/ Attualità e società / Come sapere quali dati personali Google e Facebook hanno su di te e come cancellarli?
Pubblicato il Marzo 15, 2024

Contrariamente a quanto si crede, proteggere la propria privacy online non è una questione tecnica di ‘impostazioni’, ma un esercizio di diritti legali sanciti dal GDPR.

  • I servizi “gratuiti” sono in realtà un contratto in cui la tua valuta sono i dati, con sanzioni milionarie per le aziende che violano le regole.
  • Scegliere alternative come DuckDuckGo o metodi di pagamento come PayPal non è una semplice preferenza, ma una strategia consapevole di minimizzazione del rischio.

Raccomandazione: Considera ogni tuo clic come un ‘atto giuridico digitale’: la consapevolezza è il primo passo per trasformare il tuo patrimonio di dati da un rischio a una risorsa protetta.

Ogni giorno, utilizziamo decine di servizi digitali che ci sembrano gratuiti, da Google Maps a Facebook, senza interrogarci sul loro vero costo. La sensazione di essere costantemente osservati, con pubblicità che anticipano i nostri desideri, è una frustrazione comune. Molti pensano che la soluzione risieda nel navigare tra complessi menu di impostazioni della privacy, un’attività che spesso si rivela tediosa e poco trasparente, portando alla rinuncia.

L’approccio comune si limita a consigliare di controllare le autorizzazioni delle app o di usare password complesse. Sebbene utili, questi consigli non toccano il cuore del problema. Si tratta di misure difensive in un gioco le cui regole sono dettate da altri. Il vero perimetro della nostra vita digitale è molto più vasto e include la gestione delle nostre finanze online, la nostra identità civica tramite app come IO, e persino il destino dei nostri dati dopo la nostra morte.

E se la vera chiave non fosse modificare le impostazioni, ma comprendere il contratto che stiamo tacitamente firmando? La prospettiva cambia radicalmente quando smettiamo di vederci come semplici utenti e iniziamo a pensarci come parti di un accordo legale. Ogni “Accetta” su un banner di cookie, ogni foto condivisa, ogni ricerca effettuata è un atto giuridico digitale con precise conseguenze. Questo non è un manuale tecnico, ma una guida legale per l’utente consapevole, redatta secondo l’ottica del GDPR e del contesto normativo italiano.

In questo articolo, analizzeremo il valore dei tuoi dati come moneta di scambio, ti forniremo gli strumenti per esercitare i tuoi diritti in modo efficace, e ti mostreremo come proteggere il tuo patrimonio digitale in ogni ambito, dalla navigazione quotidiana alla pianificazione della tua eredità digitale.

Per chi preferisce un’immersione visiva nel concetto di valore dei dati, il video seguente offre una metafora potente che completa perfettamente i concetti legali e pratici di questa guida.

Per navigare con chiarezza attraverso i diversi aspetti della sovranità sui propri dati personali, abbiamo strutturato questa guida in capitoli specifici. Ciascuno affronta un’area critica, fornendo analisi legali e consigli pratici per riprendere il controllo del tuo patrimonio digitale.

Sommario: La tua guida legale alla sovranità digitale

Perché i servizi “gratuiti” vendono le tue abitudini di consumo agli inserzionisti?

Il concetto di “gratuito” nel mondo digitale è un’illusione giuridica ed economica. Quando non paghi un servizio con denaro, lo paghi con un’altra valuta: i tuoi dati personali. Questo scambio costituisce un contratto di servizio implicito. Tu ottieni l’accesso a una piattaforma (Gmail, YouTube, Facebook), e l’azienda ottiene il diritto di analizzare i tuoi comportamenti, preferenze, relazioni e abitudini per creare un profilo dettagliato di te. Questo profilo, aggregato a milioni di altri, diventa un prodotto di immenso valore venduto agli inserzionisti, che possono così mostrarti pubblicità mirate con una precisione chirurgica.

