La salita verso una tutela effettiva dei dati personali e la sfida dei giganti del web
Autore: Dott.ssa Rosaria Pardini
Al giorno d'oggi si sente correntemente parlare di “diritto alla protezione dei dati personali”. Nell’attuale contesto sociale, infatti, l’elaborazione e la raccolta delle informazioni di un individuo sono divenute un’attività quotidiana, essenziale e funzionale alla gestione ordinaria di un’impresa.
Ma di quali attività stiamo parlando?
Di tutte quelle aziende pubbliche e/o private che con la propria attività imprenditoriale o professionale gestiscono qualsiasi tipo di dato, al fine di trattarlo direttamente o per necessità di avere un panorama preciso dell’identità personale dei loro clienti quali, ad esempio, tutti i “social network’”, i colossi delle vendite on line come Amazon o le piattaforme pubbliche e/o private di ricerca o di fornitura di servizi.
In quanti però, navigando su Internet, quando un sito web riporta un’informativa circa le modalità di trattamento dei dati personali, cliccano frettolosamente e in automatico sul tasto “consenti”, senza veramente conoscere i termini che stanno accettando e senza soffermarsi a leggere il contenuto dell'informativa?
È questa, dunque, la leggerezza più frequente: prestare il consenso all’elaborazione dei dati è ormai una prassi quotidiana ma, assai spesso, senza che vi sia una reale conoscenza circa il funzionamento di tale attività e ancor meno della relativa regolamentazione, oltretutto molto complessa.
L’inarrestabile sviluppo della tecnologia avvenuto negli ultimi anni ha condotto alla creazione di nuovi e svariati modelli di trattamento dei dati in molte aziende, le quali, in tal modo, sono riuscite a carpire sempre più informazioni su un individuo, nell’ottica di utilizzarle per personalizzare offerte di vendita o suggerimenti di acquisto. Tali metodi hanno inesorabilmente determinato un maggior rischio di perdita di controllo dei propri dati da parte del destinatario del trattamento, che infatti viene per così dire “spiato” a costo di inconsapevoli lesioni delle sfere di riservatezza e identità personale.
Si è, pertanto, sentita la necessità di una riforma in materia, al fine di prevedere un’armonizzazione tra gli Stati membri della disciplina applicabile a tutte le imprese con sede nell’Unione Europea nonché alle aziende di tutto il mondo che forniscono beni o offrono servizi all’interno dello spazio comunitario.
Tuttavia, le criticità non sono state ancora del tutto risolte.
Cerchiamo di capire insieme il perché.
È doveroso premettere che in data 25 maggio 2018 è entrato in vigore un nuovo Regolamento (UE) 2016/679 per la Protezione dei Dati, comunemente chiamato GDPR (acronimo di General Data Protection Regulation). Un testo di ben 99 articoli che ha portato all'abrogazione della precedente Direttiva 95/46, dalla quale presero vita le prime leggi di tutela dei dati personali, tra cui anche il nostro D.lgs 196/2003, noto come Codice della Privacy.
Tale intervento a livello europeo è sicuramente uno dei più significativi degli ultimi vent’anni in tema di protezione della privacy di un individuo, poiché con esso si intensifica il rigore della disciplina in materia di ciascun Stato membro, innalzando il livello di protezione del soggetto a cui le informazioni si riferiscono, a tal punto da inquadrarlo come diritto fondamentale della persona. Lo scopo consiste, dunque, nel tutelare i dati inerenti a tutte le persone fisiche dello spazio comunitario che vengono sottoposti a trattamento manuale o automatizzato da parte di aziende europee o straniere, ma operanti all’interno dell’area comunitaria. Gli obiettivi principali mirano a garantire maggior fiducia da parte dei consumatori nelle organizzazioni che conservano i loro dati, semplificare il libero flusso delle informazioni nell’Unione Europea e adattare la disciplina della privacy al mondo digitale comunitario. Dunque, si prospetta la creazione di un quadro di protezione dei dati molto più solido ed omogeneo fra tutti gli Stati membri.
