Home
Informazioni
Open source App mobili Domande frequenti Migrazione da Google Foto Chi siamo
Prezzi Blog
Centro Assistenza
Account Immich Migrazione Altro Contatta il supporto
Accedi Registrati
Privacy

Cos'è il GDPR e ti protegge davvero?

Odin from PixelUnion
4 min read
#GDPR #Privacy #Data Protection #Digital Rights #Europe
Cos'è il GDPR e ti protegge davvero?

Lasciami indovinare. Hai cliccato su «Accetta tutto» più volte di quante tu riesca a contare, e da qualche parte nella tua testa sai che c’entra con il GDPR. Ma se qualcuno ti chiedesse di spiegare cos’è davvero il GDPR, probabilmente cambieresti discorso.

Senza giudizi. Avrei fatto lo stesso qualche anno fa.

Se ti sei mai chiesto cosa si nasconde dietro quella sigla, e se ti serve davvero a qualcosa, questo articolo è per te.

Il GDPR è talvolta indicato anche come RGPD, che sta per Regolamento Generale sulla Protezione dei Dati. I due acronimi si riferiscono alla stessa legge. In questo articolo usiamo GDPR, che è il termine più diffuso a livello internazionale.

Cos’è il GDPR?

GDPR sta per General Data Protection Regulation, in italiano Regolamento Generale sulla Protezione dei Dati. È una legge europea entrata in vigore nel 2018 che stabilisce le regole su come le aziende possono raccogliere, conservare e utilizzare i tuoi dati personali.

Dati personali è un termine ampio. Include il tuo nome e il tuo indirizzo e-mail, ma anche la tua posizione, le tue foto, la tua cronologia di navigazione, il tuo indirizzo IP e qualsiasi altra informazione che possa essere usata per identificarti come persona.

Il regolamento si applica a qualsiasi azienda che tratta dati di persone che vivono nell’UE. Questo include aziende americane come Google e Meta. Se vogliono operare in Europa, devono rispettare le regole europee.

Quali diritti ti conferisce davvero?

È qui che diventa interessante. Il GDPR non è solo un documento di policy che le aziende possono ignorare. Ti conferisce diritti reali e azionabili.

Il diritto di sapere. Puoi chiedere a qualsiasi azienda quali dati detiene su di te. Sono obbligate per legge a risponderti entro un mese.

Il diritto di accesso. Puoi richiedere una copia completa dei tuoi dati. Google, Meta, Apple: tutte hanno strumenti appositi. È spesso un’esperienza illuminante.

Il diritto all’oblio. Puoi chiedere a un’azienda di cancellare i tuoi dati. Devono farlo, a meno che non abbiano un motivo legittimo per conservarli, come un contratto in corso o un obbligo legale.

Il diritto alla portabilità. Puoi richiedere i tuoi dati in un formato che ti permetta di portarli altrove. Le tue foto, i tuoi messaggi, la tua cronologia. Sono tuoi e dovresti poterli portare con te.

Il diritto di opposizione. Se un’azienda usa i tuoi dati a fini pubblicitari, puoi chiederle di smettere. In pratica è più complicato, ma il diritto esiste.

Non sono cose da poco. Prima del GDPR, tutto questo dipendeva interamente dalla buona volontà delle aziende.

Perché allora sembra che nulla sia cambiato?

Perché l’applicazione è lenta e le sanzioni spesso arrivano con anni di ritardo. Le aziende con più dati hanno anche più avvocati.

Nel 2023 Meta è stata multata di 1,2 miliardi di euro ai sensi del GDPR. Sembra enorme. Corrispondeva a circa quattro giorni di fatturato. Google ha affrontato sanzioni simili. Pagano, fanno ricorso e nel frattempo continuano come prima.

Il GDPR ha i denti. Ma morde lentamente.

Da cosa non ti protegge il GDPR

Questa è la parte che la maggior parte delle persone non conosce.

Il GDPR disciplina ciò che le aziende possono fare con i tuoi dati di propria iniziativa. Non ti protegge dalle richieste dei governi.

In virtù del CLOUD Act americano, le autorità statunitensi possono richiedere l’accesso a dati detenuti da aziende americane, anche se quei dati sono conservati in Europa, e anche se sei un cittadino europeo. L’azienda può essere obbligata per legge a consegnarli senza informarti.

Il GDPR dice: le aziende non possono usare i tuoi dati di propria iniziativa. Il CLOUD Act dice: il governo americano può comunque richiederli. Queste due leggi sono in diretto conflitto.

Il mio collega ha già scritto un approfondimento su come funziona esattamente il CLOUD Act e cosa significa per le tue foto.

Conta dove ha sede un’azienda?

Sì. In modo significativo.

Se i tuoi dati sono conservati presso un’azienda con sede nell’UE, costituita ai sensi del diritto europeo e senza società madre americana, il CLOUD Act non si applica. Un’ingiunzione di un tribunale europeo basata sul diritto europeo è qualcosa di molto diverso da una richiesta del governo americano.

Non è una questione tecnica. È il punto centrale.

In PixelUnion conserviamo le tue foto ai sensi della legge europea. Non perché fossimo obbligati, ma perché è l’unico modo per rendere la protezione reale. Archiviate nell’UE, gestite ai sensi della normativa UE, nessuna società madre americana, nessuna pipeline di dati poco chiara.

Il GDPR è una base solida. Ma funziona pienamente solo quando l’azienda che custodisce i tuoi dati è genuinamente soggetta ad esso.

Vuoi sapere cos’altro puoi fare per riprendere il controllo? Il nostro collega ha messo insieme una guida pratica su come abbandonare completamente i Big Tech, con alternative concrete per ogni servizio.