Dal punto di vista del GDPR, questo scambio è legale solo se trasparente, consensuale e proporzionato. Tuttavia, la linea di demarcazione è sottile e le violazioni sono frequenti e costose. Il Garante per la protezione dei dati personali italiano è estremamente attivo su questo fronte. Basti pensare che, secondo la sua relazione annuale, nel solo 2024 sono stati gestiti oltre 4.000 reclami, che hanno portato a 835 provvedimenti e sanzioni per 24 milioni di euro nel solo 2024.

Un esempio emblematico è la recente sanzione inflitta a OpenAI per ChatGPT in Italia, motivata da carenze di trasparenza sulle basi giuridiche del trattamento dei dati e dall’assenza di sistemi efficaci per la verifica dell’età. Questo dimostra che anche i giganti della tecnologia non sono al di sopra della legge e che le autorità di controllo europee e italiane hanno gli strumenti per intervenire quando il “contratto implicito” diventa abusivo. Comprendere questo meccanismo è il primo passo per smettere di essere un prodotto e iniziare a essere un utente consapevole dei propri diritti.

Come rifiutare i cookie di profilazione velocemente senza perdere ore sui siti web?

Il banner dei cookie non è un semplice fastidio da eliminare il più in fretta possibile, ma il primo sportello legale dove esercitare i tuoi diritti. È il punto in cui il sito web ti chiede il permesso formale di installare traccianti per analizzare il tuo comportamento. Secondo le linee guida del Garante Privacy italiano, un banner a norma di legge deve presentare opzioni chiare e non ingannevoli. La frustrazione di perdere tempo a deselezionare decine di caselle è spesso il risultato di un design volutamente complesso, una pratica al limite della legalità.

La chiave per agire velocemente e legalmente è riconoscere gli elementi obbligatori. Un banner conforme deve avere un pulsante “Rifiuta” (o equivalente, come “Usa solo cookie tecnici”) con la stessa evidenza grafica del pulsante “Accetta”. Se questo pulsante manca, il sito non è a norma. L’assenza di un rifiuto semplice è una violazione del principio del consenso esplicito e inequivocabile richiesto dal GDPR. Cliccare sulla “X” per chiudere il banner deve equivalere a un rifiuto totale.

Rappresentazione visiva delle opzioni di privacy nei banner cookie

Come puoi vedere nell’immagine concettuale, la scelta sulla privacy dovrebbe essere chiara come muovere un interruttore. Per assicurarti che un banner sia legale e per non perdere tempo, verifica rapidamente questi punti fondamentali imposti dalla normativa italiana:

  • Presenza obbligatoria di un pulsante “Rifiuta tutti” o una “X” di chiusura che abbia la stessa funzione, ben visibile.
  • Nessun consenso pre-flaggato: le caselle relative ai cookie di profilazione o marketing devono essere deselezionate di default.
  • Link chiaro all’informativa privacy per approfondire quali dati vengono raccolti e per quali finalità.
  • Facilità di revocare il consenso: deve essere semplice cambiare idea in un secondo momento, tramite un link accessibile nel footer del sito.

Riconoscere questi elementi ti permette di prendere una decisione informata in pochi secondi, trasformando un ostacolo in un’opportunità per un atto giuridico digitale a tua tutela.

DuckDuckGo o Google: vale la pena cambiare per proteggere le tue ricerche sanitarie o finanziarie?

La scelta di un motore di ricerca non è una questione di abitudine, ma una decisione strategica per la protezione del proprio patrimonio digitale. Quando cerchi informazioni su sintomi di salute, problemi finanziari o questioni legali, stai fornendo a Google dati estremamente sensibili. Google collega queste ricerche al tuo account, arricchendo il tuo profilo pubblicitario con informazioni che possono essere usate per proporti assicurazioni sanitarie, prestiti o servizi legali. Questa profilazione, sebbene legale entro certi limiti, crea un’impronta digitale indelebile e potenzialmente vulnerabile.