Prima di proseguire nella disamina del tema che qui interessa, è opportuno precisare che un regolamento comunitario è un atto legislativo adottato a livello di Unione Europea, caratterizzato non solo da una portata generale che lo porta ad essere vincolante per tutti i Paesi membri, ma altresì da una cd. applicazione diretta, in tutti i suoi elementi, all'interno dell'ordinamento di ogni singolo Stato membro senza che sia necessaria l'emanazione di una legge nazionale che lo recepisca e senza che lo Stato possa modificarne il contenuto. Anzi, qualora dovessero insorgere contrasti tra la lettera della normativa europea e quella interna, il singolo Stato dovrà prontamente adoperarsi per revisionare o abrogare la propria disciplina. Quindi, una volta emanato, il Regolamento opera quale legge europea direttamente applicabile nei 28 paesi comunitari.
Ciò premesso, anche l’Italia si è dovuta adeguare alla neo-normativa comunitaria e, attraverso il D.lgs n° 101 del 19 settembre 2018, ha modificato la nota Legge Privacy del 2003, abrogando alcuni articoli ed integrando nuove disposizioni e principi, primo fra tutti quello di “accountability”, ossia di responsabilizzazione e dovere di rendicontazione, in base al quale il titolare del trattamento deve attuare misure tecniche ed organizzative adeguate a garantire una gestione dei dati in conformità del neo-regolamento. La valutazione di adeguatezza dovrà tener conto dei costi, dell’oggetto, delle finalità del trattamento nonché dei possibili rischi di lesione dei diritti e/o libertà fondamentali degli interessati.
Alla responsabilizzazione si affiancano i concetti di “data protection by design” e “data protection by default”, che impongono rispettivamente l’adozione di strumenti di protezione dei dati sin dal momento di progettazione dell’attività di trattamento e l’imposizione di un uso delle informazioni minimo e pertinente, ovvero esclusivamente necessario alle finalità specifiche di gestione dei dati.
Altra importante novità della neo normativa è, senza dubbio, la codificazione del diritto all’oblio, ossia la possibilità di decidere che i propri dati vengano cancellati e quindi non sottoposti ad un ulteriore trattamento: infatti, l’art. 17 del regolamento prevede l’obbligo per i responsabili dello stesso, qualora abbiano reso pubbliche le informazioni dell’interessato tramite, ad esempio, la loro pubblicazione su un sito web, di informare circa la richiesta di cancellazione altri titolari che hanno trattato e a cui interesserebbe continuare a sfruttare i dati personali cancellati.
Infine, sono stati previsti nuovi strumenti difensivi a favore dell’utente, che, ad esempio, in ipotesi di cd “data breach”, ossia di perdita, diffusione, distruzione indebita delle informazioni che lo riguardano a causa di eventi quali, ad esempio, un accesso abusivo informatico, può segnalare tale violazione entro 72 ore al Garante della privacy con una notifica disciplinata all’art. 33, par. 3 del GDPR. L’autorità medesima potrà poi prescrivere misure correttive o irrogare cospicue sanzioni pecuniarie, che per le imprese possono raggiungere fino al 2% del fatturato annuo mondiale.
