Riforma Privacy UE: troppi emendamenti per limitare i diritti dei cittadini

Riforma Privacy
Riforma privacy europeaLa riforma europea della normativa in materia di privacy prosegue il suo accidentato cammino tra i numerosi attacchi delle lobby, americane ma non solo, che minacciano di fissare degli standard in materia i quali, per favorire gli interessi economici delle multinazionali, finiranno per limitare pesantemente i diritti dei cittadini europei.

La proposta di riforma in realtà fissa alcuni principi importanti per una tutela rafforzata dei diritti dei cittadini, consentendo un adeguamento ai maggiori rischi di perdita di controllo dei dati personali dovuti alla proliferazione dei mezzi di comunicazione, principalmente gli smartphone costantemente connessi alla rete internet. Però numerosi emendamenti supportati dalle lobby aziendali, come descritto da NakedCitizens rischiano di indebolire il Regolamento e consentire alle multinazionali l'uso indiscriminato dei dati personali. 

3000 emendamenti
Attualmente sono in discussione oltre 3000 emendamenti presso la Commissione LIBE (Libertà civili, giustizia e affari interni), molti dei quali presentati dall'Alleanza dei Democratici e dei Liberali per l'Europa (ALDE).
Alcuni di questi emendamenti si focalizzano sull'indebolimento del concetto di "consenso" per l'uso dei dati personali.
Da recenti sondaggi è emerso che la larga maggioranza dei cittadini europei è preoccupata per l'uso dei loro dati da parte delle aziende, ritenendo di non aver un sufficiente controllo sui propri dati. Questo è uno degli elementi sui quali si appunta la riforma UE, perché ovviamente finché i cittadini non si fidano dei servizi in rete tenderanno a usarli meno, rendendo vano il progetto di realizzare un mercato digitale europeo. Il problema principale è dato dall'evoluzione della tecnologia, ormai così sofisticata che gli utenti non sono quasi mai consapevoli di essere tracciati, non sanno quali dati vengono raccolti e nemmeno cosa accade loro. Pochi sono a conoscenza del fatto che la navigazione tramite smartphone comporta automaticamente l'invio di una quantità spropositata di dati, con vari servizi di tracciamento attivati di default.
Inoltre le informazioni fornite dalle aziende sono spesso oscure e espresse in "legalese", quindi in genere non immediatamente comprensibili ai più, rendendo difficile comprendere le conseguenze di eventuali decisioni in materia di privacy.
La riforma in preparazione, invece, tende a far riappropriare i cittadini del controllo dei proprio dati, imponendo una informazione preventiva e completa su quali dati vengono raccolti e per quali finalità, non consentendo nessun uso prima che il consenso sia stato fornito. Quindi il consenso deve essere: informato, specifico ed esplicito.

Consenso
Molti emendamenti tendono a ridefinire il consenso indebolendolo in vari modi. Ad esempio eliminando la necessità che sia esplicito. In tal senso, quindi, la semplice iscrizione ad un sito web sarebbe ritenuta un consenso implicito all'uso dei dati, senza necessità di ulteriori attività da parte dell'utente. Si passerebbe quindi dal più tutelante opt in all'opt out decisamente preferito dalla aziende, che in sostanza non è altro che un modo per saltare questo adempimento.
Pensiamo al Do Not Track standard, che dovrebbe essere applicato ai browser e consentirebbe agli utenti di segnalare che non vogliono essere tracciati durante la navigazione online. Secondo l'opt in, al momento dell'installazione il browser dovrebbe avere di default il segnale attivo, quindi l'utente non dovrebbe essere tracciato a meno che non lo scelga espressamente. Applicando l'opt out (consenso implicito), l'utente sarebbe tracciato per impostazione predefinita a meno che non scelga diversamente. È ovvio che la maggior parte degli utenti non sa nemmeno che esiste una funzionalità di questo tipo, per cui si lascerebbero tracciare senza nemmeno saperlo. È il solito problema di conoscere i propri diritti, e le aziende preferiscono cittadini ignoranti!

