GDPR e Privacy, alcuni commenti personali sul primo bilancio applicativo

Con questo post voglio provare a riassumere, nel limite delle mie competenze, i concetti espressi durante l’evento organizzato dall’Università Bicocca-Milano in merito alla protezione dei dati personali tra GDPR UE e nuovo Codice Privacy con l’obiettivo di stilare un primo bilancio applicativo delle recentissime norme a protezione dei dati personali.

Personalmente ho trovato molto interessante la conferenza che ha cercato (riuscendoci) di essere utile a alle diverse figure spesso con competenze lontane tra di loro.

Il GDPR obbliga esperti di tecnologia ed esperti in materia giuridica a collaborare attivamente, è questo il primo fatto che osservo. Oggi più che mai è necessario che più figure (giuristi, informatici, ricercatori e manager) collaborino attivamente alla creazione di un contesto tecnologico-giuridico al passo con i  tempi. Le necessità e le visioni delle parti interessate sono spesso in contrasto tra loro e questo emerge già dai primi interventi degli illustri presenti alla conferenza.

Pervasività delle tecnologie e paure

Uno dei primi aspetti affrontati alla conferenza è l’attuale pervasività della tecnologia che copre la quasi totalità degli aspetti quotidiani, dove talvolta nemmeno ci accorgiamo di usarla e di creare informazioni digitali.

Oltre ad essere pervasiva essa è essenziale allo svolgimento di molte delle azioni quotidiane, il solo black-out di Instagram per qualche ora potrebbe renderci isterici (Link). In oltre, siamo abituati ad un certo grado di qualità dei servizi digitali, ad esempi siamo infastiditi dal dover ricompilare e ricompilare moduli di registrazioni o inserire ripetutamente password e credenziali di accesso. Ma questo, fa notare uno dei presenti, avviene grazie ad informazioni. Ma di contro siamo diventati di colpo “gelosi” di quello che il mondo digitale conosce di noi.

Uno degli oratori dice:

“Si è passati dalla Primavera araba al caso Cambridge Analytica”, da una parte l’elogio dei Social Network e della diffusione delle informazioni, dall’altra i dubbi quasi paranoici sull’uso dei nostri dati. Questo ha prodotto una corsa alla “protezione dei dati” come dimostra l’introduzione del GDPR, il recente Decreto Privacy e altre soluzioni come California Consumer Privacy Act.

Primavera Araba e Social Network
Primavera Araba e Social Network

Questo ha prodotto non pochi problemi al mondo interconnesso in cui siamo abituati a vivere, ad esempio alcuni portali web statunitensi hanno chiuso gli accessi agli utenti europei perché non rispettavano le direttive del GDPR, oppure le proteste dei Big Tech Company contro la frammentazione delle regolamentazioni.

Si stanno però osservando alcuni primissimi effetti benefici, come il rafforzamento del diritto all’oblio, una maggiore chiarezza delle condizioni contrattuali in merito ai nostri dati ed un almeno “apparente” maggiore controllo degli stessi.

Uno degli oratori alla conferenza fa notare come il recente annuncio della chiusura di Google Plus e del mancato fix di un bug conosciuto da diversi anni non sia forse legato anche all’inasprimento della regolamentazione sulla privacy.

Ma è chiaro che siamo ben lontani dalla soluzione finale. É chiaro che oggi non si può essere ossessivamente impauriti dall’utilizzo dei dati, anche perché gran parte dell’economia odierna si basa su dati digitali, ma il GDPR ha suscitato inattese approvazione anche tra i Big Tech Company, proprio per la suo voler essere un modello mondiale per la protezione dei dati, fornendo linee guida e norme unificate in cui muoversi tutelando non solo gli utenti ma anche le compagnie del mercato globale.

I dati sono la nuova ricchezza commerciale

I dati sono la nuova ricchezza
I dati sono la nuova ricchezza

E’ interessante a mio parere come la privacy degli utenti sia diventato un problema soprattutto commerciale. Sino ad ora è stato descritto come uno strumento di tutela degli utenti, ed in parte è vero, infatti è sempre il “Garante della Privacy” a dire l’ultima su un eventuale illecito ed applicare l’eventuale sanzione, ma in Italia l’organo che si occupa di verificare praticamente l’applicazione il GDPR è il Nucleo Speciale Privacy della Guardia di Finanza. Questo mi ha sorpreso, mi sarei aspettato piuttosto la Polizia Postale, invece la Privacy è un problema economico.

In effetti oggi una delle ricchezze di maggiore valore sono proprio le informazioni e le tecnologie che ne derivano.

Il Comandante della Guardia Finanza presente alla conferenza fornisce una chiave di lettura ancora più tagliente commentando:

“Ogg i dati sono armi e quando ci sono le armi serve un sistema di protezione”, aggiungendo in oltre che “trattare adeguatamente i dati degli utenti è un costo per le organizzazioni”

Quindi non rispettare le normative del GDPR posiziona le organizzazioni in un contesto di “concorrenza sleale” rispetto alle altre compagnie, per questo motivo è stata scelta la Guardia di Finanza come organo di controllo per la Privacy.

Concorrenza sleale e contratti B2C

A questo punto la discussione introduce un interessante confronto tra le normative per la Protezione dei dati personali e le normative per la Protezione dei Consumatori, addirittura facendo emergere similarità in termini di tutele ed figure interessate. Il sistema normativo per la protezione dei consumatori ha già da tempo attuato una normalizzazione delle norme e della gestione dei diritti dei consumatori come sta accadendo con il GDPR, in oltre in entrambe le normative il tutelato è una persona fisica mentre il “controllato” è solitamente un organizzazione commerciale.

Il ricatto dei dati
Il ricatto dei dati

La discussione continua su come le condizioni contrattuali per il trattamento dei dati è di cruciale importanza facendo emergono numerose criticità come l’eventuale sbilanciamento del contratto tra l’organizzazione e l’utente che potrebbe trovarsi costretto ad accettare condizioni di utilizzo dei dati a fronte di un mancato accesso al servizio, oppure potrebbe trovarsi di fronte un contratto troppo difficile da comprendere o infine “abbindolato” all’accettazione a fronte di sconti o eliminazione di clausole. Tutto ciò convince, almeno il sottoscritto, di come la protezione dei dati sia diventato un problema anche commerciale.

Modalità e comprensione del consenso al trattamento dei dati personali

Infine la discussione si concentra sull’importanza delle modalità di fruizione dei contratti relativi all’utilizzo dei dati personali il quale fa emergere non poche criticità. Tra le maggiori criticità troviamo la comprensibilità del contratto e la necessità di consensi espliciti ed inequivocabili in base ai diversi utilizzi che ne verranno fatti dei dati raccolti.

GPDR Compilant Form
GPDR Compilant Form

Ad esempio se si utilizza un modulo online per acquisire il consenso sull’utilizzo dei dati personali degli utenti esso deve essere realizzato in modo tale che l’utente esprima il consenso con un azione esplicita, dunque se si propone all’utente un modulo precompilato si sta attuando un illecito. Dunque a mio parere è un aspetto interessante questo, ovvero mi spinge a chiedermi:

Quali sono quelle modalità di interazione che enfatizzano un consenso esplicito? Ovvero, è possibile per un utente accettare per errore attraverso una checkbox piuttosto che un radio button? Non sarebbe utile introdurre una doppia conferma? … e così via.

Personalmente trovo molto interessante la possibilità di studiare come le diverse modalità di interazione mediate dalla tecnologia siano o meno oltre che GDPR Compliance, ma anche realmente misurare il “consenso” dell’utente.

GDPR: Market-oriented o orientato alla protezione del singolo?

La conferenza si chiude con la necessità di collaborare tutti alla realizzazione di un ecosistema normativo adeguato per diverse figure senza dimenticare che i dati sono oggi essenziali sia per le compagnie che per gli utenti. Bisogna evitare che il GDPR diventi troppo market-oriented o troppo orientato alla protezione del singolo creando un evidente problema dei mercati globali.

Quest’ultimo aspetto è sottolineato dall’inaspettata apertura di Tim Cook e di altre compagnie non europee al GDPR EU e la paure probabilmente fondata ad un eccessiva chiusura delle normative al mercato globale impedendo alle compagnie tecnologiche continuare a realizzare i modelli di business basati sui dati.

Probabilmente ho omesso numerosi concetti discussi alla conferenza e molti altri espressi invece possono essere inesatti e superficiali, ma spero comunque di aver fatto emergere alcuni aspetti interessanti relativamente alla protezione dei dati personali nel contesto del GDPR e delle nuove tecnologie  sempre più persuasive.

Sitografia: