Dialogo con Francesca Bassa, avvocato, partner dello Studio legale bd LEGAL di Milano e Delegata di Federprivacy, sugli effetti del GDPR dal punto di vista della tutela effettiva dei dati personali.
La notizia è di pochi giorni fa: l’autorità irlandese per la protezione dei dati personali (DPC) è stata accusata dalla Commissione per le Libertà Civili, la Giustizia e gli Affari Interni del Parlamento Europeo (LIBE) e dall’Autorità Tedesca Per La Protezione Dei Dati (BFDI) di non applicare correttamente le misure del Regolamento Generale Per La Protezione Dei Dati Personali (GDPR) e di favorire le grandi aziende tecnologiche che hanno sede in Irlanda, tra cui Facebook, verso la quale sono in corso ben 14 procedure di infrazione (Instagram e Whatsapp incluse). Procedure aperte da anni e, secondo l’accusa, volutamente protratte, come quella riguardante il trasferimento dei dati dall’Europa agli Stati Uniti avviata nel 2013 da Max Schrems: un’era geologica fa, nell’era di Internet, come ricorda tra gli altri Kevin Carboni su Wired.
Il GDPR ha incentivato aziende e persone a prestare attenzione alla tutela dei dati personali, ma è ancora lungo il percorso verso la possibilità di esercitare i diritti concretamente e in breve tempo
Non basta il GDPR, quindi, a tutelare i dati personali delle persone, se poi le autorità di sorveglianza a cui viene demandato l’accertamento delle violazioni finiscono per prolungare oltre ogni limite la durata dei processi? A che servono le norme, se queste poi non vengono fatte rispettare nell’arco di tempi “ragionevoli”? “Dal mio punto di vista – mi scrive Francesca Bassa, avvocato, partner dello Studio legale bd LEGAL di Milano e Delegato di Federprivacy – il GDPR negli ultimi anni si è dimostrato una importante leva che ha incentivato molto la conoscenza del tema e dell’importanza del controllo delle proprie informazioni tra le persone comuni. Tuttavia, non possiamo dirci soddisfatti se ancora oggi la protezione dei dati personali è vista come un’eccezione negativa, molta carta, burocrazia, documenti lunghi e di difficile comprensione. La protezione dei dati personali deve diventare un’attività semplice, di valore”.
Eppure, anche qualora l’accusa contro l’autorità irlandese si rivelasse infondata, non bisogna trascurare come ad oggi le autorità nazionali dell’Unione debbano fare i conti da un lato con la scarsità di risorse (finanziarie e di personale), e dall’altro con team legali sempre più agguerriti mobilitati dalle grandi aziende tecnologiche per provare a difendersi dalle accuse più sfavorevoli dal punto di vista economico: secondo il Wall Street Journal, infatti, non sono pochi i casi in cui i tribunali hanno dato ragione alle aziende e torto alle autorità nazionali, spesso a causa di errori formali nella fase di indagine e definizione delle accuse. Emblematico, a questo proposito, l’esempio della Germania e dell’Austria dove le aziende sono riuscite a superare indenni le prime fasi del processo perché hanno potuto dimostrare che le autorità garanti della protezione dei dati non erano riuscite a individuare un responsabile univoco del trattamento su cui far ricadere le accuse: impresa assai ardua, soprattutto quando ci si confronta con multinazionali e strutture organizzative complesse.
Una normativa universale che avvantaggia le grandi aziende rispetto a quelle più piccole, e di cui poco si parla e poco si insegna ai cittadini comuni
In questo senso, emergono chiaramente i limiti di una normativa universale rispetto alla quale grandi e piccole aziende possono contare su risorse finanziarie e competenze interne drammaticamente sbilanciate in favore delle prime. “Il GDPR – continua Francesca Bassa – è una legge che si presta a diverse interpretazioni e va approfondita. Le multinazionali, strutturate in dipartimenti privacy e con team interni specializzati, hanno più probabilità di applicare nella sostanza le norme previste dal Regolamento, mentre la stessa cosa spesso non avviene nel caso delle piccole aziende, che a volte hanno minori risorse finanziarie e legali e altre volte non hanno ancora affrontato un percorso di trasformazione interno che il mercato digitale oggi richiede. Dal mio punto di vista, le istituzioni stanno svolgendo un ruolo importante in termini di comunicazione e divulgazione in generale, anche se mancano dei corsi mirati per il cittadino comune, come nel caso degli articoli 15 e seguenti di cui poco si parla e che non si insegna ad applicare. Eppure, chi si occupa di GDPR dovrebbe avere anche il compito di educare”.
