Riforma Privacy
Nuova Privacy EuropaCirca un anno fa il commissario per la Giustizia alla Commissione Europea, Viviane Reding, ha presentato la riforma della normativa europea sulla privacy. Originariamente pensata come direttiva, invece dovrebbe vedere la luce quale Risoluzione, quindi entrare in vigore automaticamente nei paesi membri, senza necessità di recepimento. Il termine prefissato è slittato nel tempo, dal giugno del 2012 al 2016. La riforma, infatti, si fa strada con notevole lentezza attraverso le varie Commissioni, a causa delle pressioni lobbistiche provenienti in particolare dal governo americano e dai suoi alleati aziendali.
Infatti la nuova normativa si applicherà a tutte le aziende che trattano dati di utenti europei, indipendentemente dalla sede, e quindi i giganti americani del web dovranno garantire un livello di protezione dei dati pari a quello che offrono le aziende europee, pena pesanti sanzioni. Secondo uno studio della Boston Consulting, per gli americani i dati degli europei valgono circa 1000 miliardi.


Cittadini e aziende
La riforma europea mira a contemperare equamente le esigenze delle parti in causa, quindi da un lato vuole garantire i cittadini tutelando maggiormente i loro diritti, dall'altro, in considerazione del fatto che in Europa la maggior parte delle aziende che lavorano sul web sono piccole e medie imprese, la riforma riduce e semplifica gli adempimenti burocratici a loro carico.
Le parole chiave della riforma sono: trasparenza e semplificazione. Per prosperare l'economia digitale ha bisogno di fiducia, ma molti utenti, come risulta da sondaggi, lamentano una gestione opaca dei dati raccolti, ed esprimono timore per la frequenti modifiche dei già poco chiari termini di servizio, che alimentano l'incertezza sull'uso dei dati. Ciò comporta una minore propensione ad utilizzare i servizi online, e questo fenomeno si amplifica con l'aumento dei servizi dedicati agli smartphone (pensiamo all'Ad Tracking attivato di default su IOS6). Sempre più utenti vogliono sapere quali dati vengono raccolti e che fine fanno. Da cui l'esigenza di una nuova normativa tesa a recuperare la (scarsa) fiducia degli utenti nei servizi online.

Guerra commerciale Usa-Europa
Su questo progetto di riforma si sono, però, addensate numerose critiche provenienti per lo più da ambienti americani. Le lobby statunitensi non si sono risparmiate nei giudizi, parlando apertamente di avvio di una guerra commerciale tra Usa e Europa. Non è un mistero, infatti, che i principali destinatari di tale riforma sono le multinazionali americane del web: Google, Facebook, Microsoft, Yahoo, Amazon, Apple...
L'avvocato Ustaran, a capo dell'ufficio privacy della Field Fisher Waterhouse, ha paventato la fine dei servizi gratuiti, come Facebook e Gmail, a seguito dell'approvazione della riforma. I servizi gratuiti si basano sull'uso dei dati personali degli utenti per scopi pubblicitari, e impedire tale uso porterebbe, secondo Ustaran, le aziende all'alternativa tra farli pagare oppure chiuderli.

Alla voce delle aziende si è aggiunta anche quella dei funzionari americani, cosa non sorprendente data la notoria tendenza dell'amministrazione Usa a "confondere" la politica estera con gli interessi delle multinazionali (che ormai reggono il Pil americano). Si sono quindi moltiplicate le conferenze e i dibattiti, nonché gli incontri lobbistici, aventi ad oggetto la discussa riforma.
L'attenzione degli americani a questa normativa è stata decisamente superiore a qualsiasi altro argomento, compreso il famigerato trattato ACTA.
Purtroppo c'è da dire che molti degli argomenti messi in campo per criticare la riforma non sono sempre puntuali, anzi spesso denotano una scarsa comprensione dell'oggetto della riforma.

È ovvio che esiste una marcata differenza nell'applicazione del diritto alla privacy tra Usa ed Europa, laddove oltreoceano si tende a lasciare alla autoregolamentazione delle aziende la gestione dei dati personali. In America è del tutto normale, quindi, un uso ampio e in una certa misura poco trasparente dei dati personali, giustificato in genere da ragioni economiche.
In Europa, invece, c'è maggiore attenzione alla tutela dei diritti dei cittadini, probabilmente anche perché grandi aziende del web che basano il proprio business sull'utilizzo spinto dei dati degli utenti, non ce ne sono.
Negli ultimi tempi è decisamente aumentata l'insofferenza verso l'uso talvolta spregiudicato dei dati degli europei, al punto che in Francia si è proposta una legge per far pagare tale utilizzo. La realizzabilità di tale normativa appare oltremodo dubbia, ma soprattutto l'argomentazione di base si presenta piuttosto debole. Infatti, se le aziende del web sfruttano i dati dei cittadini forse dovrebbero pagare i cittadini per i dati, non certo un governo. In ogni caso la scelta sarebbe dell'utente.

Trasparenza
Comunque, le critiche americane si appuntano prima di tutto sul consenso, che la riforma prevede debba essere specifico, informato ed esplicito, ed essere ottenuto prima di poter utilizzare i dati. Quindi un chiaro rimprovero a quelle aziende che utilizzano termini di servizio poco chiari, troppo complessi, difficili da comprendere, ma anche a quelle che tendono a modificare troppo spesso i termini di servizio, determinando incertezza negli utenti su ciò che accade ai propri dati. Anche perché a seguito di tali modifiche spesso si amplia, sulla base di una scelta unilaterale, il numero dei dati utilizzati e gli scopi per i quali vengono utilizzati, rispetto a quanto era stato accettato dall'utente in sede di iscrizione al servizio.
Evidentemente i dati dovrebbero essere privati per impostazione predefinita ("privacy by default"), potendo essere utilizzati solo dopo la raccolta del consenso dall'utente. Anche qui è una palese critica a quelle aziende che tendono ad impostare di default fin troppi dati come "pubblici" e "condivisi" automaticamente, fin quando l'utente non decide di leggere le impostazioni privacy e di modificarle. Insomma si tratta di applicare il principio dell'opt in, già presente nelle legislazioni europee ma fortemente avversato dalle aziende che preferiscono il meno tutelante opt out, che consente all'azienda di rendere i dati degli utenti pubblici al momento della immissione a meno che l'utente, dopo, non scelga diversamente. Quanti leggono quel link in fondo alla pagina che dice "privacy"?

Il consenso, inoltre, non deve fornire un valido motivo giuridico per il trattamento dei dati personali, nel caso in cui vi è un evidente squilibrio tra l'utente e l'azienda. È evidente il riferimento alle aziende che si trovano in posizione dominante su un mercato specifico, oppure a quei casi nei quali le modifiche unilaterali successive all'iscrizione danno all'utente l'alternativa tra l'accettare la modifica o abbandonare il servizio online nel quale hanno investito molto tempo.
In quest'ottica viene in soccorso un altro principio recepito nella riforma, la portabilità dei dati. Più o meno come accade con i telefonici, i gestori di servizi online devono consentire all'utente di cambiare servizio portandosi indietro i suoi dati senza perdere nulla. In tal modo si incentiva anche la concorrenza tra aziende.
Pensate ad un passaggio indolore tra Facebook e Google+, con i propri post, contatti, ecc....

In tale quadro risulta evidente la pressione dei grandi gruppi americani nella presentazione del Do not track standard, un sistema che consente all'utente, attraverso il browser, di segnalare alle aziende se vuole essere tracciato o meno. Anche la proposta europea risulta particolarmente annacquata, probabilmente per l'intenzione di renderla uniforme al sistema americano. Infatti, il Do not track è già in contrasto con la riforma europea, in quanto, secondo le specifiche del W3C, vedrebbe il segnale disattivo di default (quindi opt out) e dovrebbe essere attivato dall'utente in una fase successiva, in tal modo non rispettando il principio privacy by default.

Sempre in tema di trasparenza e fiducia, la nuova normativa impone alle aziende di notificare agli utenti eventuali violazioni o furto di dati in tempi brevi, 24 ore. Il malcostume delle aziende di non divulgare eventuali hackeraggi subiti, determinando perdita di fiducia e quindi perdite economiche, potrebbe però danneggiare ulteriormente gli utenti. Pensiamo al caso nel quale il furto dei codici di una carta di credito non venga comunicato in tempo, per cui i malviventi hanno la possibilità di sottrarre soldi all'utente, cosa che non sarebbe accaduto se fosse stato avvertito, avendo così la possibilità di bloccare la carta.