Ad oggi, gli scopi della nuova normativa comunitaria orientati verso una circolazione maggiormente accessibile dei dati personali in seno all’Unione Europea nonché un progresso in tema di trasparenza e sicurezza nell’attività di gestione aziendale degli stessi sono stati parzialmente raggiunti. Infatti, molte imprese non hanno ancora ottimizzato le procedure di trattamento dei dati raccolti,non garantendo dunque una gestione degli stessi in linea con la trasparenza richiesta dal regolamento. Tale criticità incide sulla fiducia che gli utenti ripongono nei confronti delle aziende, che verrebbe rafforzata se invece, adeguandosi al GDPR, dimostrassero di trattare in sicurezza le loro informazioni ancor prima di raccoglierle. Infine, ma non per minore importanza, qualora tutte le aziende europee iniziassero seriamente a razionalizzare i loro processi di gestione dei dati, darebbero vita ad una sorta di competizione tra loro incrementando la ricchezza economica di tutto lo spazio comunitario. Senza dimenticare che, a fondamento di tale scenario vi è la preoccupazione, sentita sin dagli albori dell’applicazione del neo regolamento, per gli spazi di autonomia lasciati agli Stati membri nel regolamentare alcuni aspetti della materia che non rientrano nella competenza dell’Unione Europea. Infatti, sulla base del principio di attribuzione, che consente alla struttura comunitaria di agire solo in quegli ambiti che gli Stati hanno deciso di affidarle, il GDPR non disciplina alcuni tipi di trattamento, come, ad esempio, quello eseguito da persone fisiche per scopo domestico o personale o da autorità competenti per fini di indagine, accertamento o perseguimento di reati, i quali rimangono di competenza esclusiva dei Paesi comunitari. Tale circostanza potrebbe far emergere contrasti tra le diverse Autorità nazionali di controllo, le quali si potrebbero trovare spesso costrette ad adattare ed applicare il GDPR a discipline interne differenti, creando un’inevitabile quadro giuridico disomogeneo.
Ma torniamo al problema dell’“accountability” richiesta ai titolari del trattamento di dati personali.
A fronte di una maggior garanzia e consapevolezza di controllo da parte del singolo sulle modalità di tracciamento o gestione dei propri dati nel momento in cui vengono inviati ad aziende terze, la responsabilizzazione in materia, da parte di alcune categorie di imprese, risulta ancora molto carente. Infatti, gli artt. 4 e 7 della novella europea, che in seguito analizzeremo, prevedono una rigida disciplina a favore dell’utente in tema di prestazione del proprio consenso al trattamento dei dati personali, che nell’attuale pratica viene “vanificata” dalla condotta inadempiente delle imprese obbligate. Le stesse, infatti, in base all’art. 5, lett. a e b del GDPR, dovrebbero trattare i dati in modo lecito, corretto e trasparente e per finalità determinate, esplicite e legittime. Inoltre, non è sufficientemente garantita, come sarebbe imposto dall’art.12, l’adozione di misure consone a fornire all’interessato tutte le informazioni circa l’accesso, la rettifica, la conservazione e la cancellazione dei propri dati in forma concisa, trasparente, comprensibile ed accessibile con un linguaggio semplice e chiaro.
Il GDPR ha obbligato tutte le imprese, gli enti, le associazioni e i professionisti destinatari della normativa a nuovi equilibri tra le esigenze di pubblicità/trasparenza e quelle di tutela dei dati personali. Così facendo, non può che aver inesorabilmente inciso su tutte quelle aziende che vivono di elaborazione di informazioni, profilazione e pubblicità online, senza risparmiare anche i più grandi colossi del settore, come Apple e Facebook, che sul loro server possiedono dati di milioni di utenti. Difatti, il timore che la puntuale applicazione del neo-regolamento avrebbe condotto ad un calo della raccolta pubblicitaria è sfociato in uno scontro tra i giganti del web circa i diversi metodi di approccio nell’attuazione della normativa, dettato in particolar modo dai loro diversi modelli di business. In particolare, il principale tema di contrasto tra le maxi-aziende è stato fin da subito la trasparenza a garanzia dell’utente circa gli scopi e le modalità di trattamento dei suoi dati.
Per meglio comprendere i motivi di conflitto tra le due “grandi” della tecnologia e le relative conseguenze, bisogna fare un passo indietro e analizzare brevemente le condizioni di consenso al trattamento imposte dalla riforma comunitaria: innanzitutto, tornando all’art. 4, esso definisce quest’ultimo come “qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione scritta o azione positiva inequivocabile al trattamento dei dati personali che lo riguardano. In particolare, poi, l’art 7 chiarisce che “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. Orbene, non si riscontra alcun rimando a forme di consenso tramite silenzio, inattività o preselezione di caselle.
Quindi: Come si sono attivate Apple e Facebook in tal senso?