Altro punto che si tenta di modificare è la necessità della finalità. L'utilizzo dei dati è strettamente legato alla finalità, nel senso che se si informa l'utente che i suoi dati verranno utilizzati per uno scopo, dopo non possono essere utilizzati per uno scopo diverso ed ulteriore, ma occorre un nuovo consenso.
Vari emendamenti tendono ad eliminare questa limitazione, consentendo l'uso dei dati anche per scopi differenti da quelli per i quali erano stati raccolti. A quanti è capitato di iscriversi ad un gruppo in rete creato per un motivo e poi trovarsi a propria insaputa a supportare un certo partito politico o una certa iniziativa?
Indebolire il concetto di consenso è un modo palese per minare il Regolamento medesimo.

Profilazione
Un altro punto sul quale si addensano gli emendamenti è la profilazione, cioè quell'attività massiccia di raccolta di dati personali che, combinati tra loro, consente un tracciamento delle abitudini del soggetto. In genere è utilizzata per inviare pubblicità mirata all'utente, ma anche i governi la usano a fini di controllo e prevenzione della criminalità.
La regolamentazione europea si focalizza proprio su questa attività, in particolare in relazione alla normativa sui marcatori (o cookie) utilizzati dai siti web e dai social network, i quali devono essere sempre oggetto di informativa, e l'utente deve fornire un preventivo ed esplicito consenso al loro uso, in mancanza del quale non possono essere utilizzati.

Molti emendamenti, invece, non distinguono tra uso normale dei dati e uso a fini di profilazione, ritenendo consentita la profilazione anche in assenza di un esplicito consenso.

Interesse legittimo
L'articolo 6 comma 1, lettera f) della proposta di riforma in materia di privacy prevede che le aziende possono utilizzare i dati degli utenti anche quando ciò è necessario per un interesse legittimo dell'azienda ("processing is necessary for the purposes of the legitimate interests pursued by a controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child"). Il concetto di interesse legittimo può dare adito ad abusi, consentendo all'azienda di utilizzare i dati degli utenti anche in contrasto con le altre restrizioni previste dalla normativa (ad esempio Google ha unificato i dati di tutti i suoi servizi in un solo database), ed anche in assenza di un consenso (l'esempio classico è l'utilizzo di un sito web, i dati possono essere raccolti in assenza di consenso a fini di sicurezza del sito). Per cui si tratta di una norma già poco tutelante per i cittadini, potendo dare adito ad abusi.

Molti emendamenti tentano di estendere il legittimo interesse anche alle "terze parti" che utilizzano quei dati. In tal modo si amplia la vulnerabilità del sistema di protezione dei dati personali. Un'altra azienda, ad esempio, potrebbe ritenere che è suo legittimo interesse utilizzare i dati per una finalità diversa da quella di raccolta originaria.

Pseudoanonimizzazione
In alcuni casi è consentito l'uso di dati personali se anonimizzati. La pseudoanonimizzazione è una tecnica in base alla quale si separa il nome dai dati, in modo che i dati formalmente non consentirebbero di identificare un soggetto fisico.
Molti emendamenti sono diretti a consentire la procedura di pseudoanonimizzazione in modo da utilizzare i dati anonimizzati per fini di profilazione o per altre finalità, anche senza il consenso degli utenti. In realtà molto spesso accade che la combinazione dei dati anonimi (pensiamo al numero di cellulare, all'indirizzo, ecc...) comunque consente l'identificazione di un soggetto fisico, per cui non si ha una reale ed effettiva anonimizzazione.
Questi sono i punti toccati da alcuni dei 3000 emendamenti presentati in Commissione LIBE. È evidente che il cammino della riforma della privacy si presenta sempre più difficile, perché le aziende americane e la stessa amministrazione Usa tendono ad osteggiare tale normativa in quanto limiterebbe i profitti delle multinazionali del web, per lo più americane. Se a ciò aggiungiamo che anche molte aziende europee non vedono di buon occhio tale normativa, il quadro, desolante, risulta completo.