A leggere le cronache recenti, come quella che ha visto Facebook rinunciare volutamente all’utilizzo delle foto dei suoi utenti Instagram europei nell’addestramento dell’intelligenza artificiale per timore delle possibili conseguenze dal punto di vista del GDPR, il Regolamento sembra essere oggi più uno strumento “deterrente” che non una garanzia di prevenzione e repressione degli abusi nel trattamento dei dati entro tempi e modalità certe. “Il GDPR ci dice che i nostri dati personali meritano di essere tutelati – aggiunge Francesca – sono il nostro futuro portfolio, hanno un valore economico e dicono molto di noi. Per questo l’Europa si è voluta imporre delle regole e le ha imposte alle aziende affinché queste mettessero dei limiti all’utilizzo non corretto delle informazioni. Il GDPR è una minimizzazione del rischio legale, uno strumento di prevenzione, ma l’adozione di questa normativa è un percorso che richiede tempo e uno sguardo multidisciplinare. Il ‘fatto e finito’, almeno in questa sede, non esiste”.
Ho scaricato i miei dati di Facebook… e adesso?
Guardando a ritroso, è evidente come una delle conseguenze più rilevanti e più controverse del GDPR sia stata quella di costringere le aziende a fornire agli utenti una copia dei propri dati personali raccolti dalle piattaforme digitali di cui fanno uso. Eppure, una volta scaricata la copia dei propri dati di Facebook – o di Instagram, o di TikTok.. – risulta difficile oggi capire quali potrebbero essere gli effettivi vantaggi per l’utente: soprattutto, nella misura in cui il download si configura come l’accesso a una serie di cartelle che si limitano a fornire lunghi elenchi di informazioni tra loro non facilmente correlabili (la lista degli amici, la lista delle pagine a cui si è messo “like”). “La possibilità di scaricare e conservare la propria identità digitale – spiega Francesca – fa sì che aziende come Facebook permettano all’utente di trasferire il proprio database verso altri social o software, anche in un secondo momento, secondo il principio della portabilità dei dati. Facebook vuole andare incontro così alle richieste di trasparenze e portabilità previste dal GDPR”. Anche se questa portabilità, al momento, non genera nessun vantaggio immediato per l’utente che decide di servirsene.
Il GDPR ha fallito? No, secondo Francesca: “non ha fallito, ma c’è molto lavoro da fare perché si possa definire un successo, perché secondo me manca un modello di educazione”. Sì, secondo me: dal momento che sono state richieste ad aziende grandi e piccole gli stessi requisiti da rispettare, salvo poi non progettare un sistema unico di esecuzione delle regole (come nel caso dei tanto famigerati cookies, i cui moduli di accettazione possono prendere le forme e le lunghezze più disparate). Ha fallito anche nella misura in cui non ha previsto tempi certi per le sentenze, scoraggiando la maggior parte delle persone a servirsi della legge per far rispettare i propri diritti personali, a eccezione di pochi casi fortuiti e di eccezionale tenacia come quello di Max Schrems citato all’inizio di questo articolo. Ma, dopo questo scambio di opinioni con Francesca, mi rendo conto che l’esistenza di una legge come questa garantisce una sorta di protezione “preventiva” nei confronti degli abusi: non sufficiente a far sì che non avvengano o che vengano sanzionati, ma perlomeno utile affinché le persone si rendano conto che i loro diritti non sono negoziabili in cambio di un profilo “gratuito”.