Quanto ad Apple, dato che la sua principale fonte reddituale deriva dalla vendita dei suoi dispositivi e servizi, la stessa non può che avere aver messo il suo consumatore al primo posto, adeguandosi molto più velocemente alle nuove regole in tema di consenso. Difatti, già a partire da iOs 11.3 e macOS 10.13.4, l’utente viene avvisato ogni qualvolta si condividono informazioni sensibili con l’azienda. Inoltre, accedendo alla pagina contenente l’account ID Apple su Mac, PC, Iphone o Ipad, con un’interfaccia semplice ed immediata, l’utente può visualizzare tutte le informazioni personali archiviate da Apple, scaricarne una copia, eliminarle definitivamente o richiederne una correzione.
Caso totalmente opposto risulta essere quello di Facebook, società fondata sulla raccolta di informazioni personali degli iscritti e di pubblicità profilata. Difatti, grazie all’IDFA (ID for Advertisement), il server può unire ad un profilo di un utente tutte le attività che la stessa persona svolge quando non è attiva sul social network o usa il proprio smartphone per altre attività. Lo scopo è certamente quello di garantire una pubblicità mirata per il fruitore del servizio, il quale, ogni volta che andrà a leggere le ultime notizie sulla propria homepage di Facebook, potrà riscontrare le inserzioni pubblicitarie di suo maggiore interesse. Tale modello business avvantaggia soprattutto le piccole e medie imprese che, in tal modo e a costo moderato, riescono a promuovere i loro prodotti verso un target preciso di soggetti interessati.
Stante gli obiettivi da perseguire quotidianamente, non è un caso che la grande macchina di Zuckerberg non si sia ancora del tutto adeguata agli standard del regolamento comunitario, operando in modo complicato e poco trasparente: sulla schermata di informativa circa la gestione dei dati personali non sono stati inseriti due tasti identici “accetto” e “non accetto”, bensì un tasto blu “ accetta e continua” ben visibile e un tasto per scegliere le impostazioni della privacy semi nascosto e non immediatamente individuabile. Pertanto, l’utente viene informato in ordine agli scopi del tracciamento dei propri dati, ma la possibilità di gestire la raccolta di questi ultimi è meno pubblicizzata e raggiungibile, creando una disparità tra le due possibilità, contraria a quanto richiesto dalla riforma. Infatti, il già citato art. 12 del GDPR imporrebbe al titolare del trattamento l’adozione di tutte le misure sopra elencate mentre, come già detto, Facebook è una di quelle piattaforme che ci induce meramente a cliccare d’istinto su una casella, con scarsa consapevolezza circa l’operazione compiuta.
Qualora l’interessato avvertisse tale condotta quale lesiva dei nuovi dettami comunitari, gli artt. 77 e 79 del Regolamento prevedono due strade difensive praticabili: il primo consente la proposizione di un reclamo all’autorità di controllo competente dello Stato membro del luogo in cui il danneggiato risiede o lavora oppure ove si è verificata la presunta violazione; il secondo invece, contempla la possibilità di un ricorso giurisdizionale dinnanzi all’organo in cui il presunto autore della lesione possiede uno stabilimento o, salvo il caso in cui quest’ultimo sia un’autorità pubblica atta a trattare i dati nell’esercizio di poteri, quello di residenza abituale dell’interessato.
Le visioni delle due aziende americane sulle politiche privacy sono sempre state fonte di dibattito e negli ultimi mesi, la cd App Tracking Transparency, (Applicazione di trasparenza di tracciamento), le ha portate di nuovo sotto i riflettori: con tale nuova funzione lanciata dalla società di Cupertino per il programma 2021 presente nel nuovo sistema operativo dei suoi dispositivi iOS14 si intende richiedere agli utenti il consenso esplicito ad essere tracciati ai fini di pubblicità commerciale, facendo scegliere loro se vogliano acconsentire o meno a che i loro dati vengano trascritti su altre app o siti web.
