Entra oggi in vigore il nuovo Regolamento generale sulla protezione dei dati (Gdpr), emanato dal Parlamento europeo nel 2016. Ci sono stati due anni di tempo dunque affinché aziende e Stati potessero adattare le proprie policy e le proprie leggi alle nuove disposizioni europee, eppure se ne sta parlando diffusamente solo da alcune settimane. In particolare, sembra che sia stato il caso Facebook-Cambridge Analytica a portare un rinnovato interesse sulla questione dei dati personali degli utenti. Un tema molto importante sul quale l’Unione europea si interroga da tempo, con una visione piuttosto ampia della loro tutela. «Il nuovo regolamento potrebbe diventare un punto di riferimento in tutto il mondo, stabilendo nuovi standard di comportamento non solo in Europa, ma anche nei paesi dov’è difficile difendere i propri diritti digitali – si legge in un articolo del Financial Times tradotto da Internazionale e pubblicato sul numero in uscita oggi –. “L’Europa era già avanti sulla questione”, ha ammesso il mese scorso Sheryl Sandberg, direttrice operativa di Facebook».

Il nuovo regolamento va sostanzialmente nella direzione di una maggiore trasparenza nell’utilizzo dei dati dei cittadini da parte delle organizzazioni che ne entrano in possesso. Il consenso al loro uso e alla loro conservazione dovrà essere sempre esplicito (niente silenzio assenso o caselle pre-selezionate). Sarà sempre possibile per l’utente avere accesso ai propri dati conservati sul database delle aziende, ed eventualmente chiederne l’accesso e la cancellazione. Ogni variazione rispetto alle condizioni accettate dall’utente richiederà un ulteriore consenso esplicito. Altrimenti scatteranno le sanzioni, che potrebbero arrivare fino a 20 milioni di euro o al 4 per cento del fatturato dell’azienda.

Le sorti del nuovo regolamento dipendono anche, tra le altre cose, da due fattori: quanto gli utenti saranno consapevoli e informati nell’esercizio dei loro diritti e quanto saranno efficaci i meccanismi di controllo e sanzione. Per quanto riguarda il primo aspetto, Helen Dixon, commissaria per la protezione dei dati irlandese fa notare che «il numero degli utenti di Facebook non è diminuito dopo lo scandalo Cambridge Analytica: le persone dicono che i dati sono importanti, ma continuano a cederli senza preoccuparsi troppo». Anche il secondo aspetto desta qualche preoccupazione: «Giovanni Buttarelli, garante europeo per la protezione dei dati, alla fine dell’anno scorso ha avvertito che le persone che lavorano per le autorità di regolamentazione dell’Unione (circa 2.500) “non bastano a controllare il rispetto di leggi complesse applicabili a tutte le aziende del mondo che offrono servizi ai cittadini europei”».

Non mancano le perplessità attorno all’impianto generale del regolamento, che pure resta se non altro una base di partenza tra le più avanzate attualmente esistenti. Ecco le principali osservazioni critiche rivolte al Gdpr, raccolte in un articolo di Daniele Proverbio per Europae. «Innanzitutto, alcune disposizioni hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel Gdpr. Potrebbero così sorgere contrasti tra il Regolamento e le leggi nazionali adottate per allinearsi alle nuove indicazioni: il rischio è un’ulteriore frammentazione, anziché l’auspicato “mercato comune del dato”. In secondo luogo, è ambiguo il rapporto con i social network: Facebook ha svolto una campagna di “pulizia” della propria immagine, danneggiata dallo scandalo Cambridge Analytica, affermando di volersi allineare alle norme europee. Tuttavia, come si legge nel Gdpr, “il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico […] come l’uso dei social network” (Preambolo, comma 19). C’è quindi un’ambiguità latente il cui sviluppo, paradossalmente, potrebbe portare il cittadino a fidarsi più di un’azienda, che prolifera grazie ai dati e alla profilazione, che dell’istituzione europea. Un’ultima lacuna che si segnala è di natura tecnica. Lo sviluppo tecnologico e degli algoritmi di processamento automatico è già andato oltre la tradizionale raccolta dati esplicita tramite compilazione di moduli appositi, supportata da informative: resta da valutare come e in quale misura gli enti preposti al controllo della privacy sapranno gestire processi affatto trasparenti, in grado di profilare gli utenti di internet in base ai click effettuati e ai like inseriti».

(Foto di Sanwal Deen su Unsplash)