Alternative come DuckDuckGo o Qwant operano secondo il principio di minimizzazione dei dati, un cardine del GDPR. Non salvano la cronologia delle tue ricerche, non creano un profilo utente e non ti seguono sul web con annunci. Il compromesso, spesso, risiede nella qualità dei risultati di ricerca locali, dove Google rimane superiore grazie alla mole di dati geolocalizzati che possiede. Tuttavia, per ricerche sensibili, il sacrificio in termini di pertinenza locale è ampiamente compensato dal guadagno in privacy.

Il rischio non è solo la profilazione. I dati degli utenti europei, conservati da aziende statunitensi come Google, sono soggetti a leggi di sorveglianza USA. Il trasferimento di questi dati è un’area di forte contenzioso legale, come dimostra la storica sanzione da 1,2 miliardi di euro inflitta a Meta nel 2023 proprio per il trasferimento illecito di dati dall’UE agli Stati Uniti. Optare per un motore di ricerca con server in Europa, come Qwant, offre una protezione giuridica nativa superiore.

Confronto Privacy: Google vs Alternative
Aspetto Google DuckDuckGo Qwant
Tracciamento ricerche Sì, collegato all’account No No
Profilazione utente Completa Nessuna Nessuna
Server in UE No (USA) Sì (Francia)
Ricerche locali Italia Eccellente Limitata Buona
Conformità GDPR Sì, con riserve Nativa

Il rischio di condividere troppe foto personali che aiuta i truffatori a clonare il tuo profilo

Ogni foto o informazione personale condivisa sui social network diventa parte del tuo archivio pubblico, un tesoro per i malintenzionati che praticano il furto d’identità. La clonazione del profilo è una truffa comune: un criminale crea un nuovo account identico al tuo, usando le tue foto e informazioni, per poi contattare i tuoi amici e parenti chiedendo denaro con una scusa urgente. Più materiale condividi, più il profilo falso apparirà credibile, aumentando le probabilità di successo della truffa.

Questo non è un rischio teorico. La storia dello scandalo di Cambridge Analytica ha mostrato come i dati di pochi possano esporre intere reti di contatti. In Italia, il Garante Privacy ha accertato che il download dell’app “Thisisyourdigitallife” da parte di soli 57 utenti italiani ha permesso di acquisire illecitamente i dati di oltre 214.000 altri italiani a loro collegati, senza alcun consenso. Questo dimostra la natura virale della perdita di controllo sui dati.

Se scopri che il tuo profilo è stato clonato, devi agire immediatamente come se stessi rispondendo a un’emergenza legale. Ecco i passi da seguire:

  1. Fai subito degli screenshot del profilo falso come prova.
  2. Segnala immediatamente il profilo alla piattaforma tramite gli strumenti di reporting.
  3. Presenta una denuncia online sul sito della Polizia Postale italiana. Questo è un passo fondamentale per formalizzare il reato.
  4. Avvisa i tuoi contatti tramite altri canali (es. WhatsApp) per metterli in guardia dalla truffa.

Per prevenire, è fondamentale limitare la visibilità delle tue informazioni. Ma se il danno è fatto, hai un’arma potente: il diritto all’oblio. Come afferma la Commissione Europea, questo diritto ti permette di richiedere la rimozione di link che ti riguardano se le informazioni sono “inesatte, inadeguate, irrilevanti o eccessive”.

Il diritto all’oblio permette di richiedere che vengano rimossi da un motore di ricerca link a informazioni personali che ti riguardano, se sono inesatte, inadeguate, irrilevanti o eccessive

– Commissione Europea, Protezione dei dati e della privacy online – Your Europe

Cosa succede ai tuoi account cloud quando muori e come nominare un erede digitale?

La nostra vita digitale – email, foto, documenti, profili social – costituisce un vero e proprio patrimonio digitale. Ma cosa succede a questo patrimonio quando non ci siamo più? A differenza dei beni fisici, l’accesso agli account digitali dopo il decesso non è regolato da un testamento tradizionale, ma dalle condizioni di servizio di ciascuna piattaforma e dalle leggi sulla privacy, che proteggono l’account anche post-mortem.

