GDPR: tutto quello che c’è da sapere

La GDPR o General Data Protection Regulation è entrata in vigore di recente in Europa e cambia le carte sul tavolo del gioco dei dati.

Imprenditori e editori, ma anche semplici cittadini, si chiedono se sarà un effettivo cambiamento di regolesulla privacy o se porterà solo a moltiplicare le richieste di permessi di cui spesso non si capisce il significato. Quando per esempio, in seguito allo scandalo su Cambridge Analytica e Facebook, molti utenti cominciarono a scaricare i propri dati immagazzinati sul social – possibilità offerta a seguito dello scandalo e sancita in GDPR nella regola di Data Portability –, essi scoprirono che Facebook aveva accesso alla propria rubrica e messaggi. Il problema è che Messenger aveva chiesto il permesso, con un messaggio che non potremmo definire criptico. Malgrado ciò,  molti non avevano capito a cosa stavano dando il consenso. Riportiamo nella foto qui sotto il testo del messaggio fino a poco tempo fa  (ora modificato senza più riferimenti ai numeri telefonici):

Ed è qui che interviene la GDPR: i consensi dati possono essere tolti in qualsiasi momento.
L’affanno con cui pagine e brand si sono affrettati a inviarci lunghe mail in cui riportano la policy della privacy, sono un mezzo con cui questi cercano di aggirare la legge, che prevede che l’uso debba essere espresso quanto più chiaramente possibile ed è comunque revocabile in ogni momento e con la stessa facilità con cui era stato dato. Se era bastato un clic a dare il consenso, deve bastare un clic a revocarlo.
Questo esempio chiarisce l’importanza della revocabilità: non sempre comprendiamo appieno il significato e le implicazioni di ciò a cui consentiamo. Fino a oggi le revoche erano possibili ma in molti casi rese difficili con sistemi per cui occorreva richiedere la revoca e passare per una serie di procedure cavillose e scoraggianti. Nel caso di Facebook, la cancellazione dei propri dati era lenta e spesso incompleta. La GDPR inoltre offre la possibilità di citare in causa un uso non autorizzato dei suoi dati in rete. Anche in questo caso, era una possibilità che teoricamente avevamo anche prima ma si trattava di qualcosa di non sempre facile attuazione: quale singolo sfiderebbe un colosso del mercato? La legge stabilisce la possibilità di riunirsi in class action e che siano le stesse associazione a poter citare i colossi per gli abusi.
Infine, la legge limita il numero e la qualità di dati che possono essere prelevati a quelli strettamente pertinenti all’uso destinato. In altre parole non sarebbe più possibile per una società prelevare i dati di terze persone come aveva fatto Cambridge Analytica, né rivendere i dati ad altre società per usi non consentiti.

Il deterrente delle multe diventa molto più convincente

La legge regola un giro di affari enorme: basta pensare che nel 2017, solo negli Stati Uniti, si stima che siano stati spesi oltre 19 miliardi di dollari nel mercato dei dati. Oltre a stabilire limiti alla capacità delle aziende di trattenere dati (e mai senza consenso), la legge stabilisce per la prima volta un fondamentale potere di deterrenza: le multe infatti sono state innalzate fino a 10 milioni di euro, oppure il 2% del fatturato dell’azienda. Nei casi più gravi, per ditte maggiori, si arriva fino a 20 milioni o il 4%. In sintesi, anche se la legge non si spinge tanto in là da affermare che i dati appartengono agli utenti che li hanno generati, dà a loro dei diritti precisi e soprattutto la possibilità concreta, fino ad oggi negata nella maggioranza dei casi, di affermarla.

Il mercato dei dati si fa meno redditizio

Uno dei motivi per cui la legge è temuta dalle aziende è il fatto che essa potrebbe comportare l’ulteriore calo di introiti provenienti dalla raccolta pubblicitaria, un calo che si inserirebbe in un trend già di per sé negativo: la pubblicità in rete si è fatta tanto più invasiva quanto sono calati gli indici di rendimento. In altre parole, (quasi) nessuno clicca banner e annunci, e l’uso di AdBlocker è sempre più diffuso, soprattutto tra i più giovani, che si distinguono anche per la maggiore consapevolezza circa il rischio della libera circolazione dei dati.

