Da maggio 2018 è entrato in vigore in tutta Europa, e quindi anche in Italia, il regolamento Europeo denominato “GDPR” che impone a tutte le organizzazioni (con e senza scopo di lucro) che gestiscono dati personali di altri utenti una serie di obblighi di comunicazione e gestione degli stessi; questi obblighi impongono a tutte le società che gestiscono dati personali di consentire agli utenti non solo di modificare il consenso, ma anche di avere accesso ai propri dati, di modificarli e di cancellarli del tutto (ovviamente con grande approssimazione).
D’altronde proprio nel maggio 2018 tutti noi abbiamo ricevuto centinaia di email (ma quanti sono i siti a cui ci siamo registrati?) di società di ogni genere a cui avevamo dato i nostri dati, magari solo con la sottoscrizione di una newsletter, che ci cominicavano “sostanzialmente” chi era in possesso dei nostri dati e per quale specifico motivo essi venivano utilizzati. Insomma abbiamo avuto le caselle di posta intasate da email provenienti da siti di ogni genere, di cui forse avevamo anche dimenticato di esserci iscritti. Possiamo ammetterlo, la maggior parte degli utenti ha fatto poca attenzione a quelle email (d’altronde erano scritte in “burocratichese”) e pochissimi hanno davvero esercitato il potere che il GDPR riconosce a ciascuno, ovvero quello di modificare i dati in possesso, di richiederne copia e modalità di utilizzo, od in ultima ipotesi di cancellarli del tutto.
Quali sono i diritti principali dell’utente dopo l’introduzione del GDPR?
A questo punto conviene qui esemplificare quali siano i principali diritti che il nuovo regolamento sulla Privacy attribuisce agli utenti, i cui dati personali vengono trattati. Ovviamente citiamo solo i principali essendo il GDPR decisamente complesso, ma possiamo in prima approssimazione dire che la proprietà dei dati è e resta dell’utente, mentre la gestione degli stessi è demandata al titolare del trattamento.
Innanzitutto il primo diritto è quello del “Consenso Infortmato”: nessuno può trattare i dati personali senza che a ciò sia stato espressamente autorizzato dall’utente. Il consenso deve essere sempre preventivo e l’utente deve essere informato della modalità di gestione, di chi tratterà i dati e per quali finalità essi verranno trattati. Il consenso non può mai essere obbligatorio (ovviamente nel caso di sottoscrizione di contratti senza la prestazione del consenso non potrà avvenire la sottoscrizione) e non è mai fornito a titolo definitivo; la proprietà dei dati personali è sempre dell’utente che ha fornito il consenso, il solo utilizzo degli stessi e per le finalita a cui si è espressamente aderito appartiene alla disponibilità del titolare del trattamento.
Da questo derivano due diritti conseguenziali: il diritto di accesso e di rettifica. L’utente ha il diritto di chiedere alle società che gesticono i propri dati personali informazioni sui dati in loro possesso, ed ha la possibilità di rettificare dati eventualmente erronei; inoltre vi sono alcune categorie di dati “sensibili” che non possono essere trattati se non in presenza di specifiche esigenze o sotto il controllo di determinati enti. In sostanza le società titolari del trattamento devono operare secondo il principio di “minimizzazione” dei dati raccolti, ovvero devono raccogliere solo i dati essenziali alla finalità del trattamento e non anche quelli ridondanti.
Ne deriva da questo impianto un ulteriore diritto, forse la più importante novità del GDPR: il diritto all’oblio. L’utente ha il diritto non solo di sapere come, quali e da chi vengono trattati i propri dati personali, non solo il diritto di modificarli, ma anche quello di trasferirli ad altro titolare in blocco, o nel caso più estremo di richiederne la cancellazione “storica”. Questo significa che la cancellazione dovrà avvenire non solo per il futuro, ma anche per il passato: i dati raccolti quindi non dovranno essere quindi non solo utilizzati per il futuro ma neanche accessibili… cancellati in tutto e per tutto! Per questa ragione viene denominato diritto all’oblio.
Il GDPR ed il consenso all’utilizzo dei Cookies: diritto od inutile complicazione?
Quanto appena detto nella sezione precedente esemplifica in modo approssimativo il contenuto “positivo” della nuova normativa sui dati personali. Tale normativa però ha influenzato anche la già presente regolamentazione circa l’obbligo europeo di comunicare agli utenti di internet da parte dei diversi siti l’utilizzo dei cosiddetti “cookies”.
La differenza rispetto a marzo del 2017, quando tutti noi abbiamo cominciato a veder apparire sui siti quei “fastidiosi” (si lo sono, soprattutto sui dispositivi mobili con schermo più piccolo) banner o popunder in cui si comunicava l’utilizzo di questi “misteriosi” cookies, sta nel fatto che oggi il consenso al loro utilizzo deve essere preventivo (per talune tipologie) non potendosi risolvere la questione in un silenzio assenso; pertanto i cookies che raccolgono “dati personali” dovranno essere installati solo se il consenso viene effettivamente prestato, fermo restando la possibilità dell’utente di utilizzare strumenti più o meno tecnici per la rimozione degli stessi (una sorta di modifica del consenso prestato).
Per quanto riguarda i cookies la nostra valutazione circa l’utilità di una normativa così complessa riguarda sia la diversità dei “dati personali” trattati, sia la natura decisamente tecnica della materia. L’utente medio si troverà quindi a dover accettare in blocco i cookies di un determinato sito, o potrà davvero avvalersi degli strumenti tecnici a disposizione per una loro “accettazione selettiva”? Noi crediamo che la maggior parte degli utenti si limitino a cliccare su “Si” o “No”, e pochissimi approfondiscano la questione riguardo ai singoli cookies installabili.
Innanzitutto esistono alcuni cookies “tecnici o di sessione” che non sono considerati dati “personali”; essi sono utilizzati per il funzionamento del sito e vengono cancellati automaticamente dai sistemi quando il visitatore abbandona la pagina. Dati personali “informatici” sono considerati invece l’indirizzo IP (e per utilizzare gli Analytics è necessario un consenso, a meno di anonimizzazione dell’ultimo ottetto dell’indirizzo IP), in quanto “potenzialmente” adatto ad individuare l’utente (attraverso un’ulteriore dato però in possesso delle sole compagnie telefoniche), e tutti i dati di navigazione dell’utente che possono essere tracciati tramite i cookies pubblicitari o di profilazione, anche se essi non individuano un soggetto con “nome e cognome”, ma solo un “computer” od un “account” od un determinato dispositivo elettronico.
Questa tipologia di “cookies” sono quelli che consento la cosiddetta pubblicità “ad hoc”… Quante volte ci è successo che apparissero banner pubblicitari di cose che avevamo cercato precedentemente, magari su Amazon od Ebay?
A nostro avviso l’eccessiva invadenza dei banner di consenso all’utilizzo dei cookies, la complicazione tecnica nel disattivarli selettivamente, e la relativa irrilevanza per l’utente medio (almeno per quello che non si registra ai siti e li visita soltanto) rendono questa normativa un pò eccessiva, dato che al termine di ogni sessione di navigazione è possibile impostare il proprio browser per la cancellazione automatica di tutti i cookies.
Ed inoltre che male c’è se visitiamo un blog (ed anche noi a latere viviamo di piccola pubblicità) che ci vengano mostrati annunci pubblicitari pertinenti? I siti vivono di questo (e questo è il motivo per cui i banner di consenso soprattutto sulle grandi testate giornalistiche o sui grandi portali sono veramente grandi per invogliare gli utenti a cliccare su “SI” e chiuderli); qualora la maggior parte degli utenti non acconsentisse all’utilizzo dei cookies, crediamo che quegli stessi utenti comunque effettuerebbero acquisti online sui principali portali (magari Amazon ed Ebay, per esempio). In questo caso i grandi colossi tratterrebbero tutto il profitto solo per se, mentre se magari l’utente fosse stato indirizzato da un piccolo banner su un piccolo blog, essi dovrebbero riconoscere un minuscolo profitto anche a chi ha fornito “la pubblicità efficace”.
Insomma non accettare i cookies di profilazione rischia davvero di eliminare anche quel poco di profitto che le multinazionali del web trasferiscono ad operatori molto più piccoli… favorendo ancora una volta la concentrazione della ricchezza. Speriamo davvero che il fine ultimo della normativa sui cookies quindi sia stata effettivamente la tutela dei dati personali dell’utente e non un “favore indiretto” alle grandi corporations.