Avendo una base di cyber security e di legal associato al GDPR credo l’informativa più onesta che si possa dare agli utenti sia quella che segue. Fare addirittura siti interi per spiegare come verranno trattati i dati, mi sembra un modo per nascondere come verranno davvero trattati.
Informativa per il trattamento dei dati personali ai sensi del Gdpr
Raccogliamo i tuoi dati per fini di servizio e profilazione.
La profilazione è l’anima della aziende moderne e non possiamo fare a meno di farlo, per restare sul mercato.
Cercheremo di difendere i tuoi dati al meglio delle nostre possibilità tecniche ed economiche, ma prima o poi subiremo un attacco che non riusciremo non solo a difendere, ma che scopriremo mesi dopo. Quindi ti chiediamo di inserire il minimo numero possibile di dati e ti invitiamo a non darci dati che non siano richiesti. Noi cercheremo di evidenziare con chiarezza i soli dati obbligatori.
Appena capiremo di essere stati attaccati, ti informeremo subito.
Non daremo dati a terzi, a meno che sia necessario per l’erogazione del servizio (ovvero non monetizzeremo i tuoi dati facendolo diventare il nostro core business).
Ti ricordiamo che il dato è il potere del nostro millennio, quindi consigliamo di pensarci due volte prima di condividere dati non necessari, sia a noi che ad altri.
Abbiamo davvero rispetto di te, per cui ti diciamo le cose come stanno.
L’informativa (onesta) nel dettaglio
- “Raccogliamo i tuoi dati per fini di servizio e profilazione. La profilazione è l’anima della aziende moderne e non possiamo fare a meno di farlo, per restare sul mercato”
In queste due righe c’è l’onestà fatta Informativa. Ormai le aziende di tutto il mondo raccolgono dati degli utenti (mediante newsletter, registrazioni, utilizzo, comportamento, geolocalizzazione) alla scopo di profilare l’utente e le sue abitudini. E’ più il dato è quantitativamente numeroso e più fresco (ovvero quanto più l’utente usa il servizio, che sia Gmail, Android, Facebook o quant’altro) più le aziende profilano meglio la persona e riescono a dargli informazioni mirate per influenzare il suo comportamento, attirare la sua attenzione e invogliarlo a comprare qualcosa. Quindi affermare un’informativa che l’utente sarà profilati è dire semplicemente quello che succede.
D’altra parte, è anche uno dei pochi modi che hanno numerose big tech di rimanere sul mercato, perché fanno più soldi grazie alla profilazione e pubblicità che veicolano che non grazie ai servizi che offrono. Ovvero la pubblicità permette loro di fare buona parte dei fatturati e dei ricavi, ma non solo: come nel caso di Cambridge Analytica, vendere queste profilazioni di massa permette di fare altri ricavi.
- “Cercheremo di difendere i tuoi dati al meglio delle nostre possibilità tecniche ed economiche, ma prima o poi subiremo un attacco che non riusciremo non solo a difendere, ma che scopriremo mesi dopo”.
Anche qui c’è onestà intellettuale. Difenderemo i sistemi che abbiamo, ma siamo consci che ormai il cyber crime è un mondo industrializzato lontano dal ragazzo dello scantinato sotto casa. Si tratta di gruppi di professionisti e aziende intere che lavorano per attaccare sistemi di grandi aziende, partendo spesso dai loro fornitori. Quindi la difesa è fondamentale e l’impegno a difendersi è una garanzia, ma può essere che non basti.
- “Quindi ti chiediamo di inserire il minimo numero possibile di dati e ti invitiamo a non darci dati che non siano richiesti. Noi cercheremo di evidenziare con chiarezza i soli dati obbligatori”.
Considerato che un attacco che riuscirà prima o poi ci sarà, l’unica mossa preventiva è quella di fornire e chiedere il numero minimo di dati, perché il rischio che un sistema venga violato è reale, è probabile e posso tutelarmi solo immettendo nei sistemi dei servizi che voglio utilizzare solo il minimo numero di informazioni che voglio rendere eventualmente hackerabili.
- “Appena capiremo di essere stati attaccati, ti informeremo subito”.
Informare immediatamente di un attacco subito, non è una cosa da poco perché spesso prima va fatta una valutazione di impatto reputazionale o quant’altro, anche se ormai il danno è fatto.
- “Non daremo dati a terzi, a meno che sia necessario per l’erogazione del servizio (ovvero non monetizzeremo i tuoi dati facendolo diventare il nostro core business)”.
Nelle informative spesso viene chiesto di fare due o tre firme, di cui una è sempre associata alla possibilità di dare a terzi (ovvero commercializzare) i dati della persona che vuole fruire del servizio. Questo è piuttosto fastidioso, perché già dare i dati ad una società espone a dei rischi, darli a terzi che nemmeno so chi sono può essere ancora più pericoloso, visto che i soldi rendono ogni trattativa accettabile e quindi non è detto che vengano fatte analisi particolari prima di vendere dati a terzi, oppure questi terzi potrebbero non essere in grado di garantire la sicurezza che intendo avere dal fornitore del servizio per cui sto firmando l’informativa privacy. Per cui è importante che un’azienda dica espressamente che non cede dati a terzi (o che li cede e anche per che fini).
- “Ti ricordiamo che il dato è il potere del nostro millennio, quindi consigliamo di pensarci due volte prima di condividere dati non necessari, sia a noi che ad altri”.
Questa è per i millennials e le generazioni successive. Fare “accetta” quando si installa un’app, oppure inserire dei dati per riuscire a fare qualcosa, per un millennials è la normalità, come è normale postare foto su Whatsapp o su Facebook o su Instagram. Non c’è nemmeno il dubbio di non farlo, perché si è nati con lo smartphone in mano. Cercare di creare consapevolezza sul rischio di rendere pubblici propri pensieri, momenti, immagini, situazioni, è importante ed un’informativa dovrebbe avere anche questo ruolo: rendere consapevoli dei rischi.
- “Abbiamo davvero rispetto per te, per cui ti diciamo le cose come stanno”.
Qui entriamo nel vero senso di un’informativa, che dovrebbe informare sui rischi reali (quelli descritti) e non fare confusione (come tante informative lunghe pagine che nessuno legge).