EntiOnLine
Categorie
indietro
28/08/2018 Business Insider Italia: Privacy: bilancio dopo 3 mesi di GDPR, meno cookie ma il Regolamento e' gia' vecchio
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Il Regolamento generale sulla protezione dei dati, in inglese General Data Protection Regulation (Gdpr, regolamento Ue 2016/679) del 27 aprile 2016, è diventato applicabile il 25 maggio 2018 in tutti gli stati membri. Sono passati 3 mesi da quando aziende e organizzazioni hanno dovuto adeguarsi alle nuove norme, un tempo certamente breve per tirare le somme ma, nel contempo, sufficiente per misurarne punti di forza e criticità.

Gli scopi del Gdpr

La Commissione europea ha voluto rendere più solida e uniforme la protezione dei dati personali dei cittadini europei e questo anche all’esterno dell’Unione. Il testo è pensato per dare ai cittadini il controllo dei propri dati personali, abrogando le precedenti norme comunitarie (95/46/CE) e, per quanto riguarda l’Italia, il codice per la protezione dei dati personali (decreto legislativo 196/2003).

In estrema sintesi garantisce uno status di certezza giuridicarelativo al trasferimento dei dati dall’interno dell’Europa verso l’esterno, andando così a dare una prima (e perfettibile) risposta ai quesiti che i Garanti per la privacy dei diversi paesi si pongono da anni perché il possesso e l’uso di dati personali, per lo più concentrati in mano a poche multinazionali, rischia di essere un problema per le democrazie.

Lo scopo principale, ovvero dare ai cittadini il pieno controllo dei propri dati personali, sembra difficile da raggiungere e questo proprio per la natura stessa del Gdpr che si estende a tutti i paesi del globo che ospitano siti, anche solo in teoria raggiungibili da utenti che risiedono nella zona Ue. Ma andiamo per gradi, cominciando a capire, con l’aiuto dell’avvocato XXX, quali sono gli effetti che il nuovo regolamento ha sortito.

Zero tolerance ma anche zero casi

XXX è anche professore, giornalista e membro del Team per la trasformazione digitale. Raggiunto da Business Insider, ci ha aiutato a tracciare i risultati del Gdpr a 3 mesi circa dalla sua entrata in vigore:

«Naturalmente è prematuro fare un’analisi dell’impatto normativo in termini tecnici, non ho notizia di procedimenti avviati dall’Autorità garante in forza del nuovo regolamento. D’altra parte il decreto legislativo, con il quale si coordina la disciplina nazionale con quella europea, è andato in Gazzetta in queste ore» (il 21 agosto 2018, nda).

Vanno spese due parole per non creare confusione: il Gdpr è apparso nella Gazzetta ufficiale a maggio 2018 ma, la legge delega che deve adeguare la norma italiana a quella europea, non è stata approvata. Il Garante per la privacy ha deciso di prorogarla fino al 21 agosto per perfezionarne alcuni punti, dopo avere evidenziato alcune criticità.

«Troppo presto per misurare un impatto regolamentare ma– continua XXX – il dato significativo è l’emergere dell’attenzione relativa alla privacy. Ho vissuto da giurista l’entrata in vigore della legge 675 del 1996, la prima legge italiana quando all’Autorità garante c’era come presidente XXX. Tutto sommato, con i distinguo del caso, ho rivissuto molto di quel clima: all’epoca si sentiva parlare per la priva volta di privacy e, già nei primi mesi, l’esistenza di un’Autorità garante, l’esistenza delle sanzioni che sarebbero state applicate, le informative alle quali non eravamo abituati e le richieste di consenso, un effetto lo ottennero vale a dire quello di far rendere conto che esisteva un tema che si chiamava privacy, questione della quale bisognava occuparsi con una certa attenzione».

Ora, con l’avvento di un’armonizzazione europea, queste norme si estendo a tutto il mondo, alle grandi aziende così come a quelle più piccole.

Privacy e protezione dei dati

Esaurito l’aspetto più genrale dell’intera faccenda, vanno esaminate le questioni più pratiche, a partire dai gradi di compatibilità di privacy e di protezione dei dati, termini co-dipendenti che però non sempre collimano tra loro.

A tale proposito, XXX ritiene che innanzitutto: «si tratta di capire cosa significa privacy. Associamo questa parola alla riservatezza. Privacy significa anche diritto all’identità personale, cioè al diritto che ciascuno di noi ha affinché nessuno lo rappresenti nei propri database anche in maniera parziale. Non si vìola la disciplina sulla privacy soltanto trattando troppi dati, la si può violare anche trattandone pochi ovvero rappresentando un individuo parzialmente; ad esempio: per chi ha smesso di pagare le rate del frigorifero e, tra le informazioni, manca il fatto che l’elettrodomestico era danneggiato alla consegna e il venditore si è rifiutato di sostituirlo o ripararlo. Tutela della privacy e tutela della riservatezza coincidono nella misura in cui ognuno è rappresentato per ciò che è veramente».

Fatta la legge, trovato l’inganno (?)

Poiché deve adeguarsi al Gpdr chiunque sia raggiunto da utenti residenti nei paesi Ue, ci sono fiorenti e ricchi movimenti di broker che raccolgono dati, li elaborano all’occorrenza e li rivedono al di fuori dall’Europa.

«Nella misura in cui offrano un servizio in Europa basato sui dati – continua XXX – devono applicare la disciplina Ue. Riuscire a fare vigilanza e, ad applicare le sanzioni, fa parte del pacchetto di scommesse sul Gpdr. Ormai è diventata evidente l’esistenza di un conflitto dal punto di vista della diplomazia tra Ue e Usa, si tratta di sensibilità culturali a confronto».

Il riferimento, in questo caso, è i Privacy Shield americano, adottato anche dall’Ue nel 2016 ma poi ritenuto insufficiente e che, in ogni caso, riguarda lo scambio di dati soltanto tra Europa e Stati Uniti.

Il Gpdr non batte gli scetticismi

«C’è tanto di buono anche se, quando si parla di privacy, la questione è per tre quarti culturale e per un quarto normativa – spiega Scorza – Sono scettico rispetto all’idea che leggi, regole, autorità e sanzioni valgano a consentire a uno dei 2 miliardi di utenti di Facebook di sentirsi veramente difeso. Non sarà mai così, per quanto si possa essere bravi a scrivere le leggi e per quanto potrà essere brava l’autorità ad applicarle, non c’è nessuna speranza. Si tratta di dimensioni talmente tanto sproporzionate che l’utente sarà sempre debole di fronte a chi vuole trattare abusivamente i suoi dati personali».

Già il fatto che il pacchetto di norme europee abbia attirato l’attenzione dei media, anche di quelli generalisti, vale in qualche modo gli sforzi fatti per rimettere la privacy al centrodell’attenzione.

«Effettivamente il Gpdr ha consentito in tutta Europa e, forse un po’ in tutto il mondo, di tornare a parlare in maniera importante di privacy, fatto incredibilmente significativo» evidenzia Scorza.

La criticità più grossa

«Di ombre all’interno del Gpdr ce ne sono tantissime, la più grossa è che si tratta di un regolamento che nasce un po’ vecchio. La gestazione è stata lunga 5 o 6 anni, nel frattempo il mondo è andato avanti, le dinamiche di trattamento dei dati personali non sono più quelle mappate dal Gpdr» spiega Scorza.

Per esempio, e al contrario di quanto si possa credere, il Gdpr non copre la privacy nelle comunicazioni elettronicheperché di questo se ne occupa un'altra norma: la 58/2002 e, in un prossimo futuro, se ne occuperà il regolamento ePrivacy a cui l’Unione europea sta lavorando.

«Appare ovvio che questa ghettizzazione della privacy nelle comunicazioni elettroniche è un’eccezione al Gpdr».

Per essere più specifici, con il termine comunicazioni elettroniche si intendono le app di messaggistica istantanea (come WhatsApp), le email ma anche gli sms.

Possono essere rimandate al mittente le critiche americane secondo cui l’introduzione del Gdpr è stata utile soprattutto alle società di consulenza ingaggiate dalle aziende per adeguarcisi. Il regolamento è perfettibile ma è un buon regolamento.

L’impatto del Gpdr sulla pubblicità online

Il nuovo regolamento ha dato una mano ai giganti del web, in questo caso il pensiero corre a Google e a Facebook, mettendo in difficoltà le aziende più piccole che usano i dati degli utenti per la profilazione pubblicitaria. Diversi siti americani, nell’impossibilità di adeguarsi al Gpdr, hanno preferito escludere gli utenti che si collegano dall’interno dell’Unione. Tra questi molti portali americani di notizie, soprattutto locali, come il Los Angeles Times oppure l’Arizona Daily News. Certo, non stiamo parlando di mostri sacri dell’informazione come il New York Times o il Wall Street Journal, ma questo scenario rende bene l’idea di quanto adeguarsi al regolamento europeo non sia stato facile per molti. Ed è stato proprio il Wall Street Journal a pubblicare un sondaggio risalente al 24 maggio 2018, ovvero il giorno prima che il Gpdr diventasse effettivo, che mostra come almeno il 60% delle aziende americane non fosse pronta o del tutto pronta.

L’ecosistema delle agenzie pubblicitarie poi è complesso, al suo interno ci sono diverse aziende che aiutano i brand ad apparire su siti mediante annunci mirati che fanno leva anche sulla geolocalizzazione degli utenti. Se l’utente sta navigando su un sito web brasiliano e questo non ha ottenuto il consenso come imposto dal Gpdr, non può mostrare inserzioni pubblicitarie calibrate sul luogo da cui si sta connettendo.

I cookie

Secondo un rapporto del Reuters Institute for the Study of Journalism dell’Università di Oxford che ha analizzato più di 200 siti di notizie europei, dopo l’introduzione del Gpdr (quindi dopo maggio del 2018) c’è stata una diminuzione dei cookie di terze parti del 22%, soprattutto quelli per la raccolta di informazioni ai fini di marketing. L’analisi ha permesso anche di evidenziare che il 7% dei siti ispezionati ha rinunciato ai classici pulsanti per la condivisione dei propri articoli su Facebook e Twitter. Questo significa che i siti di informazione lasciano ai propri inserzionisti il compito di ottemperare al Gpdr e, nel caso in cui non fossero allineati alle norme europee, non consentono profilazioni.

In Italia il numero di cookie di terze parti è diminuito del 32%, quindi più della media. I cookie, ricordiamo, sono piccoli file depositati nei pc degli utenti dai siti che questi visitano e possono servire per tracciare la navigazione di chi si collega ai siti stessi, anche allo scopo di inviare messaggi pubblicitari mirati.

Fonte: Business Insider Italia - rivista imprenditori

Banca dati