Tecnología

Max Schrems vuole proteggere i tuoi dati facendo causa ai giganti di internet

Max Schrems, giurista austriaco, è noto per aver sfidato Facebook nel 2011 svelando la quantità di dati che trattiene all’insaputa dei suoi utenti e che tratta direttamente negli Stati Uniti invece che in Europa. In quell’anno, partendo da una ricerca per la sua tesi di laurea, Schrems ha scoperto, per esempio, che i contenuti che l’utente cancella restano comunque memorizzati, ritrovando alcuni post che aveva cancellato tra i dati che aveva richiesto a Facebook.

Ovviamente alcune di queste cose sono scritte nella privacy policy del social network, ma molte clausole sono vaghe, e alcune non rispettano le normative europee. A questo si aggiunga che, secondo un recente sondaggio dell’eurobarometro, il 56% degli utenti non legge i termini e le condizioni delle piattaforme che usa, e il 18% di chi le legge non le tiene in considerazione. In seguito a queste scoperte, Schrems ha presentato al Garante della Privacy Irlandese ben 22 reclami, denunciando tutte le irregolarità sulla gestione dei dati degli utenti da parte del social network.

Videos by VICE

L’ultima risale al 2013, e precisamente dopo le rivelazioni di Snowden sul programma di sorveglianza PRISM. In quell’occasione, Schrems ha denunciato il fatto che le agenzie governative statunitensi fossero in grado di accedere anche ai dati provenienti da Facebook Irlanda, appartenenti quindi ai cittadini dell’UE. E gli Stati Uniti non fornivano una protezione adeguata ai cittadini europei nel trattamento dei loro dati. Il Garante Irlandese ha però rigettato la sua richiesta che è finita davanti alla Corte di Giustizia Europea la quale, nel 2015, ha accolto la richiesta dichiarando non più valido l’accordo tra UE e US sul trattamento e la trasmissione dei dati tra i due Paesi (conosciuto come Safe Harbour) perché non adeguato.

In seguito a questa sentenza, le istituzioni Europee hanno dovuto riformulare gli accordi sul trattamento e la trasmissione dei dati tra il vecchio e il nuovo continente passando al Privacy Shield, adottato il 16 luglio 2016. Ora i dati degli utenti europei possono essere trattati fuori dal territorio UE solo in presenza di sufficienti garanzie che nello Stato extra-UE siano protetti adeguatamente. Dopo le rivelazioni di Snowden sembrava evidente che, in passato, questa condizione non venisse rispettata. Di recente il gruppo di lavoro composto dai Garanti della Privacy di ogni Stato dell’UE (Article 29 Working Party) ha revisionato l’accordo e, pur riconoscendo passi in avanti rispetto a Safe Harbour, ha segnalato molti punti da migliorare.

https://twitter.com/maxschrems/status/935463682112413697?ref_src=twsrc%5Etfw

Se l’azione legale contro Facebook relativa alle rivelazioni di Snowden aveva dato i suoi frutti con la sentenza del 2015, quella relativa agli altri 22 reclami era stata rigettata dal Garante Irlandese l’anno prima. Portare in giudizio il Garante sarebbe costato oltre 100.000 euro e avrebbe richiesto alcuni anni prima di arrivare a una decisione. D’altro canto, anche l’azione basata sulle rivelazioni di Snowden era costata una somma simile, finanziata dalle donazioni alla ONG creata da Schrems per l’occasione, europe-v-facebook.org/. Forte della sua esperienza sul campo, Schrems ha mostrato quanto sia difficile per un cittadino comune far valere i propri diritti, specialmente quando si vuole sfidare una multinazionale miliardaria.

Ok, le leggi esistono ma la parte difficile è farle rispettare. Anche entità indipendenti come le Autorità per la Protezione dei Dati (DPA) spesso non hanno i fondi adeguati per analizzare e raccogliere tutti i reclami. In Europa esistono ovviamente molte ONG che si occupano di Diritti Digitali, una tra tutte EDRi (European Digital Rights), ma si occupano per lo più di policy. Il loro lavoro è di fare pressioni sui decision maker, ovvero le istituzioni europee e i governi nazionali, quando una proposta di legge rischia di avere ripercussioni sui diritti fondamentali.

Per questo Schrems ha deciso di fondare una nuova ONG, NOYB.eu, acronimo di None of your business (“Non sono affari tuoi”), che avrà come obiettivo principale quello di controllore i giganti come Facebook e Google. Sfruttando l’art. 80 del nuovo Regolamento Europeo per la Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018 in tutti gli Stati membri, NOYB potrà rappresentare i cittadini che lamentano violazioni dei propri diritti e chiedere, ove possibile, un risarcimento economico.

Per cominciare a lavorare nel 2018, Schrems deve raccogliere 250.000 euro entro gennaio. Per essere pienamente operativi, però, la cifra prevista ammonta a 500.000 euro, mentre ad oggi i soldi raccolti dalla campagna #MakePrivacyReal sono 78.000 euro. Portare avanti azioni del genere richiede molto tempo e risorse umane di alto rilievo: ingegneri informatici, hacker e legali specializzati.

Foto via Parlamento Europeo 2013

La sua campagna è di quelle All or Nothing, o si raccolgono tutti i fondi per partire, oppure non ha senso iniziare. Anche le cause da portare in giudizio verranno valutate caso per caso, in base alla possibilità concreta di ottenere un successo rilevante per la collettività.
Ma tra gli obiettivi di NOYB non c’è solo quello di combattere il Golia Tech di turno. NOYB vuole aiutare concretamente le imprese pubblicando linee guida e best practice per dare consigli concreti su come rispettare la normativa. Molti aspetti del GDPR sono ancora ottimi sulla carta, ma difficili da applicare in concreto per le imprese che volessero farlo davvero.

Il nuovo Regolamento Europeo per la protezione dei dati dà alle associazioni dei consumatori come NOYB la possibilità di portare in giudizio le aziende in nome dei singoli,” mi ha detto Jan Albrecht, eurodeputato austriaco del partito dei Greens, tra i membri “esperti” di NOYB. “Questo facilita enormemente per le persone normali vedere rispettati i propri diritti. Gli Stati Membri dovrebbero seguire l’esempio della Germania che permette a queste associazioni e alle NGO che tutelano i dati personali di andare in giudizio direttamente, senza la necessità di dover portare il caso di un singolo consumatore.”

Albrecht è stato il rappresentante della posizione del Parlamento Europeo nelle discussioni con la Commissione Europea e il Consiglio dell’UE sulla proposta per il nuovo regolamento per la protezione dei dati (GDPR). “Se i consumatori fanno un reclamo alle Autorità Garanti per la Protezione dei Dati (DPA), queste possono portare le aziende in Corte in caso di violazione, oltre alle severe multe che ora è possibile infliggere loro” ha spiegato. “Le Autorità hanno bisogno di più fondi e risorse. Dovranno cooperare di più in futuro e affrontare sempre più casi. In generale, per via della crescente digitalizzazione dei processi, il trattamento dei dati personali andrà aumentando. Per poter attrarre personale specializzato dovranno anche essere in grado i pagare salari adeguati.”

Se volete fare una donazione questo è il link. Forse è il caso di rivedere la lista delle persone a cui fare il regalo di Natale.