La recente notizia di una indagine in merito a sospette manovre di Google, promossa dal web browser di nicchia Brave presso l’Autorità irlandese per la protezione dei dati, che supervisiona il business europeo della web company americana, solleva non pochi dubbi e molti timori: secondo l’accusa, riportata qualche giorno fa dal Financial Times, Google starebbe segretamente usando pagine web nascoste che forniscono agli inserzionisti i dati personali dei propri utenti, aggirando non solo la normativa del GDPR ma la sua stessa privacy policy.
Noi non siamo in grado di valutare la veridicità dell’accusa e onestamente speriamo che sia infondata, ma se essa dovesse esser confermata si solleveranno, verosimilmente, polemiche e discussioni non dissimili da quelle che hanno investito Facebook qualche mese fa, dopo lo scandalo Cambridge Analytica.
E dovrebbero far riflettere da un lato sulla validità degli strumenti di difesa che abbiamo a disposizione ma, dall’altro, anche sulla nostra consapevolezza circa il valore dei nostri dati.
Gli affari delle web company coi nostri dati
Per anni, le società di social media hanno fatto intendere al pubblico che i loro servizi sono gratuiti per l’utente. In realtà lo scandalo di Cambridge Analytica ha tangibilmente confermato all’utente medio una circostanza da tempo denunciata dagli addetti ai lavori, cioè che i dati personali degli utenti sono usati come moneta di scambio con altre aziende del settore e che, in quanto tali, hanno un immenso valore per i giganti di internet.
Le aziende che gestiscono i social network generalmente si finanziano vendendo pubblicità mirate. Il valore di queste imprese è strettamente legato anche alla loro capacità di analizzare in dettaglio il profilo degli utenti, le abitudini e i loro hobby, ma anche le condizioni di salute e l’orientamento politico o sessuale, le reti di contatti, per poi rivendere le informazioni a chi se ne servirà per promuovere offerte commerciali specifiche o per sostenere campagne di vario genere. Spesso e volentieri nel web dietro l’offerta di un servizio “gratuito” – la condivisione di dati e immagini in tempo reale con ‘amici’ sparsi per il globo, la partecipazione a una rete di contatti professionali, la fruizione di un servizio di messaggistica e telecomunicazione – si nasconde lo sfruttamento per molteplici scopi dei dati degli utenti: le informazioni raccolte su ciascun utente sono infatti usate per monitorare e prevedere i suoi acquisti, le sue scelte, i suoi comportamenti e dare gli input giusti ai partner commerciali che pagano per averli.
Tutela dei dati: si muovono anche gli Usa
Proprio con lo scopo di ottenere un certo livello di trasparenza sull’aspetto più nascosto dell’economia tecnologica, cioè l’effettivo valore dei dati personali degli utenti, negli Stati Uniti è stata presentata una proposta di legge che costringerebbe società come Google, Amazon e Facebook, a informare gli utenti sul valore dei loro dati personali.
La legge, che prende il nome di Dashboard (“Designing Accounting Safeguards to Help Broaden Oversight And Regulations on Data”), è stata presentata dal senatore democratico della Virginia, Mark Warner, e dal senatore repubblicano del Missouri, Josh Hawley. La legge obbligherebbe i servizi che contano oltre 100 milioni di utenti attivi mensilmente a (i) rivelare quali dati sono raccolti e come sono utilizzati; ma soprattutto (ii) fornire una valutazione, periodicamente aggiornata, del valore di tali dati e un rapporto annuale nel quale sia riportato la somma totale del valore delle informazioni che vengono utilizzate da terze parti.
Questo percorso verso la creazione di consapevolezza sul valore dei dati, che dovrebbe servire a creare delle tutele e consentire alle autorità competenti di identificare e auspicabilmente colpire pratiche scorrette, è stato appena avviato dagli Stati Uniti, almeno fino ad un passato abbastanza recente poco inclini ad occuparsi del tema della tutela dei dati personali. A tale riguardo, rispetto agli Stati Uniti, l’Europa è stata invece sempre molto più avanti, quanto a tutela legislativa, raggiungendo con il GDPR l’obiettivo dell’armonizzazione normativa, da tempo tanto fortemente voluto quanto più, con il passare del tempo, l’avanzata delle società della comunicazione risultava essere un fenomeno evidente e inarrestabile.
La vera svolta del Gdpr: non rispettare la legge può costare chiaro
La vera svolta del GDPR è quella di avere spostato il baricentro della tutela dei dati dalla teoria alla pratica, lanciando a tutti gli operatori del web, che siano o no dei giganti, il messaggio neppure troppo implicito che non rispettare la privacy degli utenti può costare caro. Eloquentemente, nell’aprile 2018, poco dopo la scoperta dello scandalo di Cambridge Analytica e ad un mese dell’inizio dell’applicabilità del nuovo Regolamento Andrea Jelinek, la Presidente del WP29, salutava l’avvento del GDPR come” l’inizio di una nuova era per la protezione dei dati” e continuava così: “Una delle priorità fondamentali sarà tutelare le persone da ogni utilizzo illecito dei loro dati personali sulle piattaforme dei social media.Molto semplicemente, una piattaforma che fattura miliardi di dollari non può cavarsela con un ‘mi dispiace´. Oggi, tutti parlano di Cambridge Analytica e Facebook, ma noi vogliamo guardare più avanti e più lontano. Per questo motivo abbiamo istituito un Gruppo di lavoro sui social media. Quello cui stiamo assistendo in questi giorni probabilmente è soltanto uno dei molti esempi di pratiche assai più diffuse che prevedono lo sfruttamento dei social media come bacino ove raccogliere dati personali per finalità commerciali o politiche. Ma il WP29 sa bene che si tratta di una problematica più ampia in cui sono coinvolti anche altri soggetti, come gli sviluppatori di app e i cosiddetti data brokers. Il Gruppo di lavoro sui social media continuerà a operare una volta che il Comitato europeo per la protezione dei dati avrà iniziato la propria attività. Il Comitato potrà contare su un´ampia gamma di poteri per garantire un´applicazione coerente del Regolamento”.
Il GDPR è imperniato sul concetto di trasparenza vis-vis l’interessato, cioè colui dei cui dati si tratta, che si traduce, innanzitutto nel diritto di essere adeguatamente informato su quali siano i dati raccolti e come siano utilizzati: il Gruppo dei Garanti europei (oggi European Data Protection Board ‘EDPB’), infatti, chiarisce che solo fornendo agli interessati le giuste e chiare informazioni sul trattamento, sarà possibile per l’interessato capire quello che sta accettando e decidere consapevolmente se fornire il consenso o no.
Le informazioni che, ai sensi dell’art. 13 e 14 del GDPR, devono essere inserite nella privacy policy a beneficio dell’utente riguardano:
- l’identità del titolare,
- le finalità del trattamento di cui si richiede il consenso,
- la natura dei dati trattati,
- l’esistenza del diritto di revoca,
- la presenza di trasferimenti dei dati in paesi extra UE in assenza di una decisione di adeguatezza da parte della Commissione,
- la presenza di un processo decisionale automatizzato, compresa la profilazione,
- l’elenco dei destinatari a cui i dati possono essere comunicati.
Caratteristiche del consenso ai sensi del Gdpr
Il consenso, in base al Considerando 32 del GDPR “dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Questo considerando, nelle poche righe che lo compongono, contiene un vero e proprio vademecum sulle caratteristiche che il consenso dell’utente web debba avere perché i dati forniti possano considerarsi legittimamente trattati.
L’utente, innanzitutto, dovrà essere messo in condizione di accettare o rifiutare il consenso per ogni singola finalità prevista di trattamento: in questo senso va inteso il requisito della granularità del consenso.
Per un motivo uguale e opposto non è lecito raggruppare più finalità all’interno di un unico consenso poiché verrebbe, così facendo, a mancare la libertà di scelta dell’interessato: in questo caso, l’interessato sarebbe obbligato ad accettare in blocco o rifiutare tutte le finalità senza altre possibilità di scelta.
Il Gruppo dei Garanti propone l’efficace esempio dell’azienda che, all’interno della stessa richiesta di consenso, chieda ai suoi clienti l’autorizzazione a trattare i loro dati sia per invio di e-mail pubblicitarie sia per comunicare i dati ad altre società.
Anche il Garante italiano ha più volte ribadito come le attività di marketing rappresentino una finalità diversa, ad esempio, dalla comunicazione a terzi e dalla profilazione: pertanto, per garantire la regolarità dell’insieme dei trattamenti, è necessario acquisire tre distinti consensi per le tre differenti finalità.
Un unico consenso, invece, può coprire più operazioni di trattamento confluenti nella stessa finalità: è la finalità che deve essere oggetto di specifico trattamento non la singola operazione rispondente alla predetta finalità (anche questa regola è stata da tempo recepita dal nostro Garante che ha ribadito come operazioni di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale sono funzionali a perseguire un’unica finalità di marketing con la conseguenza che tale trattamento appare giustificare l’acquisizione di un unico consenso).
