Il Regolamento generale UE n. 2016/679 (General Data Protection Regulation o GDPR) è la principale normativa europea in materia di protezione dei dati personali. Entrato in vigore il 24 maggio 2016, la sua attuazione da parte degli Stati membri è avvenuta a distanza di due anni, quindi a partire dal 25 maggio 2018 (l’Italia ha adeguato il proprio Codice Privacy al regolamento con il D.Lgs. 101/2018). Trattandosi di un regolamento, non necessita di recepimento da parte degli Stati membri ed è attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento (tranne per le parti per le quali si prevede espressamente delle possibilità di deroga).
Obiettivi
Espressamente chiariti nel corpo del testo gli obiettivi del regolamento:
- Armonizzare definitivamente la regolamentazione in materia di protezione dei dati personali all'interno dell'Unione europea, quale diritto fondamentale dei cittadini da garantire uniformemente in tutto il territori o dell'Unione;
- Sviluppare maggiormente la fiducia dei cittadini nella società digitale e nell'uso dei servizi digitali grazie anche alla maggior tutela garantita nel Digital Service Package (di cui abbiamo parlato qui digital services act);
- Rispondere alle nuove sfide derivanti dalle nuove tecnologie digitali.
Il GDPR ha trasformato il modo di vedere il dato, passando da una visione proprietaria (per cui non lo si può trattare senza consenso) ad una visione di controllo del dato stesso, favorendone la libera circolazione ma rafforzando al contempo i diritti dell'interessato, il quale deve poter conoscere che utilizzo viene fatto dei propri dati, al fine di vedersi garantita una adeguata tutela.
Le Big Tech nell’era digitale
Il mondo odierno è ormai sempre più tecnologico, più interconnesso e sempre più digitalizzato: noi passiamo gran parte della nostra vita online e siamo ormai indissolubilmente legati al digitale. È su questo terreno fertile che hanno trovato spazio, in questo decennio, le grandi aziende multinazionali che oramai dominano il mercato della tecnologia, diventando l’interfaccia obbligata con cui interagiamo ogni giorno. I colossi del web, dette Big TECH, si sono fatte strada nel mondo digitale con l’acronimo di GAFAM, nome che sta ad indicare nel loro assieme le 5 maggiori multinazionali dell'IT occidentali: Google, Apple, Facebook, Amazon, Microsoft.
Ovviamente a queste se ne aggiungono altre, sicuramente meno imponenti. Sebbene tali multinazionali si pongano in concorrenza diretta tra loro per beni e servizi offerti, sono accomunate (e identificate) dal fatto di essere diventate una scelta obbligata, quasi dittatoriale: da qui le critiche sorte per presunte pratiche scorrette quali l’abuso di posizione dominante, evasioni fiscali, intromissione nella vita privata dei propri utenti e violazione della loro privacy.
Infatti, noi tutti sappiamo bene che, accendendo ai più svariati servizi digitali offerti, dobbiamo inevitabilmente fornire tutta una serie di dati personali che, qualora utilizzati e trattati nel modo sbagliato, possono avere gravi ripercussioni. È ben noto (seppur non lo ammettano) che le big tech utilizzino i dati raccolti al fine di profilare gli utenti per campagne pubblicitarie mirate: si pensi banalmente alla richiesta della data di nascita durante la profilazione su alcune piattaforme, utile per poi permettere alle big tech di offrire servizi e/o beni rientranti nella fascia di età corrispondente. I dati raccolti rappresentano la big economy.
Big Tech e privacy
I dati diffusi negli ultimi anni sono allarmanti: ben il 93% delle aziende italiane ha subìto violazioni di dati e, di conseguenza, gli utenti preoccupati per l’uso improprio di materiale privato hanno prodotto minori interazioni sul web.
Ed ecco che, da oltre un anno, i colossi del web più noti sono stati costretti a regolarizzare e migliorare il livello di tutela relativo al trattamento dei dati degli utenti iscritti, con l’obiettivo di arginare l’operazione di tracciamento compiuta in passato. Mai come nell’ultimo biennio il diritto alla privacy degli utenti viene così tanto promosso dai giganti dell’ecosistema digitale: basti pensare che fino a qualche anno fa era la Autorità di Protezione dei dati personali a promuovere l’esigenza di difendere la privacy degli utenti dall’uso avido e ghiotto che ne facevano i colossi del web.
Esempi
Giusto per citare due esempi:
Facebook sta procedendo ad innalzare la tutela della privacy e rendere la navigazione più trasparente e sicura attraverso il nuovo strumento Off-Facebook Activity (attività fuori da Facebook) che consente all’utente di verificare quali app e siti web inviano a Facebook i dati personali per provvedere alla cancellazione. Inoltre è stata annunciata la disattivazione di migliaia di app collegate alla piattaforma che non sono state sufficientemente chiare o trasparenti sui metodi con cui utilizzavano i dati personali degli utenti.
Google, sulla scia di Facebook, ha introdotto la navigazione in incognito sia per Google Maps, sia per Youtube. In questo modo gli utenti possono interagire sul web senza lasciare traccia. Infine, ha annunciato la progressiva limitazione dell’utilizzabilità dei cookies, uno dei principali strumenti di identificazione degli utenti dei servizi digitali propedeutico alla profilazione di massa: analoga iniziativa è stata prevista nell’ecosistema Android.
È evidente che la maggior attenzione alla privacy posta da queste multinazionali sia tutt’altro che disinteressata: questo cambiamento rispetto al passato viene interpretato come strategico, poiché guidato dalla speranza di “riconquistare” in qualche modo la fiducia degli utenti persa dopo vari scandali legati alle modalità di trattamento del dato ed alle violazioni subite. Nella realtà dei fatti, le Big Tech considerano la privacy con così vivo l’interesse solo per farsi concorrenza tra di loro e, soprattutto, per diventare, giorno dopo giorno, sempre più forti, centrali e determinanti come gatekeeper dei dati e delle informazioni sui miliardi di cittadini in tutto il mondo, presupposto irrinunciabile per orientare le scelte di consumo, culturali e politiche della popolazione mondiale. Più si restringe il novero dei soggetti capaci di accumulare e trattare questi dati e queste informazioni e più detti soggetti diventano centrali, potenti, imbattibili.
Ed è così che un diritto fondamentale quale la privacy, si sta progressivamente trasformando in un potentissimo strumento di confronto-scontro competitivo sui mercati che valgono di più. Non è un caso che Apple, sei mesi dopo l’introduzione degli strumenti e controllo dei quali si è detto sopra, abbia triplicato il proprio fatturato nel mercato della pubblicità online.
Le sanzioni nei confronti delle Big Tech
Ma tutta questa attenzione non basta.
Data la crescente digitalizzazione dell’economia e della società, l’Europa si è impegnata a definire la strategia sulla data economy, un progetto di riforma del mercato unico digitale che, puntando proprio sulla gestione sicura delle informazioni e dei dati, mira a costruire una nuova economia europea che non sia a totale appannaggio di poche compagnie extraeuropee.
In nome di questo impegno, sono tantissimi gli interventi delle Authority europee nei confronti delle attività delle Big-Tech internazionali, in merito alle loro politiche di utilizzo dei dati e delle informazioni personali degli utenti.
Di particolare interesse, giusto per citarne uno di una lunga serie, è il provvedimento che il Garante per la Protezione dei dati personali ha fatto pervenire, lo scorso 7 luglio, a Tik Tok in merito alla decisione della piattaforma di modificare la sua privacy policy così da permettere l’ingaggio di utenti maggiori di 18 anni, mediante pubblicità mirata e basata sulla profilazione dei comportamenti tenuti durante la navigazione. Una decisione unilaterale, da parte della società, che in tal modo bypassa l’obbligo del consenso degli interessati (ex art. 5 comma 3 della direttiva “ePrivacy” a favore di “legittimi interessi” del social network e dei relativi partner.
Senza contare che, dall’entrata in vigore del regolamento UE (25 maggio 2018) che ha rafforzato il diritto alla privacy di milioni di persone, sono stati presentati migliaia di reclami contro le Big Tech e le aziende di pubblicità online. Attualmente, ci sono decine di casi ancora in sospeso in quanto lo strumento dello sportello unico introdotto dal GDPR, atto a garantire l’uniforme l’applicazione delle norme in esso contenute a livello europeo, ha portato all’accumulo di casi arretrati presso le autorità di regolamentazione. Era ampiamente previsto che le multe e l’applicazione del GDPR non sarebbero state rapide, ma a quattro anni dalla sua entrata in vigore l’applicazione del regolamento europeo sui dati è ancora troppo lenta e inefficiente, soprattutto nei confronti delle Big Tech ed il numero di decisioni importanti adottate contro detti colossi rimane comunque incredibilmente basso: i data broker – gli intermediari che raccolgono e commerciano i dati – continuano ad accumulare e vendere le nostre informazioni, e il settore della pubblicità online è ancora pieno di potenziali abusi.
Conclusioni
Nonostante gli evidenti problemi di applicazione, il GDPR ha avuto un impatto incalcolabile nel campo della gestione dei dati, migliorando effettivamente i comportamenti delle aziende. Infatti, se prima del GDPR non ci avrebbero pensato due volte, ora le aziende sono scoraggiate dall’utilizzare i dati delle persone in modi discutibili.
Tuttavia, nell’ultimo anno sono aumentate le richieste di modifiche al funzionamento del GDPR, specialmente in concomitanza con l’approvazione da parte dell’Unione europea del Digital Service Pack che, concentrandosi sulla concorrenza e sulla sicurezza di internet, gestisce l’applicazione della normativa in modo diverso dal GDPR; in alcuni casi, infatti, sarà la Commissione europea a indagare sulle Big Tech. Senza alcuni cambiamenti – e senza un’applicazione più efficace – il GDPR potrebbe non riuscire a porre fine alle pratiche peggiori da parte delle Big Tech e a migliorare la percezione delle persone relativamente alla privacy.
L’obiettivo finale è quello di arrivare un giorno a un diffuso livello di cultura e educazione al diritto alla privacy e che quest’ultimo possa essere considerato uno dei fattori fondamentali in ogni scelta di consumo: purtroppo però utenti e consumatori sono, nella più parte dei casi, ancora lontani da questo livello di educazione e cultura della privacy e le big Tech inevitabilmente finiscono con l’approfittarsene. Lo conferma, in maniera plastica, la superficialità e la facilità con la quale, con poche eccezioni, condividiamo senza filtri i nostri dati personali, quelli biometrici, in cambio del semplice divertimento che proviamo nel guardandoci “invecchiati” in una foto elaborata o "trasformati" in donne o uomini, da un algoritmo gestito da una non meglio precisata applicazione.