Dati sanitari

L’abuso più grave registrato riguardava l’uso dei dati sanitari. Sebbene la legislazione tedesca limitasse l’uso di dati sanitari degli individui, questi erano liberamente acquisibili dalle assicurazioni sanitarie. Secondo una denuncia del 2016 delle associazioni di settore, le principali assicurazioni sanitarie accedevano ai dati prelevandoli da altre fonti. In altre parole se il medico era vincolato alla discrezionalità circa le patologie e terapie, le assicurazioni potevano arrivare ad avere queste notizie attraverso la libera navigazione in rete. Il rischio concreto era che non gli venisse offerta copertura per le patologie già in essere. Oggi la legge tedesca impedisce la circolazione dei dati sanitari stabilendo che il paziente è il proprietario dei propri dati sanitari. 

Diritto all’oblio, alias cancellare la cronologia

Altra garanzia stabilita dal GDPR è il diritto all’oblio, ossia il diritto alla cancellazione dei propri dati. In questa direzione si iscrive la novità annunciata recetemente da Facebook di consentire ai propri utenti di cancellare la cronologia. L’azienda, insomma, si adegua solo quando lo scandalo è già scoppiato. Al contrario la legislazione europea pronta ad entrare in vigore non è più accusata di essere liberticida o di non capire il funzionamento della rete, ma è considerata una misura d’avanguardia a cui ispirarsi. 

Pseudonimia e Anonimato

Altro principio stabilito in difesa della privacy è la Pseudonimizzazione, quando non Anonimizzazione o Tokenizzazione (un sistema per cui ai dati sensibili viene sostituito un token, la cui chiave di decriptizzazione sia tenuta separata dal dato). In altre parole alcuni usi dei dati sono consentiti se non riferibili direttamente alla persona che li ha generati. Anche in questo caso la Germania è già andata oltre: una sentenza di febbraio stabilisce che Facebook deve rivedere le proprie condizioni d’uso e gli utenti non saranno più obbligati a fornire il proprio nome e dati reali. Per quanto riguarda i dati che sono salvati in cloud, essi possono essere personalizzati: un utente può decidere di dare il proprio permesso per un uso ma non per un altro; utenti diversi possono decidere per permessi diversi;  infine, gli utenti possono rendersi anonimi, o anche chiedere la cancellazione dei dati del cloud. In questo caso, la direzione intrapresa dall’Europa, è opposta da quella dell’azienda di Palo Alto, che punta a introdurre il riconoscimento facciale. Zuckerberg afferma al congresso che il riconoscimento facciale impedirà la diffusione di fake news tramite falsi titoli di testate o l’uso di bot. Il problema è che quegli stessi dati che potrebbero essere usati per la sicurezza dei cittadini oggi in America, sono usati anche in Cina per il controllo sociale: chi ci garantisce quali saranno gli usi futuri di questa tecnologia?

Pubblicità del futuro ed effetti a lungo termine

Non è la fine della pubblicità, ma con ogni probabilità si affermerà un tipo di pubblicità diversa, molto più legata al contenuto e al contesto di quanto non fosse prima. La pubblicità deve essere inerente all’attività e al contenuto e non invasiva. I progetti sono sostenibili quando il pubblico ne avverte l’utilità, li sostiene e li promuove – già ad oggi, non esiste “youtuber” che si finanzia sul numero di visualizzazioni, il cui pagamento è irrisorio, ma sul sostegno dei fans utilizzando sistemi come Patreon. Sicuramente i dati non finiranno con questo di avere il loro valore di mercato, ma si tratta di una legge che restituisci alcuni diritti ai cittadini, ai fini della sicurezza dei singoli e collettiva. Il modello giuridico è proprio quello intrapreso dalla Germania per i dati sanitari: idealmente dovremmo essere noi i soli proprietari dei dati che generiamo e che concediamo per alcuni usi che riteniamo essere di nostro interesse. Una società che si rendesse conto del valore economico e della posta in gioco quando si parla di dati sarebbe sicuramente il segno di una società più matura e consapevole di quella in cui abbiamo vissuto finora. Nel complesso, si può dire che la GDPR sia una legge che segnerà un prima e un dopo: il primo vero strumento legale per porre un limite a mercato che finora si è rivelato selvaggio, senza regole, ultraliberista. Dalle conseguenze politiche incalcolabili.  Una sfida per tutti gli editori, dai grandi colossi ai singoli: il traffico di dati e la raccolta pubblicitaria potranno sempre meno essere usati come fonte di guadagno.

 




SEGUI TUTTE LE NEWS SU BERLINO, SEGUI BERLINO MAGAZINE SU FACEBOOK

Foto di copertina: ©TheDigitalArtist, GDPR, Pixabay, CC0.

Leave a Reply