Dati Personali Online: Guida Completa ai Tuoi Diritti e Come la Tua Privacy

i tuoi dati personali online in sicurezza, come tutelarti e proteggerti

Nell’era digitale, i nostri dati personali sono diventati una risorsa preziosa, ma anche un potenziale bersaglio. Ogni volta che navighiamo online, utilizziamo app, facciamo acquisti o interagiamo sui social media, lasciamo tracce digitali che possono essere raccolte, analizzate e utilizzate per vari scopi, non sempre trasparenti. Questa guida completa, aggiornata al 2024, ti spiegherà quali sono i tuoi diritti in materia di protezione dei dati personali, come vengono raccolti i tuoi dati online, quali sono i rischi e, soprattutto, come puoi difenderti concretamente.

I Tuoi Diritti Fondamentali: GDPR e Codice Privacy

La protezione dei tuoi dati personali è un diritto fondamentale, tutelato a livello europeo dal Regolamento Generale sulla Protezione dei Dati (GDPR) – Regolamento (UE) 2016/679 – e, in Italia, dal Codice in materia di protezione dei dati personali (D.lgs. 196/2003, modificato dal D.lgs. 101/2018 per adeguarsi al GDPR). Queste normative non si limitano al “Codice del Consumo” (che riguarda altri aspetti dei diritti dei consumatori).

Principi Fondamentali del Trattamento dei Dati:

Il GDPR stabilisce principi fondamentali che tutti coloro che trattano dati personali (aziende, enti pubblici, ecc.) devono rispettare:

  • Liceità, Correttezza e Trasparenza: I dati devono essere trattati in modo lecito (cioè, basato su una delle “basi giuridiche” previste dal GDPR, vedi sotto), corretto e trasparente nei confronti dell’interessato (cioè, tu).
  • Limitazione delle Finalità: I dati possono essere raccolti solo per finalità determinate, esplicite e legittime, e non possono essere trattati successivamente in modo incompatibile con tali finalità.
  • Minimizzazione dei Dati: Devono essere raccolti solo i dati strettamente necessari per le finalità dichiarate.
  • Esattezza: I dati devono essere esatti e, se necessario, aggiornati.
  • Limitazione della Conservazione: I dati devono essere conservati solo per il tempo strettamente necessario per le finalità per le quali sono stati raccolti.
  • Integrità e Riservatezza: I dati devono essere trattati in modo da garantirne la sicurezza, proteggendoli da accessi non autorizzati, perdite, distruzioni o danni accidentali.
  • Responsabilizzazione (Accountability): chi raccoglie i dati (il titolare del trattamento) ha l’obbligo di mettere in atto tutte le misure necessarie per rispettare i principi elencati e deve essere in grado di dimostrare di averlo fatto.

Basi Giuridiche del Trattamento: Quando è Lecito Raccogliere i Tuoi Dati?

Un’azienda (o qualsiasi altro soggetto) non può raccogliere e utilizzare i tuoi dati personali a suo piacimento. Il trattamento è lecito solo se si basa su una delle seguenti “basi giuridiche” previste dal GDPR:

Consenso: 

Tu hai espressamente acconsentito al trattamento dei tuoi dati per una o più finalità specifiche. Il consenso deve essere:

  • Libero: Non devi essere costretto a dare il consenso.
  • Specifico: Deve essere dato per ogni singola finalità del trattamento (es., un consenso per l’invio di newsletter, un altro per la profilazione).
  • Informato: Devi aver ricevuto prima un’informativa chiara e completa.
  • Inequivocabile: Deve essere espresso con un’azione positiva (es., spuntare una casella non preselezionata).
  • Revocabile: Devi poter revocare il tuo consenso in qualsiasi momento, con la stessa facilità con cui l’hai dato.

Esecuzione di un Contratto: 

Il trattamento è necessario per eseguire un contratto di cui tu sei parte (es., per gestire il tuo ordine e spedirti un prodotto che hai acquistato online).

Adempimento di un Obbligo Legale: 

Il trattamento è necessario per adempiere a un obbligo legale a cui è soggetto il titolare del trattamento (es., conservare le fatture per fini fiscali).

Interessi Vitali: 

Il trattamento è necessario per salvaguardare gli interessi vitali tuoi o di un’altra persona (es., in caso di emergenza medica).

Interesse Pubblico o Esercizio di Pubblici Poteri: 

Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (raro nel contesto dei consumatori).

