Dati, la protezione che si potenzia
Dagli Ibm 3090 all’informatica distribuita e al pc individuale. Sono poi comparsi internet, i social, l’intelligenza artificiale. E l’attore principale oggi sono loro: le informazioni personali. Interviene Rosario Imperiali d’Afflitto, ‘avvocato dei dati’.
La nuova Legge federale svizzera sulla protezione dei dati, entrata in vigore il primo settembre di quest’anno, apporta i necessari correttivi alla precedente, datata 1992, considerato che in trent’anni le condizioni generali a livello tecnologico e sociale sono costantemente cambiate. Nel frattempo comunque, fuori dai confini confederati, anche l’Unione Europea aveva già rafforzato la protezione dei dati, con il suo Regolamento generale sulla protezione dei dati (Gdpr, 2016/679). In questo scenario, la revisione totale della legge svizzera sulla protezione dei dati ne ha permesso l’adattamento alla mutata situazione generale e l’ha resa compatibile con il diritto dell’Ue.
La nuova legge protegge due aspetti: la personalità e i diritti fondamentali delle singole persone fisiche, e lo fa quando privati o istituzioni statali trattano i loro dati. Presta particolare attenzione al modo in cui i dati vengono trattati, a come vengono informate le persone interessate e a come queste possono influire su tale trattamento.
Interviene Rosario Imperiali d’Afflitto, in qualità di ‘avvocato dei dati’: «Il tema dei dati mi affascina e lo approfondisco dagli anni Ottanta, interessato allora agli impatti generati dai grandi calcolatori: si parlava degli Ibm 3090, armadi ingombranti che richiedevano spazi adeguati predisposti ad hoc, con addetti che operavano in camici bianchi: sembrava di trovarsi in ospedale! L’attualità, da allora, è evoluta continuamente, fino anche alla recente legge, in Svizzera, che regolamenta la materia. Come? In buona sostanza, tutelando ciascuno di noi dall’uso non corretto dei propri dati personali», esordisce Imperiali d’Afflitto, avvocato, esperto di tematiche caratterizzate dall’interazione tra diritto e tecnologia.
«Immaginiamo il caso di scuola in cui un individuo è sottoposto ad una visita dal proprio medico di fiducia e, per esempio, l’assistente dello studio decide di fornire i dati sulla salute dell’ignaro paziente alla sua assicurazione complementare o al suo datore di lavoro. Ebbene, all’ignaro paziente la legge attribuisce oggi strumenti giuridici perché questo non avvenga, riconoscendo all’individuo importanti diritti», nota Imperiali d’Afflitto, spiegando che, «Con la revisione della legge, infatti, è stata migliorata la trasparenza dei trattamenti dei dati e rafforzata l’autodeterminazione delle persone interessate in merito ai loro dati», prosegue Rosario Imperiali d’Afflitto.
Il ‘diritto all’autodeterminazione informativa’ indica il diritto del singolo a decidere autonomamente in merito alla consegna e all’utilizzo dei suoi dati personali. Ciò significa che ogni persona ha un livello minimo di controllo in merito alle informazioni raccolte e trattate su di lei.
«Il dato personale è definito in modo molto ampio, cosicché possa comprendere qualsiasi informazione riconducibile a un individuo anche molto indirettamente. Sorvolando sui dati tipicamente identificativi, come nome e cognome e simili, sono considerati indirettamente identificativi targhe automobilistiche, credenziali di autenticazione, immagini di videosorveglianza, registrazione audio della voce, e persino l’indirizzo Ip che riconosce il dispositivo informatico collegato in rete, almeno in determinati casi», spiega Rosario Imperiali D’Afflitto, fondatore di Dataism Imperiali, che aggiunge: «Il dato personale è di stretta pertinenza del soggetto al quale l’informazione si riferisce. La nuova Legge prevede, per l’uso dei dati personali di un soggetto, che questi venga preventivamente informato e che gli siano chiesti autorizzazione o consenso».
