Ha violato le leggi. La situazione in Italia. Con la nuova direttiva Ue cambia la legislazione a tutela dei dati. Bassini (Bocconi) discute con LabParlamento il caso del giorno
di Valentina Magri
“Dalle autorità italiane è difficile immaginare dei provvedimenti contro Facebook, perché non vedo una chiara responsabilità per l’azienda. Cambridge Analytica ha effettuato trattamenti illeciti di dati personali violando le norme”. Ne è convinto Marco Bassini, docente assegnista di ricerca presso l’Università Bocconi di Milano ed esperto di diritto dell’informazione.
Come sono disciplinati la privacy e l’uso di dati sul web in Italia?
“In Italia al momento vige ancora il Codice della privacy (D.lgs 196/2003), che sarà in parte mutilato a maggio dal nuovo regolamento europeo sulla protezione dei dati (GDPR). Si passa da una direttiva che voleva introdurre i primi accorgimenti di tutela dei dati a una prospettiva più flessibile, dove si incorpora un risk based approach, per cui i titolari dei dati possono autovalutare il loro livello di rischio e scegliere di attuare una serie di tutele in base al rischio constatato. I capisaldi della legge sono gli stessi del decreto legislativo 196/2003, ma ci sono delle sfumature importanti. Tra queste, il mutamento legato al consenso: se prima era considerato il principale strumento per legittimare il trattamento dei dati, ora assume un rilievo secondario, perché ci sono varie basi giuridiche che legittimano il trattamento dei dati. Un altro aspetto è l’introduzione di situazioni prima non codificate esplicitamente: il diritto a ottenere la cancellazione dei dati o la loro rettifica sono riconosciuti in modo più chiaro perché pensati per il contesto digitale.”
Quali provvedimenti potrebbero essere presi contro Facebook da parte delle autorità italiane?
“In questa vicenda abbiamo Facebook, che ha stretto partnership con altre app, per cui un utente può cedere parte dei suoi dati a queste app utilizzando le credenziali di Facebook per accedervi. Nel caso di Cambridge Analytica, quest’ultima ha ceduto i dati degli utenti, raccolti attraverso un test di personalità, a un soggetto che ha personalizzato messaggi pubblicitari a fini di propaganda politica. Dalle autorità italiane è difficile immaginare dei provvedimenti contro Facebook, perché non vedo una chiara responsabilità per la società. Cambridge Analytica rischia invece sanzioni amministrative e lo scandalo porterà a responsabilità a carattere penale personale. Non è ancora chiaro il ruolo dei soggetti che hanno concorso. La società rischia anche sanzioni reputazionali da parte dei mercati.”
Il 25 maggio entrerà in vigore in tutta Europa il GDPR. Pensa che grazie a questa legge si potranno scongiurare abusi dell’uso dei dati degli utenti da parte dei colossi tecnologici?
“Il GDPR si applica anche quando trattamento dei dati è effettuato da un soggetto titolare al di fuori dall’UE se realizza sua offerta di beni e servizi verso cittadini europei o quando monitora i loro comportamenti, ad esempio per finalità di profilazione. Con questo regolamento si prende atto che il modello di business delle società digitali prevede che il trattamento dati sia effettuato fuori dall’UE, ponendo fine all’obiezione sollevata dalle società tecnologiche che trattavano i dati in USA e quindi non si ritenevano soggette al diritto europeo. Il GDPR applicato su vasta scala in Europa aiuta ad affermare regole più severe. Anche se occorrerebbe istituire un simile obbligo di segnalazione o intervento se il titolare di accorge che i dati ceduti per una certa finalità sono ceduti a terzi.”
Di big data si discute molto nelle imprese oggi come di una possibile fonte di business. Come possono le aziende cogliere le opportunità che offrono senza contravvenire alle leggi sulla protezione dei dati?
“I meccanismi introdotti dal GDPR riflettono l’idea delle opportunità dai big data. L’autovalutazione del rischio da atto che le imprese effettuano trattamenti di dati su larga scala. Il trattamento dei big data pone dei rischi da capire, valutare tramite figure esterne, quali il responsabile della protezione dei dati che permette di adottare di un sistema di controllo interno con cui mettersi al riparo. In questo senso, il GDPR è molto simile alla legge 231/2001, dove sono inseriti dei controlli interni tali da minimizzare il rischio e l’impresa deve dimostrare di averli attuati. È un punto di equilibrio importante, che non demonizza chi tratta i big data e i giganti del digitale”.