Legittimo Interesse del Titolare: 

Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento (o di terzi), a condizione che tale interesse non prevalga sui tuoi diritti e libertà fondamentali. Questa è la base giuridica più “delicata” e richiede un’attenta valutazione caso per caso. Esempi: prevenzione delle frodi, marketing diretto (con limitazioni), sicurezza informatica.

I Tuoi Diritti Specifici (Diritti dell’Interessato)

Il GDPR ti riconosce una serie di diritti specifici che puoi esercitare nei confronti di chi tratta i tuoi dati:

Diritto di Accesso (art. 15 GDPR): 

Hai il diritto di sapere se un’azienda sta trattando i tuoi dati personali, quali dati sta trattando, perché li sta trattando, a chi li ha comunicati, per quanto tempo li conserverà e come li ha ottenuti.

Diritto di Rettifica (art. 16 GDPR): 

Se i tuoi dati sono inesatti o incompleti, hai il diritto di chiederne la correzione o l’integrazione.

Diritto alla Cancellazione (“Diritto all’Oblio”) (art. 17 GDPR):

 Hai il diritto di chiedere la cancellazione dei tuoi dati personali se:

  • Non sono più necessari per le finalità per le quali sono stati raccolti.Hai revocato il tuo consenso (e non c’è un’altra base giuridica per il trattamento).

  • Ti sei opposto al trattamento (vedi sotto) e non c’è un motivo legittimo prevalente per continuare a trattarli.

  • I dati sono stati trattati illecitamente.

  • La cancellazione è prevista da un obbligo legale.

  • I dati riguardano un minore e sono stati raccolti in relazione a servizi della società dell’informazione (es., social network) offerti direttamente al minore.
Esistono delle eccezioni a questo diritto (es., se i dati sono necessari per l’esercizio del diritto alla libertà di espressione e informazione, per l’adempimento di un obbligo legale, per motivi di interesse pubblico nel settore della sanità pubblica, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria).

Diritto di Limitazione di Trattamento (art. 18 GDPR): 

In alcuni casi, puoi chiedere che il trattamento dei tuoi dati venga limitato (cioè, che i dati vengano solo conservati, ma non utilizzati) mentre è in corso una verifica (es., se contesti l’esattezza dei dati o la liceità del trattamento).

Diritto alla Portabilità dei Dati (art. 20 GDPR): 

Se il trattamento si basa sul consenso o su un contratto e viene effettuato con mezzi automatizzati, hai il diritto di ricevere i tuoi dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico e di trasmetterli a un altro titolare del trattamento senza impedimenti.

Diritto di Opposizione (art. 21 GDPR): 

Hai il diritto di opporti in qualsiasi momento, per motivi connessi alla tua situazione particolare, al trattamento dei tuoi dati personali basato sul legittimo interesse del titolare. Se ti opponi, il titolare deve astenersi dal trattare ulteriormente i tuoi dati, a meno che non dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sui tuoi interessi, diritti e libertà, oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Hai anche il diritto di opporti in qualsiasi momento al trattamento dei tuoi dati per finalità di marketing diretto, compresa la profilazione connessa al marketing diretto.

Come esercitare questi diritti?

Devi rivolgerti direttamente al titolare del trattamento (l’azienda, l’ente, ecc. che ha raccolto i tuoi dati). Di solito, le informative sulla privacy indicano come contattare il titolare o il Responsabile della Protezione dei Dati (DPO o RPD), se nominato. Il titolare deve risponderti senza ingiustificato ritardo e comunque entro un mese dalla tua richiesta (questo termine può essere prorogato di due mesi in casi particolarmente complessi, ma il titolare deve informarti della proroga). La risposta deve essere gratuita, salvo che le tue richieste siano manifestamente infondate o eccessive (in tal caso, il titolare può addebitarti un contributo spese ragionevole o rifiutarsi di soddisfare la richiesta).

Raccolta Dati Online: Cookie e Altre Tecnologie

Quando navighi online, i tuoi dati vengono raccolti in vari modi:

Cookie: 

Sono piccoli file di testo che i siti web memorizzano sul tuo dispositivo (computer, smartphone, tablet) per ricordare informazioni su di te (es., preferenze di lingua, login, articoli nel carrello). Esistono:

  • Cookie tecnici: Necessari per il funzionamento del sito (es., per mantenere attiva la sessione). Nonrichiedono il consenso.
  • Cookie analitici: Servono a raccogliere informazioni aggregate sull’utilizzo del sito (es., numero di visitatori, pagine più viste). Se sono anonimizzati (cioè, non permettono di identificarti direttamente), possono essere utilizzati senza consenso. Se non sono anonimizzati, richiedono il consenso.
  • Cookie di profilazione: Servono a creare un tuo profilo in base alle tue abitudini di navigazione e a mostrarti pubblicità personalizzata. Richiedono il tuo consenso esplicito.
  • Cookie di terze parti: Sono installati da un sito diverso da quello che stai visitando (es., un social network, un servizio pubblicitario).

Altre tecnologie di tracciamento: 

Esistono altre tecnologie (es., web beacon, pixel tag, fingerprinting) che possono essere utilizzate per raccogliere informazioni sul tuo comportamento online.

Formulari online: 

Quando compili un modulo di contatto, ti registri a un servizio, fai un acquisto, fornisci direttamente i tuoi dati personali.

App: 

Le app possono accedere a vari dati sul tuo dispositivo (es., posizione, contatti, foto), a seconda delle autorizzazioni che hai concesso.

Come gestire i cookie e le altre tecnologie di tracciamento?

  • Banner cookie: I siti web devono mostrarti un banner cookie alla tua prima visita, informandoti sui cookie utilizzati e chiedendoti il consenso per quelli non tecnici.
  • Impostazioni del browser: Puoi modificare le impostazioni del tuo browser per bloccare tutti i cookie, accettarli solo da determinati siti, o essere avvisato ogni volta che un sito tenta di installare un cookie.
  • Strumenti di opt-out: Molti servizi pubblicitari offrono strumenti per disattivare la pubblicità personalizzata (“opt-out”).
  • Privacy Setting delle App. Controlla le autorizzazioni delle app.

Trasferimento Dati all’Estero (Extra-UE)

Il GDPR si applica anche se i tuoi dati vengono trasferiti fuori dall’Unione Europea. Il trasferimento è lecito solo se:

  • Il paese destinatario offre un livello di protezione adeguato (decisione di adeguatezza della Commissione Europea).
  • Sono state adottate garanzie adeguate (es., clausole contrattuali standard approvate dalla Commissione Europea, norme vincolanti d’impresa).
  • Si applicano deroghe specifiche (es., consenso esplicito, esecuzione di un contratto).

Cosa Fare in Caso di Violazione dei Tuoi Dati (Data Breach)

Se un’azienda subisce una violazione dei dati (“data breach”) che mette a rischio i tuoi dati personali (es., un attacco hacker), ha l’obbligo di:

  • Notificare la violazione al Garante per la protezione dei dati personali entro 72 ore.
  • Informarti della violazione, se il rischio per i tuoi diritti e libertà è elevato.

Strumenti di Tutela

Se ritieni che i tuoi diritti in materia di protezione dei dati siano stati violati, puoi:

  1. Contattare il Titolare del Trattamento: Il primo passo è sempre cercare di risolvere il problema direttamente con l’azienda.
  2. Reclamo al Garante per la protezione dei dati personali: Se non ottieni risposta o la risposta non ti soddisfa, puoi presentare un reclamo formale al Garante per la protezione dei dati personali (www.garanteprivacy.it). Il Garante può avviare un’istruttoria, adottare provvedimenti correttivi e sanzionare l’azienda.
  3. Azione Giudiziaria: Puoi rivolgerti al giudice ordinario per ottenere il risarcimento del danno (materiale e non materiale) subito a causa della violazione dei tuoi dati.
  4. Associazioni dei consumatori. Possono aiutarti.

Esempio pratico (Cina):

App di fitness che trasferisce i dati in Cina. In questo caso, l’azienda deve informarti chiaramente del trasferimento nell’informativa privacy e deve garantire che i tuoi dati siano protetti anche in Cina, ad esempio, adottando clausole contrattuali standard approvate dalla Commissione Europea. Se hai dubbi, chiedi esplicitamente all’azienda quali garanzie sono state adottate. Se non sei soddisfatto, puoi esercitare i tuoi diritti (accesso, rettifica, cancellazione, ecc.) e, se necessario, presentare reclamo al Garante.

Conclusione:

La protezione dei dati personali è un diritto fondamentale. Conoscere i tuoi diritti e gli strumenti di tutela a tua disposizione è essenziale per navigare online in modo consapevole e sicuro. Non aver paura di far valere i tuoi diritti e di chiedere conto alle aziende del modo in cui trattano i tuoi dati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *