Ad affermarlo è Giovanni Buttarelli, Garante Europeo per la protezione dei dati

Scienza e fantascienza: le nuove frontiere della privacy

Prima l’allarmismo, poi le maniere forti. Dopo essere stato oggetto di contestazione in quella che è probabilmente la più grande azione di lobbying nella storia dell’Unione europea, alla fine di maggio il regolamento generale sulla protezione dei dati è divenuto pienamente applicabile.

Da allora sono stati notevoli gli sforzi per la messa in conformità con la nuova normativa, sforzi che le autorità di regolamentazione riconoscono e apprezzano. Nel contempo, però, i consumatori si sono sentiti indotti o persino costretti dalle grandi imprese ad accettare lo status quo, il che è chiaramente in contrasto, se non con la lettera, di certo con lo spirito del nuovo regolamento.

Il GDPR vuole anche ovviare all’enorme squilibrio di potere tra le grandi imprese del web e gli utenti, dando loro maggiori poteri di controllo sui dati personali e chiamando le imprese stesse a rendere meglio conto dell’uso che fanno di tali dati. Il regolamento sostituisce la direttiva del 1995 sulla protezione dei dati, la cui attuazione ha richiesto l’adozione di norme nazionali in ciascuno dei 28 Stati membri dell’UE. Inoltre, il regolamento offre ai cittadini e alle imprese un unico testo normativo che disciplina le principali questioni relative alla protezione dei dati personali. I giganti della tecnologia hanno ora un unico punto di contatto, invece di 28.

Il nuovo regolamento, come già la precedente direttiva, stabilisce che qualsiasi trattamento di dati personali dovrebbe essere «lecito e corretto». Per poter trattare i dati in modo lecito, le imprese devono individuare la base più adeguata a tal fine.

Il metodo più comune consiste nell’ottenere il consenso liberamente espresso e consapevole della persona cui si riferiscono i dati. Un’impresa può anche avere un «legittimo interesse» a utilizzare dati nel perseguimento dei propri obiettivi aziendali, purché tale utilizzo non pregiudichi indebitamente i diritti e gli interessi della persona interessata.

Si prenda, ad esempio, il caso di una pizzeria che tratta i vostri dati personali, come l’indirizzo di casa, per consegnarvi la pizza che avete ordinato. Si può ritenere che la pizzeria possa avere un legittimo interesse a conservare successivamente i vostri dati per un periodo di tempo ragionevole, per inviarvi comunicazioni sui servizi che offre. Così facendo, la pizzeria non viola i vostri diritti, bensì si limita a perseguire i propri interessi aziendali. Quello che, invece, non può fare è comunicare i vostri dati al vicino negozio di bevande senza avervi prima contattato e chiesto il consenso.

Un terzo aspetto rilevante per il trattamento lecito dei dati riguarda i contratti conclusi tra un’impresa e i suoi clienti. Quando, ad esempio, acquistate un prodotto on-line, concludete un contratto. Tuttavia, affinché l’impresa possa adempiere a tale contratto e inviarvi la merce ordinata, dovete comunicarle i dati relativi alla vostra carta di credito e l’indirizzo di consegna. In tale contesto, l’impresa può anche legittimamente conservare i vostri dati, in base alle condizioni previste da questo limitato rapporto tra impresa e cliente.

Tuttavia, a norma del GDPR, un contratto non può essere utilizzato per ottenere il consenso. A quanto risulta, alcune grandi imprese utilizzano contratti «prendere o lasciare» per giustificare le proprie pratiche di raccolta indiscriminata di dati, come testimoniano le centinaia di messaggi in cui ci viene comunicato che non possiamo continuare a utilizzare un servizio se non diamo il nostro consenso alla politica sull’utilizzo dei dati.

È capitato a tutti di trovarsi di fronte alla finestra di pop-up che ci propone l’opzione di accettare semplicemente le condizioni cliccando su un pulsante colorato, mentre le opzioni «Gestire le impostazioni» o «Maggiori informazioni» sono spesso disabilitate. Una questione importante da considerare è la misura in cui un’impresa può giustificare la raccolta e l’utilizzo di massicce quantità di informazioni allo scopo di offrire un servizio “gratuito”.

Conformemente alla legislazione dell’UE, una clausola contrattuale può essere abusiva se «determina, a danno del consumatore, un significativo squilibrio dei diritti e degli obblighi delle parti derivanti dal contratto». L’UE vuole impedire che le persone vengano convinte ad «acconsentire» abusivamente a contratti e ad accettare che i propri dati siano sorvegliati, in cambio di un servizio. Inoltre, le imprese non sono, di norma, autorizzate a trattare senza il «consenso esplicito» dell’interessato informazioni sensibili, tali da rivelare la sua origine razziale o le sue opinioni politiche, le sue convinzioni religiose e i suoi dati genetici e biometrici.

In effetti, alle autorità di regolamentazione si chiede di stabilire se la divulgazione di quantità di dati così elevate sia realmente necessaria per l’erogazione di servizi – che si tratti di commercio elettronico, ricerca di informazioni o social media.

Un principio fondamentale da tenere a mente è che chiedere il consenso a una persona dovrebbe essere considerata una richiesta insolita, perché chi l’avanza ha spesso l’intenzione di utilizzare i dati personali per uno scopo che l’interessato può non approvare o potrebbe ragionevolmente non aspettarsi. Pertanto, le imprese dovrebbero avere il dovere, nell’ambito dell’assistenza ai clienti, di compiere verifiche tra gli utenti o i frequentatori abituali in modo onesto, trasparente e rispettoso.

Come ha rivelato lo scandalo Facebook/Cambridge Analytica, permettere a un’impresa esterna di raccogliere dati personali non era un tipo di servizio che gli utenti si sarebbero ragionevolmente aspettati. È evidente che l’abuso è diventato la norma. Un obiettivo dell’istituzione dell’UE per la protezione dei dati, che ho l’onore di dirigere, è di porre fine a tali abusi.

Le autorità di contrasto indipendenti dell’UE – almeno una in ciascuno Stato membro dell’UE – stanno già indagando su trenta casi di presunte violazioni di questo tipo, comprese le denunce presentate dagli attivisti del gruppo NOYB («none of your business», ossia «non sono affari tuoi»). L’opinione pubblica potrà vedere i primi risultati di quest’attività già entro la fine dell’anno. Le autorità di regolamentazione faranno ricorso a tutti i loro poteri di contrasto per ovviare agli abusi, anche imponendo sanzioni pecuniarie.

Il GDPR non è perfetto, ma è entrato in vigore forte di uno straordinario consenso politico trasversale, smentendo così la crescente frammentazione politica che caratterizza i nostri tempi. Ad oggi, giugno 2018, 126 paesi di tutto il mondo hanno adottato leggi moderne in materia di protezione dei dati, ampiamente modellate sull’approccio europeo. Questo mese lo farà anche il Brasile, che diventerà, quindi, il più grande Paese a essersi dotato di leggi di questo tipo. È probabile che dopo il Brasile si aggiungano anche il Pakistan e l’India, che di recente hanno pubblicato proposte legislative in materia.

Tuttavia, seppure gli sforzi più recenti costituiscano un precedente a cui fare affidamento, la riforma della protezione dei dati viene effettuata all’incirca ogni vent’anni – un’eternità, vista la rapidità dei cambiamenti tecnologici. Resta ancora da completare la preparazione del regolamento sull’e-Privacy, tuttora in fase di negoziazione, che avrà lo scopo di impedire alle imprese di continuare a spiare le comunicazioni private e di obbligarle a chiedere – questa volta – un consenso vero all’uso dei metadati relativi alle persone con cui parlate, a dove e quando lo fate.

In ogni caso, sto già pensando al futuro dopo il GDPR: un manifesto mirato a sburocratizzare e tutelare in modo ancora più efficace le identità digitali delle persone. Sviluppatori, imprese e regolatori dovrebbero trovare un consenso sull’impostazione etica delle decisioni in materia di applicazione delle tecnologie digitali. I dispositivi e la loro programmazione dovrebbero essere preimpostati in modo tale da tutelare meglio la vita privata e la libertà delle persone. Sarà quindi possibile deconcentrare l’ipercentralizzata Internet di oggi (come auspicato da Tim Berners-Lee, il suo inventore) redistribuendo più equamente i dividendi digitali e restituendo il controllo delle informazioni dalle grandi imprese tecnologiche e dallo Stato ai singoli cittadini.

Si tratta di un progetto a lungo termine, che tuttavia deve essere realizzato con la massima urgenza perché il mondo digitale si evolve sempre più rapidamente.

 

Articolo di Giovanni Buttarelli, Garante Europeo per la protezione dei dati (EDPS), pubblicato il 14 agosto 2018 su The Washington Post e tradotto in italiano per Federprivacy a cura del Centro traduzioni del Parlamento Europeo