Senza una pianificazione, gli eredi si trovano di fronte a un muro legale e tecnico. Le piattaforme, vincolate dal GDPR, non possono semplicemente consegnare le password. Ogni servizio ha procedure diverse. Google, ad esempio, offre uno strumento proattivo chiamato “Gestione account inattivo”. Qui puoi designare un “contatto fidato” che, dopo un periodo di inattività da te stabilito, riceverà una notifica e potrà accedere a una parte o a tutti i tuoi dati (Gmail, Drive, Foto). È un vero e proprio testamento digitale.

Concetto di eredità digitale e passaggio generazionale dei dati

Come suggerisce l’immagine, il passaggio dell’eredità digitale richiede un gesto consapevole, un trasferimento deliberato di responsabilità. Facebook permette di nominare un “contatto erede” che può gestire il profilo trasformandolo in un account commemorativo, oppure puoi scegliere l’eliminazione definitiva. Per gli account istituzionali italiani, la situazione è ancora più rigida. Lo SPID e la CIE sono strettamente personali e vengono disattivati con la comunicazione del decesso. Gli eredi non possono utilizzarli e devono seguire le procedure ordinarie con la Pubblica Amministrazione per accedere a pratiche o documenti del defunto.

Pianificare la propria eredità digitale non è un atto macabro, ma un atto di responsabilità verso i propri cari, per evitare loro ulteriori complicazioni burocratiche in un momento di dolore. Significa decidere consapevolmente quale parte della nostra vita digitale deve essere preservata, quale condivisa e quale, invece, deve scomparire con noi, esercitando il nostro diritto alla privacy fino all’ultimo.

PayPal o Carta Prepagata: quale metodo ti protegge meglio in caso di merce non ricevuta?

Negli acquisti online, soprattutto tra privati su piattaforme come Subito.it o Vinted, la scelta del metodo di pagamento è un atto giuridico che determina il livello di protezione in caso di frode. Molti in Italia si affidano alla ricarica di una carta prepagata, come la PostePay, per la sua semplicità. Tuttavia, dal punto di vista legale, questo equivale a consegnare contanti: una volta effettuata la ricarica, non esiste un meccanismo strutturato di tutela per il compratore se la merce non arriva.

PayPal, al contrario, offre un programma di “Protezione acquisti” che agisce come una sorta di arbitrato. Se paghi selezionando l’opzione “Beni e Servizi” (che comporta una piccola commissione per il venditore), hai 180 giorni per aprire una contestazione. In questo scenario, l’onere della prova si inverte: è il venditore a dover dimostrare di aver spedito l’oggetto. Se non può farlo, PayPal rimborsa l’acquirente. Questo meccanismo di tutela è assente nelle transazioni “Amici e Familiari” e nelle ricariche di prepagate.

Anche le carte di credito tradizionali offrono una tutela, il cosiddetto “chargeback”, ma la procedura è spesso più lenta e burocratica rispetto a PayPal, e l’onere della prova può essere condiviso tra acquirente e venditore. Come evidenziato dal Garante Privacy, è fondamentale utilizzare metodi che garantiscano tracciabilità e possibilità di contestazione. Un semplice esempio pratico: se acquisti un oggetto da 200€ su Subito.it e paghi con ricarica PostePay, se il venditore sparisce hai perso i tuoi soldi. Se paghi con PayPal “Beni e Servizi”, hai ottime possibilità di essere rimborsato.

PayPal vs PostePay vs Carta di Credito per acquisti online
Criterio PayPal PostePay Evolution Carta di Credito
Protezione acquisti 180 giorni No dedicata Chargeback 120gg
Velocità rimborso 10-20 giorni 60+ giorni 30-60 giorni
Onere della prova Sul venditore Sul compratore Condiviso
Costi contestazione Gratuita Possibili spese Gratuita
Protezione tra privati Sì con ‘Beni e Servizi’ Nessuna Limitata

Perché usare l’App IO ti evita di perdere scadenze e avvisi importanti?

In un ecosistema digitale dominato da aziende private che monetizzano i dati, l’App IO rappresenta un’alternativa radicalmente diversa per l’interazione con la Pubblica Amministrazione italiana. Il suo valore non risiede solo nella comodità di ricevere avvisi di pagamento e documenti in un unico luogo, ma nel suo fondamento giuridico: è un servizio pubblico, gestito da una società pubblica (PagoPA S.p.A.), progettato secondo i principi di privacy by design del GDPR.

A differenza dei servizi commerciali, l’App IO non ha un modello di business basato sulla profilazione pubblicitaria. I tuoi dati non vengono venduti a terzi né utilizzati per scopi commerciali. L’accesso tramite SPID o Carta d’Identità Elettronica (CIE) garantisce un livello di sicurezza e di certezza dell’identità superiore a qualsiasi login social. Questo previene furti d’identità e garantisce che le comunicazioni con valore legale (come un avviso di scadenza della TARI o una multa) raggiungano il destinatario corretto.

La gestione dei dati è uno dei punti di forza del sistema. Secondo PagoPA S.p.A., tutti i dati sono conservati su server localizzati in Italia e nel resto dell’Unione Europea, quindi sotto la giurisdizione del GDPR. I dati sensibili, come quelli delle carte di pagamento inserite per il cashback o altri bonus, sono protetti secondo i più alti standard di sicurezza bancaria. Questo approccio offre vantaggi di privacy intrinseci rispetto a servizi gestiti da entità extra-UE.

  • Identità certa: L’accesso tramite SPID/CIE elimina il rischio di omonimie o furti d’identità nelle comunicazioni ufficiali.
  • Nessun fine di lucro: I dati sono gestiti da una società pubblica (PagoPA S.p.A.) il cui scopo è fornire un servizio, non generare profitto dalla profilazione.
  • Conformità nativa al GDPR: Con server esclusivamente in UE, l’applicazione della normativa europea sulla privacy è garantita.
  • Sicurezza: In caso di furto dello smartphone, è possibile effettuare il logout da remoto per proteggere l’accesso ai propri documenti.

Utilizzare l’App IO significa quindi affidarsi a un’infrastruttura pensata per il cittadino, non per il consumatore, dove la protezione dei dati non è un’opzione, ma il fondamento del servizio.

Da ricordare

  • Considera ogni servizio “gratuito” come un contratto legale in cui i tuoi dati sono la valuta di scambio.
  • Adotta un approccio proattivo alla privacy scegliendo strumenti “privacy-by-design” come DuckDuckGo per le ricerche sensibili e l’App IO per i servizi pubblici.
  • La sicurezza digitale si basa su una gestione consapevole delle password e sull’attivazione sistematica dell’autenticazione a due fattori.

Come creare e ricordare password sicure diverse per ogni sito senza impazzire?

La gestione delle password è la pietra angolare della sicurezza del nostro patrimonio digitale. Usare la stessa password, o varianti semplici della stessa, per più servizi è l’equivalente di usare la stessa chiave per casa, auto e ufficio. Se un criminale ottiene quella chiave (ad esempio, a seguito di un data breach su un sito poco sicuro), ha accesso a tutta la nostra vita digitale. Dal punto di vista legale, una scarsa igiene delle password può avere conseguenze devastanti. Per un’azienda, una violazione dei dati causata da credenziali compromesse può portare a sanzioni GDPR che arrivano fino a 20 milioni di euro o al 4% del fatturato.