Il consenso deve essere liberamente prestato. Per valutare se il consenso è liberamente prestato, l’art. 7 comma 4 prevede che: “(…..) si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.” L’utente dovrà prestare particolare attenzione allorché, accanto ad una finalità per il trattamento di dati necessari alla prestazione del servizio offerto, sia richiesto il consenso per dati ulteriori che con la prestazione del servizio nulla hanno a che fare. Una circostanza che ricorre – portando l’esempio di una pratica scorretta assai diffusa – quando si vuole condizionare l’accettazione di condizioni contrattuali al consenso per finalità di marketing: “ti fornisco un tale prodotto/servizio a condizione che accetti di ricevere le mie comunicazioni pubblicitarie”. Tale consenso è, quindi, invalido secondo il Regolamento europeo poiché viene a mancare il requisito della libertà del consenso.
Infine il consenso deve essere inequivocabile. Per avere la certezza del consenso, pertanto, è necessario che il consenso si basi su una dichiarazione orale o scritta, svolta anche per via elettronica, comunque un’azione attiva, concludente. In presenza di situazioni di rischio per la protezione dei dati – come i trattamenti di categorie particolari di dati, in materia di trasferimenti di dati verso paesi terzi in assenza di adeguate garanzie di cui all’art. 49 del GDPR o in presenza di processi decisionali tra cui la profilazione – il GDPR prevede che il consenso sia esplicito ossia che risulti da una manifestazione di pensiero espressa e non da comportamento concludente. Tale elemento potrà essere ottenuto attraverso la forma scritta; online, l’interessato potrà fornire un consenso esplicito compilando un modulo elettronico, inviando di una e-mail, scansionando un documento che porti la firma dell’interessato o infine attraverso firma digitale o un processo di autenticazione a due fasi (e-mail seguita da un SMS).
La reazione dei big del web al Gdpr
Quanto precede rende conto, seppure in parte, che i presidi normativi a tutela degli utenti web europei non mancano. E i grandi della rete, almeno all’apparenza, hanno dimostrato di volersi adeguare alla normativa europea, modificando di conseguenza la loro privacy policy: dopo lo scandalo di Cambridge Analytica, per esempio, gli utenti Facebook hanno infatti ricevuto un invito a rivedere ed aggiornare le proprie impostazioni sulla privacy, attraverso un sondaggio con il quale il social network chiede di dare la propria opinione su diversi strumenti presenti sul sito (ad esempio, si pensi agli annunci pubblicitari e alla loro rilevanza circa l’attività di navigazione svolta dall’utente) o sulla natura e tipologia di informazioni che possono essere condivise con partners esterni.
Una vera ‘conversione’ o un mero comportamento di facciata?
Due punti su cui riflettere
Notizie come lo scandalo Cambridge Analytica e la più recente denuncia contro Google, comunque, non possono non far riflettere, e le riflessioni che viene fatto di proporre in questa sede sono almeno due.
La prima: lo sviluppo tecnologico ha una velocità così prepotentemente esponenziale che le normative di settore appaiono essere spesso all’inseguimento senza riuscire in effetti ad identificare le reali criticità. Quel che appare degno di una maggiore attenzione è il fatto che spesso all’utente viene chiesto un consenso, motivato quale necessario alla prestazione del servizio ma che in realtà è necessario solo sulla carta, rilevandosi in concreto, del tutto gratuito. Allora, in attesa di disposizioni che valgano ad estendere la tutela a casi come questi potrebbero venire in considerazione istituti civilistici come l’abuso del diritto, magari affidati a sistemi di tutela di massa come la class action.
La seconda: l’utente del web non può demandare al legislatore l’esigenza di tutela senza domandarsi cosa possa fare in proprio. In altre parole allo stato, una tutela effettiva dei dati degli utenti passa dall’uso consapevole che gli stessi utenti facciano del web e dei servizi che esso offre: devono essere gli utenti per primi a volersi riprendere il controllo dei loro dati esercitando il loro diritto all’autodeterminazione informatica. Come? Attraverso gesti semplici e apparentemente banali ma assolutamente poco scontati: leggendo attentamente le privacy policy, evitando di fornire accettazioni incondizionate pur di procedere nella navigazione, negando il consenso a quei trattamenti che non siano strettamente funzionali alla prestazione dei servizi erogati. In tal senso, risultano ancora di grande attualità e lungimiranza le guide divulgate dal del Garante della Privacy nel 2009 e nel 2013 rispettivamente: “Social network: Attenzione agli effetti collaterali” e“Social Privacy – Come tutelarsi nell’era dei social network“.