Con la trasformazione digitale, quello della protezione dei dati è del resto l’altro tema di grande attualità. «A volte, i due temi sono percepiti in modo conflittuale. In verità, hanno in comune il fondamentale argomento dell’uso dei dati», sintetizza l’avvocato, che si occupa delle implicazioni giuridiche di entrambi.
«La nostra è definita ‘società dell’informazione’ perché il ‘dato’ è centrale per tutto ciò che ci circonda: conoscenza, produzione, commercio, ricerca e sviluppo. Per facilitare questi processi occorre dematerializzare l’informazione in modo che essa possa essere utilizzata da tutti gli strumenti tecnologici a disposizione. Se si usa WhatsApp, si scatta una foto con lo smartphone o si invia una email, si stanno producendo informazioni digitali, scritte in linguaggio informatico (serie di bit o di 0 e 1); anche se a noi utenti sembra che non sia cambiato nulla rispetto al mondo di prima. La digitalizzazione ci permette (quasi) di azzerare distanze geografiche e spazi temporali: posso chattare con un interlocutore negli Stati Uniti e posso farlo in tempo reale, posso convertire il mio messaggio vocale in testo scritto e viceversa. Gli impatti legali sono molteplici e derivano da due fattori: la tecnologia che si usa e il bene giuridico oggetto di attenzione. Ad esempio, se si usano fax, email o uno strumento di messaggistica elettronica e il bene che si sta considerando è la riservatezza del contenuto informativo, gli impatti riguarderanno le misure tecniche e organizzative che vengono adottate per assicurarsi che quel contenuto rimanga riservato. Se, invece, il bene considerato è la proprietà del contenuto, ad esempio un’opera pittorica o testuale, ci si dovrà assicurare che la tecnologia utilizzata non ne permetta riproduzioni non autorizzate».
La tutela della proprietà e la tutela della riservatezza dell’informazione «sono due profili distinti ma non alternativi: un’azienda protegge la proprietà delle proprie informazioni sensibili anche tramite accordi di riservatezza, al fine di regolamentare le modalità di circolazione di queste informazioni le quali, appunto, si è soliti chiamare ‘riservate’».
Quando ci si sposta dal campo della tutela della proprietà dell’informazione a quello della protezione dell’individuo al quale l’informazione si riferisce si entra nell’ambito della protezione dei dati personali, a cui fa espresso riferimento la nuova Lpd. «Legge che riguarda tutte le aziende e organizzazioni che trattano dati personali», spiega l’avvocato. Esse devono ad esempio garantire la sicurezza dei dati mediante misure tecniche e organizzative adeguate per evitare violazioni della sicurezza dei dati (come nel caso di attacchi hacker). Soprattutto considerando che il numero di attacchi hacker in Svizzera è aumentato. Stando per esempio ad una ricerca realizzata da swissVR e pubblicata nelle scorse settimane, circa una grande (con più di 250 dipendenti) azienda svizzera su due (45%) è stata vittima almeno una volta di un attacco informatico. Allo stesso tempo, emerge che solo circa la metà delle aziende ha una chiara strategia informatica.
La Lpd si applica a tutti? «Sostanzialmente, sì. Vi sono alcune eccezioni ma che confermano la regola: ad esempio, non si applica alle informazioni personali che ciascuno di noi raccoglie e utilizza per scopi esclusivamente personali, come la tenuta di una rubrica personale. Ma se si esce dalla propria sfera personale, ad esempio pubblicando dati su internet, allora occorre adeguarsi alla normativa».
Anche il pubblico deve rispettarla? «Sì, anche gli organi federali e chi agisce per conto di essi. Buona parte di principi e regole sono comuni a privati e organi federali, altre sono specifiche per l’uno o l’altro settore».
Raccolte in un unico volume, le ultime evoluzioni normative dettate dalla nuova legge svizzera sulla protezione dei dati – entrata in vigore il 1° settembre 2023 – e, specularmente, le corrispondenti regole e tendenze regolatorie del Gdpr, rivelano analogie e differenze.
Il libro è una guida, completa e intuitiva, per la comprensione e l’applicazione della nuova Lpd. Pensato per addetti ai lavori, operatori economici e semplici cittadini interessati al tema.
© Riproduzione riservata