Una domanda sorge spontanea: è giusto rafforzare la tutela della privacy, diritto umano e libertà civile, seppur in un’ottica di maggior profitto aziendale, oppure continuare a garantire alle piccole imprese di utilizzare la pubblicità di Facebook per raggiungere nuovi clienti senza ulteriori restrizioni? Senza dimenticare che la gratuità dei servizi che l’azienda di Menlo Park offre, dipende proprio dalla vendita di tali inserzioni pubblicitarie mirate.
In un contesto di corrette logiche concorrenziali e leciti trattamenti dei dati personali, la posizione di Apple dovrebbe esser considerata irreprensibile. Ma se il mondo del web consentisse ai suoi protagonisti di agire arbitrariamente, senza essere puniti o tracciati per le proprie condotte, cosa succederebbe? Apple non avrebbe semplicemente sfruttato a suo vantaggio le nuove regole a tutela degli utenti per recare danno ad un concorrente?
Ad oggi, invece, tra i due colossi dell’e-commerce, la piattaforma di Zuckerberg è in posizione di netto svantaggio. Con provv. 27432 del 29 novembre 2018, l’Autorità Garante della Concorrenza e del Mercato aveva già accertato che il social network induceva ingannevolmente gli utenti a registrarsi sulla propria piattaforma non informandoli in modo tempestivo e adeguato circa l’attività di raccolta dei dati da loro forniti ai fini commerciali e più in generale circa gli scopi remunerativi sottesi al servizio, enfatizzandone la gratuità. Oltre a sanzionare l’azienda per cinque milioni di euro, l’Autorità aveva vietato l’ulteriore diffusione della pratica ingannevole nonché imposto la pubblicazione di una dichiarazione di rettifica sulla homepage del sito Internet aziendale per l’Italia, sull’app Facebook e sulla pagina personale di ciascun iscritto. Tuttavia, la società di Zuckerberg non si mai è adeguata a tali imposizioni, ostinandosi addirittura ad impugnarle dinanzi al Tar ed in secondo grado al Consiglio di Stato ottenendo, dapprima, il dimezzamento della sanzione pecuniaria irrogata e adesso attende il suo totale azzeramento.
Ciononostante, la mancata dichiarazione di rettifica e la perseverante pratica commerciale scorretta hanno determinato una seconda recentissima condanna da parte dell’AGCOM che, con provvedimento del 17.2.2021, ha ulteriormente sanzionato il social network per complessivi sette milioni di euro.
Eppure il colosso non molla la presa, ed anzi, è attualmente in attesa dei risvolti dell’appello, forte dei cambiamenti apportati alle “condizioni d’uso” dei dati che dovrebbero, a suo parere, garantire e rendere maggiormente edotti gli utenti sui fini perseguiti, in linea con quanto sancito dal Regolamento.
Ma potrebbe anche permettersi di continuare sulla linea tenuta fino oggi? In fondo, porre troppe restrizioni alle compagne pubblicitarie su un social network così potente potrebbe davvero danneggiare tante piccole e medie imprese, che, specialmente durante questo periodo di emergenza pandemica, saranno sicuramente riuscite a raggiungere nuovi clienti continuando soprattutto a servirsi di tali metodi promozionali.
La vicenda ci fa riflettere su quanto, oggi, i metodi di trattamento e gestione dei nostri dati abbiano rilevanza economica per tutte le aziende, a tal punto da spingerle a non curarsi di sanzioni o cause legali. I risvolti conflittuali finora approfonditi, legati all’attuazione delle norme comunitarie in materia di trasparenza e sicurezza delle informazioni personali, non favoriscono gli obiettivi di armonizzazione della disciplina in tema di privacy tra gli Stati membri.
Ciononostante, lo standard europeo di protezione dei dati personali è stato ampiamente apprezzato dai numeri uno di Facebook, Google e soprattutto Apple, tanto che, il CEO di quest’ultima, Tim Cook, intervenuto alla Conferenza sulla privacy, tenutasi a Bruxelles il 28 gennaio scorso, ha espresso il suo favore per l’introduzione di un’analoga disciplina anche negli Stati Uniti.
Riproduzione riservata.
Comments