La soluzione non è affidarsi alla memoria, ma alla tecnologia. L’unica strategia sostenibile è utilizzare un password manager. Questi strumenti (come Bitwarden, 1Password o quello integrato in browser come Chrome e Firefox) generano password uniche e complesse per ogni sito e le memorizzano in una cassaforte digitale, protetta da un’unica “master password”. Tu devi solo ricordare quella. Questo approccio non solo aumenta esponenzialmente la sicurezza, ma semplifica anche la vita, compilando automaticamente le credenziali.

Ma una password forte non basta. Il secondo pilastro è l’autenticazione a due fattori (2FA). Attivarla significa che, anche se un ladro ruba la tua password, non può accedere al tuo account senza un secondo codice, generato sul tuo smartphone. È fondamentale preferire le app di autenticazione (come Google Authenticator o Authy) agli SMS, poiché questi ultimi possono essere intercettati con tecniche di “SIM swapping”.

Piano d’azione: La tua checklist per la sicurezza digitale

  1. Password uniche: Adotta un password manager per generare e salvare una password diversa e complessa per ogni singolo account.
  2. Autenticazione a due fattori (2FA): Attiva la 2FA su tutti i servizi critici (email, social, home banking), privilegiando le app di autenticazione rispetto agli SMS.
  3. Controllo periodico degli accessi: Usa strumenti come il “Controllo Sicurezza” di Google per verificare regolarmente quali dispositivi e app hanno accesso ai tuoi account e revoca le autorizzazioni non necessarie.
  4. Pulizia automatica dei dati: Imposta, dove possibile (es. su Google), l’eliminazione automatica della cronologia di attività e localizzazione dopo un certo periodo (es. 3 o 18 mesi).
  5. Verifica delle app collegate: Controlla regolarmente le applicazioni di terze parti a cui hai dato accesso ai tuoi account Google o Facebook e rimuovi quelle che non usi più.

Seguire questi cinque punti non è un esercizio tecnico, ma l’implementazione di una strategia legale di difesa del proprio patrimonio digitale. È l’atto finale che chiude il cerchio della sovranità sui propri dati.

Domande frequenti sulla gestione dei tuoi dati personali

Come posso nominare un erede digitale per il mio account Google?

Google offre la funzione ‘Gestione account inattivo’ che permette di decidere cosa succede ai tuoi dati dopo un periodo di inattività, includendo la possibilità di condividerli con persone fidate.

Facebook permette di trasformare il profilo in commemorativo?

Sì, Facebook permette di designare un contatto erede che può gestire il profilo commemorativo dopo la morte, oppure si può scegliere l’eliminazione permanente dell’account.

Gli eredi possono accedere agli account SPID del defunto?

No, lo SPID è strettamente personale e viene disattivato dopo il decesso. Gli eredi devono seguire procedure specifiche presso la PA per accedere a eventuali pratiche digitali pendenti.

Scritto da Giulia Romano, Avvocato Amministrativista e Consulente per la Pubblica Amministrazione, esperta di burocrazia digitale e diritti del cittadino. Opera a Roma supportando privati e imprese nella navigazione delle normative italiane.
Come l’inverno demografico italiano influenzerà le tue tasse nei prossimi 5 anni?
Come distinguere un vero brand eco-responsabile italiano dal marketing ingannevole?
Novità del sito
Come applicare lo stoicismo quotidiano per gestire gli imprevisti della vita moderna?
Come iniziare a meditare se sei una persona scettica e iper-razionale?
Come riconoscere i segnali fisici del burnout prima di crollare emotivamente sul lavoro?
Come andare al lavoro in bici a Milano/Roma senza arrivare sudati e stressati dal traffico?
Come inserire 20 minuti di esercizio efficace nella giornata di un genitore lavoratore?
Post simili
Farsi nuovi amici dopo i 30 anni: la guida per creare legami significativi (senza sembrare disperati)
Come costruirsi una rete sociale solida in una nuova città italiana partendo da zero?
Come partecipare a una sagra di paese comportandosi come un locale e non come un estraneo?
Come gestire l’integrazione scolastica in classi multilingue senza rallentare il programma?