Nei giorni scorsi si è ripetuto spesso che con la nuova normativa europea sulla data protection casi come quello di Cambridge Analytica, ed in generale l’uso disinvolto di dati personali da parti di talune piattaforme online ed apps, non sarebbero potuti accadere. Da ieri, in seguito all’adozione, un po’ in sordina per la verità, delle Guidelines europee sul consenso, sapremo anche il perché.
PUBBLICITÀ
inRead invented by Teads
Ma ricapitoliamo: il 25 maggio entra in vigore il famoso regolamento europeo 2016/679 il c.d. Gdpr, secondo lo sgradevole acronimo anglosassone (che sta per “General Data Protection Regulation”. Il regolamento 679 è direttamente applicabile ad imprese ed individui, ma le autorità nazionali (in Italia il Garante di Antonello Soro) mantengono un importante potere discrezionale nell’applicare le norme ai casi concreti. Proprio per questo motivo l’insieme di questi regolatori, riunito in un temutissimo consesso chiamato “Comitato Art. 29”, ha adottato delle Linee Guida interpretative su vari aspetti del Gdpr, con l’obiettivo di chiarirne l’interpretazione. Il 16 aprile è toccato alla disciplina del consenso, un elemento cardine del GDPR e che è alla base dell’intera economia dei dati.
La maggior parte di noi è purtroppo abituata a concedere il consenso al trattamento ai propri dati personali senza considerare pro & contra, ed a volte senza neanche rendersene conto. Accade così per la maggior parte di apps, sondaggi e giochini su Facebook, ma le cose sono destinate a cambiare. I regolatori europei hanno adottato un’interpretazione piuttosto restrittiva della nozione di consenso, frustrando così i desiderata di molti operatori che invece avrebbero voluto, da queste Linee Guida, un po’ più libertà rispetto ai principi fissati dal Gdpr.
I regolatori europei hanno ribadito che il consenso, per essere valido, dovrà essere rilasciato dagli individui liberamente, vale a dire sulla base di un giudizio vero e genuino se concederlo o meno, senza costrizioni ed in maniera effettivamente informata. Un po’ il contrario di quello che accade oggi. Ma sarà possibile con il GDPR e le nuove Linee Guida cambiare abitudini? Probabilmente si, perché se un’autorità nazionale, sulla base di un giudizio ex post su un caso concreto, dovesse ritenere che con certe modalità il consenso è stato rilasciato in modo invalido, scatteranno delle sanzioni pesantissime, fino al 4% del fatturato dell’impresa. Pertanto, è verosimile che le modalità di rilascio del consenso diventeranno, con il GDPR, una scelta tecnologica inerente al modello di business dell’operatore, piuttosto che una scartoffia demandata all’ufficio legale, come era accaduto fin d’ora. E’ ciò che si chiama privacy by design.
Ma cosa succederà in pratica? Le Linee Guida del 16 aprile contengono numerosi esempi dai quali si evince come l’applicazione pratica del GDPR cambierà il concetto di consenso. L’esempio più importante è quello riguardante il “do ut des” tra servizi e privacy, vale a dire la pratica – frequentissima – con cui l’utente scambia (più o meno consciamente) i propri dati con l’operatore al fine di fruire del servizio (gratis). Si è detto, giustamente, che se il servizio è gratis, allora sei tu il prodotto, e questo, d’altra parte, è il modo con cui funzionano le grandi piattaforme online, da Facebook a Google, ma anche molte start-up per la verità. Secondo i regolatori europei, il consenso non sarà ritenuto valido se rilasciato sotto la pressione imposta all’utente se fruire o meno del servizio.
Ma spieghiamoci bene. L’esempio fornito dai regolatori europei è semplicissimo e l’abbiamo incontrato tantissime volte sui social: un’app mobile per il fotoritocco (da quelle con le bandiere al “Je Suis Charlie”, passando per quale animale della savana mi assomiglia di più) chiede ai propri utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. I dati vengono raccolti per scopi di pubblicità comportamentale. Ma né la geo-localizzazione né la pubblicità comportamentale online sono necessari per la fornitura del servizio di fotoritocco e vanno oltre la consegna del servizio di base fornito. Se però gli utenti non avranno una via d’uscita, cioè la possibilità di utilizzare l’app senza fornire il consenso all’utilizzo dei propri dati, il consenso sarà considerato invalido e scatteranno le sanzioni.
Questa interpretazione di consenso “libero” si evinceva già dal GDPR ma qualche operatore avrebbe sperato di trovare qualche maglia di passaggio attraverso le Linee Guida. Così non è stato. Piattaforme online e sviluppatori di app dovranno ora cercare riparo in nuovi modelli di business.
Il venir meno del “do ut des” tra servizi e dati personali ha marcato l’emergere delle piattaforme online e dell’economia digitale, ora bisognerà cominciare a pensare a qualche cosa di nuovo. Probabilmente bisognerà puntare ad un nuovo rapporto tra piattaforme ed utenti. Questi ultimi hanno accumulato, negli ultimi mesi, un astio ed una paranoia nei confronti di certe piattaforme ed applicazioni che va ben oltre le responsabilità concrete. A tutti fa piacere avere Facebook gratis così come le modalità di commercializzazione e contatti che ci vengono offerte dai social, e talvolta anche sapere quale nazionalità mi rappresenti al meglio, ma per continuare a farlo bisognerà recuperare il rapporto di fiducia che si è perso nello scandalo Cambridge Analytica ed in altri casi simili. L’utente potrebbe ancora considerare giusto di rifornire l’economia digitale con i propri dati, ma ora vorrà farlo a condizioni differenti. E’ questa la sfida che attende le piattaforme online, grandi e piccole. La capacità di dimostrarsi responsabili verso il valore dei dati personali marcherà la differenza tra vincitori e vinti. Dal 25 maggio molte cose in Internet cominceranno a funzionare in maniera differente.
Visto quanto sopra, ed avendo parlato del solo consenso rilasciato liberamente (ma vi sarebbero decine di altri aspetti ed esempi del Gdpr di cui discutere), il regolamento europeo costituisce, data la sua applicabilità globale (visto che tutti, se vorranno trattare dati di cittadini europei, dovranno tenerne conto) una novità enorme, destinata a plasmare l’economia globale, prima di quella europea. La sua portata globale è paragonabile alle leggi americane su banche e finanze, agli accordi di Bretton Woods, fino alle prassi sviluppate dai banchieri fiorentini nel Rinascimento. Si tratta di un’affermazione di sovranità europea a livello internazionale che fa impallidire e di cui forse non tutti si sono ancora resi conto.
InnoGenna