“I segreti valgono più dell’argento o degli zaffiri”.
Così Lord Varys, nella serie Game of Thrones, afferma implicitamente che il suo potere derivi dalle informazioni che riesce a carpire tramite i suoi “uccelletti”. Il nostro mondo non è poi così diverso: esistono tanti Varys, grandi e piccole aziende che basano la propria forza sui dati, sul loro utilizzo, sul loro potenziale.
Cosa succede quando accettiamo la famosa informativa privacy? Messaggi che inviamo (nel rispetto delle leggi applicabili), interazioni, chat con l’AI, hashtag che diffondiamo… tutto ciò viene trattato. [1] Trattamento è un termine dalla definizione ampia: l’articolo 4 del GDPR lo descrive come qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali: ciò permette l’applicazione del Regolamento in molti contesti; ed è di fondamentale importanza che lo sia, poiché applicandolo si pongono alcuni importanti limiti a chi tratta i nostri dati personali. Limitare significa anche ridurre e compensare un’ovvia asimmetria di potere. Un trattamento senza limiti cambierebbe totalmente l’ecosistema dei dati in cui viviamo: raccolta massiva e preventiva, profilazione iper-dettagliata, dati conservati per sempre e magari rivenduti anni dopo la raccolta per i più disparati motivi… tutto ciò genererebbe una problematica situazione di impotenza e sfiducia.
Appare chiaro dunque quanto siano fondamentali le tutele del Regolamento, e delle varie altre norme settoriali e speciali, e in particolare i principi applicabili al trattamento dei dati personali contenuti nell’articolo 5. [2]
Limitandoci ad analizzare i paragrafi b, c, ed e, i principi che emergono sono:
- Limitazione della finalità;
- Minimizzazione dei dati;
- Limitazione della conservazione.
Il paragrafo b stabilisce che i dati devo essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità. Questa disposizione contiene uno dei pilastri del trattamento lecito di dati: il data controller, colui che stabilisce i mezzi e le finalità del trattamento, deve far sì che le finalità siano individuate in anticipo e che rese note inequivocabilmente e chiaramente, oltre che essere conformi all’ordinamento giuridico.
Proseguendo, il paragrafo c afferma il principio di minimizzazione, con cui si intende che i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Quindi, la minimizzazione si fonda sulla triade concettuale di adeguatezza - pertinenza - limitazione.
Potrebbe sorgere un dubbio: limitazione e finalità, in concreto, sono lo stesso concetto? Per capirlo basta chiedersi qual è l’obiettivo dei due principi:
•Il primo risponde alla domanda: “perché mi servono e raccolgo i dati? (A quale scopo raccolgo e tratto?)”;
•Il secondo è cronologicamente successivo: “ho stabilito qual è lo scopo per cui raccolgo dati: ora, qual è il minimo necessario per quello scopo?”.
La minimizzazione è dunque quel principio secondo cui il dato raccolto e trattato è proporzionato allo scopo, realmente collegato e strettamente necessario alla finalità dichiarata.
Infine, il terzo e ultimo confine deriva dal paragrafo e, che afferma che i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. Il principio di conservazione, quindi si esprime nel senso che i dati devono essere conservati solo per il tempo strettamente necessario allo scopo per cui sono stati raccolti, e una volta raggiunto lo scopo, i dati devono essere cancellati, anonimizzati o resi inaccessibili. Dietro questo principio non vi è solo la necessità di ridurre l’impatto sulla vita privata tramite profilazioni sempre più profonde nel tempo: conservare ad oltranza i dati personali aumenta anche l’esposizione ai rischi (data breach, furti d’identità, etc.). [3]
Limitazione alla finalità, minimizzazione e limitazione della conservazione sono quindi tre pilastri della cultura del limite nel trattamento dei dati personali. Nonostante queste regole generali, gli stessi paragrafi b ed e prevedono alcune eccezioni: laddove vi siano fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è contemplata la possibilità di guardare all’articolo 89. Nei tre casi citati infatti, è possibile un ulteriore trattamento incompatibile con le finalità iniziali purché vi siano garanzie adeguate per i diritti e le libertà dell’interessato, e cioè la predisposizione di misure tecniche ed organizzative. [4]
In conclusione, la cultura del limite nel trattamento dei dati personali nasce proprio da qui: dall’idea che il potere informativo debba essere misurato, controllato, circoscritto. I tre principi dell’articolo 5 — limitazione della finalità, minimizzazione e limitazione della conservazione — non sono formalismi tecnici, ma argini concreti che impediscono a chi tratta i dati di accumulare un potere sproporzionato su di noi. Stabilire lo scopo, raccogliere solo ciò che serve, e conservare i dati solo finché hanno una funzione: è questa la grammatica del limite che il Regolamento impone, ed è ciò che permette agli individui di non diventare materia prima infinita nelle mani di piattaforme, aziende o Stati. In un ecosistema informativo che tende naturalmente all’espansione, il GDPR ci ricorda che la libertà passa anche dalla capacità di porre confini. Limitare non significa frenare il progresso, ma impedire che la conoscenza si trasformi in dominio.
E forse, a pensarci bene, il punto è tutto qui: se davvero “i segreti valgono più dell’argento o degli zaffiri”, allora il valore di una società si misura da quanto è capace di proteggerli, non di sfruttarli.
Bibliografia:
1. https://www.facebook.com/privacy/policy?subpage=1.subpage.1-YourActivityAndInformation&locale=it_IT
2. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it
3. https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/storage-limitation/
4. https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=it