La riforma prevede anche una regolamentazione del diritto all'oblio, cioè il diritto che ogni utente ha alla cancellazione dei suoi dati quando non permangono più ragione legittime per mantenerli e l'utente ne chieda la cancellazione.
È un'ipotesi concreta che è salita alla ribalta con alcuni social network qualche tempo fa. In particolare Facebook tendeva a mantenere i dati degli utenti (es. immagini, mail...) anche dopo che essi si erano cancellati dal servizio. Questo non sarà più possibile.
Ovviamente la riforma prevede comunque come limiti il diritto di cronaca, la libertà di espressione e di ricerca, nonché l'obbligo di mantenere tutti i dati che sono previsti dalla legge (ad esempio per fatturazioni o richieste della magistratura).

Semplificazione
È nota la relazione tra gli investimenti e l'incertezza delle norme e della loro applicazione, cosa che pesa più della stessa durata dei processi. In tale prospettiva si innesta la semplificazione delle norme in materia di privacy, nonché delle procedure, armonizzandole e standardizzandole tra i vari paesi, così eliminando le differenze fra le legislazioni nazionali, prima causa di incertezza. Si rafforzano i poteri di controllo delle autorità nazionali (DPA) deputate alla protezione dei dati, migliorandone la cooperazione.
La normativa prevede, inoltre, la diminuzione degli oneri burocratici, e soprattutto che ogni azienda avrà a che fare solo con l'autorità del paese di sede europea, e non invece, come prima, con tutte la autorità dei paesi nei quali opera.
Viene, inoltre, istituito un meccanismo di coerenza a livello comunitario destinato a garantire l'uniforme applicazione delle norme. Un caso che non ha impatto a livello europeo viene deciso dalle autorità nazionali, mentre gli altri sono deferiti al Consiglio che redige un parere consultivo, in seguito al quale la Commissione può adottarne uno proprio, anche questo non vincolante per la autorità nazionali. Se però la Commissione o il Consiglio hanno dubbi sulla corretta applicazione della Risoluzione europea, la Commissione può esigere che l'autorità nazionale sospenda il giudizio, in attesa di una composizione delle posizioni tra le DPA e il Consiglio, oppure di un atto esecutivo della stessa Commissione.

Sicuramente si tratta di una modifica favorevole alle imprese, anche se comporterà che i reclami dei cittadini saranno gestiti dall'autorità del paese dove è stanziata l'azienda (non necessariamente quella di residenza del cittadino) così aumentando le difficoltà dell'utente ed alimentando l'immagine di un'Unione Europa distante dai cittadini.

Anche l'EBF
È abbastanza evidente che molti aspetti della riforma non incontrano certo il favore delle grandi aziende del web, per lo più americane. Ma anche l'European Banking Federation, organizzazione che rappresenta circa 5000 banche europee, critica aspramente la riforma  puntando ad ottenere varie modifiche. In particolare si chiedono: multe più basse (rispetto a quelle previste che dovrebbero essere del 2% del fatturato), la liceità del trattamento di dati proveniente da elenchi e documenti pubblici, la liceità del consenso implicito (e non si capisce per quale motivo non possano chiedere un consenso espresso all'atto dell'iscrizione al servizio) e consentire la profilazione perché sarebbe imposta dall'antiriciclaggio e serve per una corretta erogazione dei mutui (saranno esclusi dai mutui gli utenti che guardano troppo porno online?!?). Insomma una serie di emendamenti atti ad indebolire seriamente la tutela dei consumatori.

In breve la riforma ha incontrato la strenua opposizione degli Usa ma in genere delle aziende, per motivi puramente economici. Anche se dovremmo dire che la difesa della nuova normativa, almeno per alcuni, è dovuta ad altrettanti interessi economici, altrimenti non si spiega come mai la Francia sarebbe disposta ad accettare l'uso dei dati dei cittadini purché sia pagata una tassa (al governo).
Non ci rimane che attendere per vedere come andrà a finire questo braccio di ferro tra Usa e Europa.