Scopri i tuoi diritti - è il primo passo per difenderli
Hai il diritto di ottenere informazioni sul trattamento di dati che ti riguardano, ottenerne l’accesso e copia (anche in formato elettronico).
Il diritto di accesso è la strada principale con cui puoi scoprire davvero quali dati sono trattati dalle aziende e pubbliche amministrazioni, per quale motivo, ed in che modo. Attraverso il diritto di accesso puoi anche conoscere le logiche di funzionamento di processi decisionali automatizzati.
Il diritto di accesso è una fondamentale tutela di trasparenza, che puoi esercitare ogni volta che hai dubbi circa la reale estensione o natura di un trattamento di dati. Ad esempio, quando ti chiama un call center, hai il diritto di chiedere da chi hanno ottenuto i tuoi dati, per poi esercitare il tuo diritto di accesso ed eventualmente revocare il tuo consenso.
Riferimenti normativi: articolo 15 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
Hai il diritto di ottenere l'aggiornamento, l’integrazione, la modifica o la cancellazione dei tuoi dati.
In ogni momento hai il diritto di chiedere la modifica e l'aggiornamento dei tuoi dati. Dati obsoleti o inesatti possono portare a conseguenze negative di ogni tipo. Per questo motivo è fondamentale avere la possibilità di modificare e aggiornare i propri dati personali.
Hai anche il diritto di chiedere la cancellazione dei tuoi dati personali! La richiesta di cancellazione deve però rispettare alcune condizioni. Non puoi ottenere la cancellazione dei tuoi dati se l'azienda o l'amministrazione che li tratta ne ha ancora bisogno (ad esempio, per rispettare obblighi di legge o eseguire un contratto di cui sei parte).
Hai però sempre il diritto di ottenere la cancellazione dei tuoi dati quando il trattamento è in violazione di legge!
Riferimenti normativi: articoli 16 e 17 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
Hai il diritto di ottenere la limitazione del trattamento e rendere i tuoi dati temporaneamente inaccessibili.
Limitazione del trattamento significa che puoi chiedere all'azienda o pubblica amministrazione che tratta i tuoi dati di sospendere temporaneamente il trattamento (interrompendo il servizio) per diversi motivi. Ad esempio, perché ritieni che i dati siano inesatti, o perché quei dati ti servono per difenderti in giudizio e hai bisogno che siano mantenuti così come sono.
Quando chiedi la limitazione, l'azienda o la pubblica amministrazione può trattare quei dati soltanto col tuo consenso, o per motivi di interesse pubblico. La limitazione può essere revocata quando le condizioni per cui è stata chiesta non sussistono più.
Riferimenti normativi: articolo 18 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
Hai il diritto di chiedere la portabilità dei dati e riceverli in formato strutturato, di uso comune, e leggibile da dispositivo elettronico.
La portabilità dei dati funziona in modo simile alla portabilità dei numeri telefonici. Puoi chiedere ad un'azienda o pubblica amministrazione che ti siano restituiti i dati, per poterli trasferire ad un'altra azienda o pubblica amministrazione. Puoi chiedere anche che i dati siano comunicati direttamente all'altra azienda o pubblica amministrazione.
Un esempio tipico di portabilità è quello della posta elettronica: hai il diritto di ottenere tutte le tue comunicazioni e la tua lista contatti per poter cambiare provider di posta elettronica, senza subire quello che viene chiamato "lock-in" tecnologico.
La portabilità può essere chiesta solo per i dati trattati in ragione del tuo consenso o per l'esecuzione di un contratto (anche gratuito).
Riferimenti normativi: articolo 20 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
Hai il diritto di opporti in qualsiasi momento al trattamento di dati fatto in ragione del legittimo interesse di un'azienda. Allo stesso tempo hai anche il diritto di revocare in ogni momento il tuo consenso.
L'opposizione è l'azione da esercitare per fermare un trattamento di dati effettuato sulla base del "legittimo interesse", cioè a partire da una scelta unilaterale dell'azienda che tratta i tuoi dati. Visto che questa è una decisione unilaterale, hai il diritto di opporti. Il diritto di opposizione è automatico per le attività di marketing, mentre deve essere valutato dall'azienda per ogni altra ipotesi.
Come per il diritto di opposizione, hai anche il diritto di revocare in ogni momento il tuo consenso. Ricorda che il consenso è sempre libero e facoltativo. Quando incontri dei consensi "obbligatori", sappi che c'è qualcosa che non va.
Quando ti opponi al trattamento, o quando revochi il consenso, l'azienda deve cessare il trattamento. Se vuoi, potrai anche chiedere contestualmente la cancellazione dei tuoi dati.
Riferimenti normativi: articolo 21 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
In alcuni casi la legge prevede che aziende e pubbliche amministrazioni possano usare processi decisionali automatizzati che abbiano effetti giuridici su di te.
In questi casi, hai il diritto di ottenere l'intervento umano, di esprimere la tua opinione, e di contestare la decisione automatizzata.
I processi decisionali automatizzati influiscono ampiamente nelle nostre vite in modo spesso subdolo. Ad esempio, quando chiedi una carta di credito alla tua banca, la tua situazione finanziaria verrà analizzata da un algoritmo, che deciderà in modo automatizzato se sei abbastanza affidabile.
Nel caso in cui la tua richiesta venga respinta, hai il diritto di ottenere una spiegazione del motivo, e di contestare questa decisione.
Riferimenti normativi: articolo 22 Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati)
Non ci sono particolari formalità per esercitare i tuoi diritti.
Puoi scrivere una semplice e-mail, o contattare l'azienda o l'amministrazione pubblica attraverso chat o telefono. Le aziende e amministrazioni pubbliche più attente potrebbero avere degli strumenti digitali specifici per esercitare i tuoi diritti, come form online o strumenti per il download diretto dei dati. In alcuni casi ti potrà essere chiesto di dimostrare la tua identità.
Il Garante per la Protezione dei dati ha messo a disposizione anche un modulo per semplificare le procedure. Sarà sufficiente compilarlo e inviarlo all'azienda o alla pubblica amministrazione che tratta i tuoi dati.
Se ritieni insoddisfacenti le risposte, o se pensi che i tuoi diritti non siano rispettati, puoi fare una segnalazione o proporre reclamo davanti al Garante per la Protezione dei dati.
Quando eserciti un tuo diritto, le aziende e le amministrazioni pubbliche devono risponderti entro 30 giorni.
In alcuni casi questo termine può essere prorogato di altri 60 giorni, ma è obbligatorio che ti avvertano della proproga entro 30 giorni dal ricevimento della tua richiesta.
Se non hai nessun riscontro nei termini previsti per legge, hai diritto di segnalare la violazione al Garante per la protezione dei dati personali, o fare un reclamo formale.
Esercitare i tuoi diritti è sempre gratuito!
Le aziende private e le amministrazioni pubbliche possono addebitarti soltanto i costi amministrativi per pratiche particolarmente complesse o reiterate in un breve periodo di tempo. In ogni caso, l'addebito deve essere motivato.
Privacy e tecnologia
L'informazione è potere. Questa è una verità che non cambierà mai.
Quando le aziende o lo Stato acquisiscono informazioni su di te, guadagnano contestualmente un potere economico, sociale o politico, direttamente esercitabile.
Questo potere può essere usato in modi molto diversi: advertising mirato, discriminazione dei prezzi, propaganda politica mirata, o per determinare se hai diritto o meno ad accedere ad alcuni servizi o lavori.
Molte aziende utilizzano keywords come "depressione", "difficoltà economiche", "problemi di salute", "alcolismo", per indirizzare contenuti mirati alle persone più deboli e in difficoltà, e quindi più suscettibili. Questo è possibile proprio grazie ai dati che vengono raccolti da migliaia di aziende in tutto il mondo ogni volta che navighi sul web o utilizzi un'app sul tuo smartphone.
Ad esempio, le banche possono usare dati che hanno su di te (anche acquisiti da terzi) per decidere se concederti o negarti un prestito. Questi dati possono essere obsoleti, errati, o semplicemente discriminatori nei tuoi confronti. Lo stesso vale per le informazioni che leggi online e per i banner pubblicitari. La realtà che ti viene presentata online è direttamente plasmata sulla base di un profilo digitale creato ad hoc, partendo dai tuoi dati.
Nel 2016 la campagna Trump ha acquisito i dati di milioni di cittadini americani, esaminando le loro abitudini, interessi, e tratti psicologici. Queste informazioni sono state poi usate per inviare comunicazioni mirate (sotto forma di advertising) per cercare diconvincere queste persone a votare per Trump, o astenersi dal voto.
Per questo è fondamentale mantenere il controllo dei tuoi dati, e difendere la tua privacy. D'altronde, non vorresti mai che qualcuno fosse in grado di leggerti nel pensiero, vero?
La crittografia è la scienza che studia come "offuscare" comunicazioni e dati, per renderli comprensibili soltanto alle persone autorizzate. La crittografia è l'unico strumento al mondo con cui puoi avere certezza della riservatezza delle tue comunicazioni.
La riservatezza delle comunicazioni è uno dei pilastri della società civile, libera e democratica. Non a caso, sia la Costituzione italiana che la Carta dei diritti fondamentali dell'Unione Europea prevedono la riservatezza delle comunicazioni come diritto fondamentale.
La crittografia è nata con la scrittura. Fin dai tempi antichi gli esseri umani hanno sentito la necessità di nascondere le comunicazioni da occhi indiscreti. D'altronde, la scrittura è manifestazione del pensiero. I primi esempi di crittografia si hanno già nel 600 AC.
Oggi quasi tutte le comunicazioni sono digitali. Questo significa che ogni bit di informazione che viaggia online è potenzialmente visibile a miliardi di persone, aziende e istituzioni governative. La crittografia è l'unico sistema capace di proteggere queste informazioni.
Ci sono due principali modalità per crittografare le comunicazioni online: "server-client" o "end-to-end".
La crittografia server-client prevede che le comunicazioni siano crittografate in modo centralizzato, da un unico server. Questo significa che il soggetto che gestisce il server ha anche le chiavi per decifrare tutte le comunicazioni.
La crittografia "end-to-end" prevede invece che tutte le comunicazioni siano crittografate a livello di dispositivo. Attraverso questa tecnica le chiavi sono conservate sul dispositivo stesso, e nessuno tranne mittente e destinatario è in grado di decifrare le comunicazioni. Questo è il livello di crittografia più sicuro, perché non richiede di fidarsi di nessuno, se non dell'algoritmo usato per la crittografia.
Fortunatamente, oggi molti sistemi di messagistica istantanea utilizzano tecniche di crittografia dei dati, anche se non tutte "end-to-end".
La crittografia è l'unico strumento con cui giornalist*, attivist* e persone in tutto il mondo possono comunicare ed esprimere il loro pensiero senza paura di ritorsioni o censure. In pratica, è uno strumento di libertà - come la privacy.
Google e Facebook sono le massime espressioni del cosiddetto "capitalismo di sorveglianza". Il loro business model è basato sullo sfruttamento monopolistico dell'esperienza umana (attraverso i dati prodotti), per creare e rivendere intelligence a terzi, e per manipolare le tendenze di mercato a proprio favore, sfruttando l'enorme potere di conoscenza derivante dai dati di mezzo pianeta.
Google e Facebook sono anche tra i principali attori che hanno contribuito a determinare i risultati di alcuni alcuni degli eventi politici più importanti degli ultimi 15 anni, come l'elezione di Trump, o il referendum sulla Brexit. Senza gli strumenti di advertising mirato di Facebook probabilmente avremmo assistito a risultati molto diversi.
Sono anche i principali promotori della lenta erosione della cultura della privacy e protezione dei dati. Nel corso degli ultimi 15 anni ci hanno convinto che fosse necessario subire l'invasione digitale della nostra vita per usufruire di servizi utili. La verità è che questo è il frutto di una specifica politica di questi giganti, per giustificare l'accumulo di enormi quantità di dati su ognuno di noi. I dati sono il loro business, e qualsiasi cosa facciano ha l'obiettivo di creare nuove vie per ottenerli.
In molti credono che tutto questo sia inevitabile - che far entrare Google e Facebook nelle parti più intime della nostra vita sia per il bene comune e per avere servizi digitali all'avanguardia. La verità è diversa.
Gran parte dei profitti di Google e Facebook non sono investiti in innovazione utile agli utenti, ma per lo sviluppo di tecniche sempre più invasive e e innovative per acquisizione e analisi di dati per migliorare le capacità di profilazione e vendere intelligence.
È risaputo che sia Google che Facebook hanno più volte impedito l'ingresso sul mercato a servizi migliori dei loro, a discapito degli utenti. I servizi digitali offerti da Google e Facebook non sono i migliori che potremmo avere, ma soltanto quelli a cui abbiamo accesso a causa del loro aggressivo monopolio digitale.
La prima domanda è: hai davvero bisogno degli assistenti vocali? Gli assistenti vocali sono principalmente un mezzo per raccogliere informazioni su di te, per migliorare sempre più gli algoritmi di riconoscimento vocale e per aumentare le capacità di profilazione dei produttori.
Qualsiasi assistente vocale, salvo che sia dichiarato il contrario, è sempre attivo. Questi dispositivi registrano ogni conversazione fatta in prossimità, anche senza il comando vocale per attivare il dispositivo. Il motivo è chiaro: per recepire il comando vocale, l'assistente deve essere in grado di captare in ogni momento la voce delle persone nella stanza. Tutti questi dati sono memorizzati e conservati presso i data center del produttore del dispositivo.
Il consiglio è di spegnere l'assistente vocale quando non si intende usarlo, anche se diminuisce di molto la sua utilità.
Tutte le conversazioni degli assistenti vocali sono anche usate per quella che viene chiamata "human review", cioè l'attività di trascrivere e verificare le conversazioni registrate dall'assistente vocale per renderli utilizzabili per migliorare gli algoritmi usati. Questa attività è spesso fatta da persone che lavorano per società terze. Le conversazioni dovrebbero essere anonime, nel senso che non viene direttamente identificata la persona e i dialoghi sono suddivisi casualmente. Bisogna però considerare che tutto ciò che viene registrato dall'assistente vocale, ad un certo punto sarà anche revisionato da una o più persone.
È consigliabile configurare il dispositivo prima dell'uso per limitare le funzioni non necessarie, e cancellare periodicamente la cronologia delle conversazioni.