Innovazione

Gdpr un anno dopo. Che cosa è successo (e cosa c’è da fare)

di

Consuntivo e scenari su Gdpr a cura di l’Osservatorio permanente su Privacy e Data Protection

A un anno dall’introduzione della Gdpr, il pacchetto di norme internazionali a tutela dei dati personali, l’Osservatorio permanente su Privacy e Data Protection di House of Data Imperiali ha tracciato un bilancio di quanto accaduto.

GDPR Sì, MA NON PER TUTTI

Il Gdpr ha avuto una gestazione particolarmente complessa che rende di fatto il corpus normativo assai più anziano: ha infatti impiegato quattro anni per venire alla luce ed altri due per diventare pienamente applicabile. In compenso, è stato adottato da una moltitudine di Paesi: dalla Turchia, alla Svizzera, passando per Israele, l’Argentina fino ad arrivare al Giappone, alla Corea del Sud, l’India, il Brasile e in Russia. Persino la Cina ha iniziato a discuterne.

LA SILICON VALLEY SPINGE PER LA TUTELA DELLA PRIVACY

Nel dossier viene poi sottolineato il paradosso americano. Gli Stati Uniti, da tempo refrattari a una legge federale in tema di protezione dei dati personali (non si teme solo che questa possa imbrigliare i traffici commerciali, ma anche che vada contro le penetranti normative di controllo anti-terrorismo), mostrano un cambio di passo. Sono numerose le proposte parlamentari in tal senso e proprio la California, culla dei colossi del Web, fa da apripista, avendo già nel 2018 promulgato la più severa e “EU-like” legge americana sul tema, il cosiddetto CCPA che entra in vigore proprio con l’esordio del 2020. “Quasi un paradosso – si legge – che la California, paese di origine dei colossi del web che con la privacy non vanno molto d’accordo, abbia registrato questa primazia”.

UNA GDPR CHE RINGHIA MA NON MORDE?

Quanto all’applicazione delle norme, “bizzarro – scrivono gli analisti – che sull’altra sponda dell’Atlantico, culla del GDPR, si registri invece qualche insoddisfazione perché a 18 mesi dalla piena applicazione del Regolamento non c’è traccia di graffi e morsi sulla pelle di chi abusa, se si eccettua la sanzione per 50 milioni di euro, comminata nel 2019 dall’authority francese (CNIL) a Google per la malversazione di dati personali degli utenti dei propri servizi, in particolare a fini di pubblicità comportamentale, nonché i 315 milioni cumulativi dell’autorità inglese contro British Airways e la catena alberghiera Marriott International”.

IL BILANCIO PROVVISORIO

Profilo interessante dello studio riguarda l’applicazione a macchia di leopardo del GDPR, che spacca l’Unione europea tra Nord e Sud in maniera non dissimile da quanto sta avvenendo sul fronte della Web Tax (con i Paesi mediterranei che la vorrebbero, Irlanda, Olanda e Lussemburgo che la osteggiano). “Da una parte – si legge – è vero che Irlanda e Lussemburgo, Paesi nei quali risiedono le sedi europee della maggioranza dei giganti del web, non sono quelli più adeguati a vigilare e contrastare potenziali abusi commessi online e sui social nella raccolta di dati e di tracce comportamentali: inadeguatezza per esiguità di risorse ma anche per possibili conflitti di interessi con le proprie normative di favore, di natura fiscale e regolatoria, volte ad attrarre investimenti esteri. Ma dall’altra è vero anche che un meccanismo di cooperazione come quello che in base al GDPR garantisce che fenomeni sovranazionali siano affrontati da tutte le 28 authority privacy, sembra rappresentare un collo di bottiglia, come lamentato dall’authority di Amburgo, in Germania ve ne sono 16, una per ogni Lander”.

IL CASO CHEVROLET

L’hackeraggio di un’automobile Chevrolet del 2017 a opera di un redattore del Washington Post negli ultimi giorni del 2019, ha dimostrato quali e quante informazioni sono catturate dall’auto connessa e dove sono destinate. “Il risultato – ricordano gli analisti del report – è impressionante: l’auto registra ed invia al costruttore i dettagli sui tragitti compiuti e i parcheggi, le chiamate effettuate alla guida, i dati identificativi del telefono e dei contatti della rubrica, fino all’indirizzo della gente, e-mail e persino foto”. Un problema che sembra diffuso e comune a veicoli di qualsiasi marca.

DATI, LA VERA MINIERA D’ORO DI QUESTI TEMPI

Ma i dati personali non sono solo materia di “privacy”, sono anche una merce e contribuiscono a creare poteri economici sino a veri monopoli: così, sempre Facebook viene sanzionata nel 2019 dall’antitrust tedesca per abuso di sfruttamento della propria posizione dominante nell’accumulo di dati personali, consistente in pratiche commerciali verso i consumatori che sono un ostacolo per i concorrenti, i quali non sono in grado di accumulare un analogo, così vasto tesoro di dati. Le authority privacy, d’altro canto, sembrano irritate per questa invasione di campo.

FACEBOOK, LA MULTA DELL’AUTORITA’ ITALIANA

“Sul fronte italiano – viene riportato – quasi come il rimbalzo di un’eco, l’AGCM sempre nel 2019 ha condannato Facebook al pagamento di una sanzione complessiva di 10 milioni di euro, per condotta ingannevole (per la simulazione che i propri servizi social siano gratuiti anziché pagati con i dati personali degli user) e per pratica aggressiva (poiché Facebook, all’insaputa degli utenti, trasmette i loro dati a siti web/app di terzi, e viceversa li riceve, per finalità commerciali).

IL CASO WEOPLE

Viene poi riportato il caso Weople per il quale il Garante italiano, già a mandato scaduto e prorogato, ha chiesto lumi al Comitato europeo, per ottenere una posizione che fosse condivisibile a livello sovranazionale. “Ma – ci si interroga – se si possono “acquistare” i dati personali, sarà anche possibile “acquistare” il consenso al loro utilizzo per differenti scopi?”

GLI UTENTI NON AMANO LE POLICY

Infine, senza troppa sorpresa il documento si sofferma sull’insofferenza degli internauti nei riguardi dei contratti fatti sottoscrivere via internet. “Gli utenti rifuggono dalla lettura delle policy, perché troppo lunghe (66% degli europei) e troppo astruse (31%) e non va meglio per i cookie che richiedono il consenso dell’utente, prima di poter essere installati. Come conciliare la rapidità della navigazione in rete, inidonea al metodo transattivo del consenso informato, con l’esigenza di porre l’individuo nel controllo delle proprie comunicazioni e dei dispositivi personali? La soluzione pratica ed efficace non è immediata: per questa ragione e per lo scontro di interessi in gioco, il regolamento ePrivacy, cioè il gemello del GDPR per il mondo on line, non è venuto alla luce nel corso del 2019, come si era inizialmente previsto”.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati