Tech by VICE

Come l'Unione Europea vuole difendere la nostra ePrivacy

Abbiamo intervistato Giovanni Buttarelli, il Garante Europeo per la protezione dei dati sui regolamenti che entreranno in vigore nel 2018

di Riccardo Coluccini
06 giugno 2017, 1:27pm

Il trattamento dei dati personali che Facebook riserva ai propri utenti è finito all'attenzione di un gruppo di Autorità per la privacy di cinque nazioni europee. Il gruppo ha dato il via a un'azione congiunta contro il social network.

Le informazioni che Facebook raccoglie sugli utenti coprono un ampio spettro di interessi personali: dai gusti musicali, all'ideologia politica, fino alle fonti di informazioni che seguiamo. Inoltre, dal nostro utilizzo del social network, possono emergere anche dettagli riguardo la nostra sfera sessuale e l'orientamento religioso. Per farsi un'idea a riguardo, è possibile esaminare la sezione dedicata alle inserzioni pubblicitarie nelle impostazioni del social network.

Oltre all'azione congiunta dei cinque stati, anche la Commissione Europea si è mossa e ha recentemente sanzionato Facebook con una multa di 110 milioni di euro per aver mentito durante la procedura di acquisizione di WhatsApp. Il trattamento dei dati personali da parte delle piattaforme digitali è quindi un tema centrale su cui l'Unione Europea è già intervenuta: il 25 maggio del prossimo anno entreranno in vigore il Regolamento generale sulla protezione dei dati personali (GDPR) ed il regolamento sull'ePrivacy.

Abbiamo parlato con Giovanni Buttarelli, Garante Europeo per la protezione dei dati personali, per capire quale sarà l'impatto di questi nuovi regolamenti.

MOTHERBOARD: Come ha accolto i risultati pubblicati il 17 maggio da parte di 3 dei 5 membri del Contact Group? E in particolare, come vede questa azione congiunta, definita da alcuni senza precedenti?

Ogni sincronizzazione di forze che porta ad avere una visione uniforme non può che essere condivisa. La prospettiva però è ben altra, il nuovo regolamento ci indirizza a trattare questi temi in maniera più sincronizzata, fermo restando la possibilità di cooperazioni ed ispezioni congiunte. L'obiettivo è la definizione di un'autorità guida che funga da portavoce.

Secondo la commissione del CNIL francese, Facebook effettua un tracking illegale utilizzando il 'datr' cookie. Quanto è importante che gli utenti siano informati esattamente su cosa fanno i cookie?

Oggi vi è una crescente opacità e non c'è una chiara distinzione tra cookie permanenti e cookie di azione: per entrambi i casi, il trattamento non è soddisfacente da parte di diversi provider. Ed è per questo che sono in discussione le nuove regole che dovrebbero entrare in vigore il 25 maggio 2018 — il cosiddetto regolamento ePrivacy.

La situazione attuale vede gli utenti esprimere il proprio consenso al trattamento dei dati in maniera rassegnata. Questo sistema deve essere cambiato. Bisogna prevedere un setting iniziale dei browser il più possibile user-friendly. Deve essere l'utente, se vuole, a cambiare a proprio sfavore le impostazioni che riguardano la protezione della sua privacy, e non viceversa come avviene ora.

Se entriamo in un negozio fisico e non vogliamo acquistare un prodotto, non per questo, quando usciamo, siamo stati costretti a lasciare un pezzo della nostra vita lì dentro.

L'impostazione " do not track " aiuta effettivamente gli utenti?

Il do not track, il sistema alternativo all'opt-in, non funziona ed è da considerarsi superato. Oltre a presentare dei limiti tecnici, non ha dato prova di efficienza perché anche le manifestazioni raccolte dal do not track per non essere tracciati, in realtà, non sono considerate.

Il futuro dei big data si basa sulla fiducia, sulla trasparenza e sulla correttezza. Come si può pensare di mettere la nostra vita in mano a terzi senza sapere con chi ed in che modo condivideranno i nostri dati? Ci stiamo collegando a migliaia di provider che usano queste informazioni in modi di cui noi non siamo a conoscenza.

Se entriamo in un negozio fisico e non vogliamo acquistare un prodotto, non per questo, quando usciamo, siamo stati costretti a lasciare un pezzo della nostra vita lì dentro. Questo è ciò che succede attualmente quando navighiamo su internet. Un cambiamento tecnologico di questo tipo comporta anche una diversa attenzione all'essere persona. Il problema qui non è solamente collegato alla privacy, non siamo rispettati in quanto persone, è un insulto alla nostra dignità.

Secondo i risultati dell'Autorità olandese, Facebook utilizza i dati personali degli utenti senza il loro consenso, fra questi, vi sono anche dati come preferenze sessuali per mostrare pubblicità personalizzata — anche se per questi dati specifici sembra che Facebook abbia fatto delle modifiche. Che tipo di dati personali potrebbe trattare Facebook potenzialmente senza il nostro consenso?

Un social network di queste dimensioni rappresenta molto di più di una semplice anagrafe mondiale delle persone. Non è la prima e non sarà l'ultima volta che una società di questo tipo non effettua una valutazione di impatto sul piano della privacy, salvo poi fare marcia indietro in un secondo momento e ritrattare.

Come è possibile che un gigante planetario come Facebook sottovaluti l'impatto che può avere su aspetti così delicati della vita personale dei propri utenti? Ogni volta che c'è un obiezione da parte di una Data Protection Authority (DPA), l'azienda procede subito a fare una modifica ex post. Perché queste criticità non possono essere individuate prima? Siamo sicuri che tutte le piattaforme siano state verificate?

Il tema del consenso è centrale nel discorso sul trattamento dei dati personali. Un consenso che deve essere informato, cosciente e, soprattutto, non deve essere considerato eterno ma revocabile in qualunque momento. Qual è l'approccio definito nel GDPR e nel regolamento ePrivacy?

Il consenso rimane un requisito importante e stiamo per emettere delle linee guida al riguardo. L'informativa sul consenso dovrà essere più circostanziata, più specifica: il consenso sarà più facilmente revocabile e dovrà essere collegato al diritto alla portabilità dei dati.

Inoltre, dovrà essere espresso liberamente e non prevedere alcuna conseguenza negativa nella fruizione del servizio se l'utente decide di non acconsentire. Ci sono dei contesti in cui il consenso è impropriamente usato, ovvero quando si illude l'utente che dicendo di "sì" si stia attivamente scegliendo, salvo però poi accorgersi che il trattamento dei dati avverrebbe comunque in quanto previsto e protetto dal punto di vista legale.

In questi casi Facebook si difende affermando che bisogna fare riferimento solo alle leggi sulla protezione dei dati personali del paese europeo in cui ha sede, quindi l'Irlanda. Questo riporta alla luce il tema dell'internazionalità del flusso dell'informazione digitale. Cosa cambierà?

Secondo le attuali regole europee, dobbiamo dimostrare che il titolare, stabilito nel territorio dell'UE, svolga un trattamento dei dati nell'ambito del territorio dell'Unione. Il nuovo regolamento prevede che non ci si possa più scegliere il regolatore in base alla geografia, al legislatore, ai finanziamenti statali, o alla tassazione: sarà più facile quindi dimostrare che vi è una profilazione delle persone da remoto.

Cosa dobbiamo attenderci dall'entrata in vigore del GDPR? Pensa che ci saranno anche effetti globali e non solo a livello europeo?

La protezione dei dati è da tempo al centro dell'agenda politica per varie ragioni, non solo collegate alla sorveglianza post-Snowden, ma anche perché protezione e controllo dei dati significano potere. Noi stiamo discutendo dell'amministrazione del potere di una società del futuro, dei valori su cui si baserà la società e di quali sono i correttivi che possiamo individuare od imporre.

Le grandi aziende tecnologiche si sono rese conto che l'Europa fa sul serio, e ad esempio Amazon Web Services e Microsoft hanno già rilasciato delle dichiarazioni pubbliche in cui affermando che si stanno attrezzando per essere pronte nel 2018. Apprezzo molto questa linea non conflittuale.

Inoltre, 120 paesi nel mondo si sono dotati di leggi simili a quelle europee sulla data privacy: ci sono stati, ad esempio, cambiamenti enormi in Giappone, che da gennaio dello scorso anno ha una legge simile a quella della EU, e che prima aveva un approccio completamente diverso.

C'è quindi una tendenza alla globalizzazione delle regole e proprio il Garante italiano organizzò nel 2000 la conferenza mondiale sulla privacy dal titolo "One world, one privacy": un approccio che si è rivelato lungimirante.

L'intervista è stata editata per necessità di chiarezza e di spazio.