa, al rispetto delle norme giuslavoristiche (in particolare l’art.4 S.L.) e quelle sulla protezione dei dati personali; tutto questo, ovviamente, in attesa di provvedimenti governativi dedicati.

Copyright © 2021, Bergamo Economia
PUBBLICITA'