Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

«Uno scontro titanico». Così Barry Steinhardt, presidente dell’associazione internazionale per la tutela degli utenti «Friend of Privacy», definisce il dialogo — difficile — tra Europa e Usa in tema di e-privacy. Un conflitto appena cominciato, con l’arrivo a Bruxelles dei lobbisti delle maggiori tech company d’Oltreoceano, al lavoro per ammorbidire il Data Protection Regulation, il nuovo regolamento europeo sulla protezione dei dati personali previsto per il 2014. E, spiega il «New York Times», per impedire ai netizen europei di cambiare la storia del web: niente più pubblicità mirata su Google e nessuna cattiva sorpresa stile Max Schrems, lo studente austriaco che, quando ha chiesto a Facebook di avere accesso a tutti i dati che lo riguardavano, si è visto recapitare ben 1.222 pagine Pdf e 23 mail di foto e status. Alcuni dei quali, a suo dire, cancellati da tempo.
È alla storia di Schrems che ha fatto riferimento Viviane Reding, la commissaria Ue per la Giustizia, i Diritti fondamentali e la Cittadinanza — che propone il nuovo regolamento — per descrivere lo spirito della normativa: «Servirà a rinforzare la privacy dei cittadini e ad aumentare la fiducia nel business online». Come? Attraverso i 91 articoli della riforma, relativa solo all’uso professionale e commerciale dei dati personali, presentata il 25 gennaio 2012 e ora in discussione al Parlamento.
Quattro, ha sottolineato Reding pochi giorni fa all’Informal Justice Council di Dublino, i provvedimenti principali: il rafforzamento del diritto all’oblio; la data portability (il diritto, cioè, al trasporto dei dati personali da un fornitore di servizi a un altro); l’introduzione del privacy officer, una nuova figura di garanzia presente nelle grandi aziende e nella pubblica amministrazione; l’inversione dell’onere probatorio per l’illiceità del trattamento; e, infine, l’articolo 20 in base al quale gli utenti dovranno fornire alle imprese «consenso specifico, informato ed esplicito» al trattamento dei dati personali, e possono opporsi preventivamente a ogni misura di profilazione online. «Si tratta — spiega Luca Bolognini, presidente dell’Istituto italiano per la Privacy — di un pesante freno al behavioral advertising, la pubblicità comportamentale, la più usata e efficace. Avviene quando il browser, per esempio, installando dei cookie nel pc o nello smartphone di chi naviga lo segue e ottiene informazioni preziose per calibrare i messaggi. Con il regolamento sarà chiesto esplicito consenso preventivo all’utente. Idem con la geolocalizzazione».
Se da un lato, quindi, l’obiettivo del Data Protection Regulation è rafforzare i diritti dei cittadini, dall’altro «si prepara — continua Bolognini — ad abbattere su tutti i titolari del trattamento, quindi sulle aziende e sugli enti, una montagna di adempimenti nuovi, di "compiti a casa", mentre le sanzioni diventeranno mostruose, fino al 2% del fatturato globale annuo di una impresa». Ecco perché i lobbisti sono atterrati a Bruxelles: «Il sistema Usa — spiega Morena Ragone, giurista, vice presidente dell’associazione Wikitalia — si basa su un regime di autoregolamentazione che consente alle aziende di raccogliere i dati degli utenti». E, quindi, di sviluppare servizi con maggiore libertà, come ha avuto modo di sottolineare il 28 gennaio, in occasione della Giornata internazionale per la Privacy, anche l’Icdp (Industry Coalition for Data Protection): «Proprio nel momento in cui il settore Ict è uno dei pochi in grado di stimolare la crescita in Europa, la proposta della Commissione minaccia di compromettere l’ecosistema digitale e, potenzialmente, di soffocare la capacità dell’Europa di innovare».
Eppure la Commissione ha stimato che il Pil del continente potrebbe crescere del 4% entro il 2020 se l’Unione riuscisse a creare, come conseguenza dell’applicazione del regolamento, un mercato unico digitale. Grazie, soprattutto, alla rinnovata fiducia degli europei nelle aziende web. Sentimento che, rivela Eurobarometro — servizio statistico dell’Ue, autore dell’indagine Attitudes on data protection and electronic identity in the European Union, allegata al progetto di legge — solo il 26% degli utenti dei social network e il 18% di chi fa acquisti online si sente nel pieno controllo dei propri dati. Mentre Facebook e Yahoo! escono dalla top ten delle società online ritenute più sicure dagli utenti — americani, stavolta — secondo la recente classifica del Ponemon Institute.
Non è, però, attraverso la proliferazione burocratica che l’ambiente digitale diventa più sicuro. «Serve una visione globale comune, almeno sui principi chiave delle leggi», spiega Daniel Cooper, firma di punta dello studio legale Convington & Burling. E continua: «La giurisprudenza americana riconosce un grande peso ai principi di notice and choice, notifica e scelta. Le regole europee, invece, tendono a essere più paternalistiche, ma non è detto che questo approccio, che nel campo della privacy riconosce al principio del consenso un grande peso, sia davvero più favorevole per i cittadini». Insomma, se alcuni pregi del Data Protection Regulation sono innegabili — «Finora abbiamo trattato la privacy con una visione analogica, stavolta non è così» spiega Ragone — il regolamento potrebbe trasformarsi in un’occasione mancata.
Viktor Mayer-Schönberger, docente di Internet Governance and Regulation presso l’Oxford Internet Institute, ne evidenzia un grande limite: «Avrei sperato ci fosse più attenzione alle sfide poste dai big data. In ogni caso il regolamento sarà incisivo un po’ come la legge della California che ha innalzato il livello di emissioni standard per le auto e ha costretto le industrie a fabbricare più veicoli ibridi. Così l’inasprimento degli standard europei potrà migliorare la privacy mondiale».
Una prospettiva sulla quale Reding sembra puntare, tanto che il faccia-a-faccia con gli Usa è soprattutto politico. Chi detterà, infatti, le regole del web determinerà la forma mentis del pianeta. Per questo l’articolo 3 della riforma è il più controverso: stabilisce che le norme si applicheranno anche alle imprese extra Ue se sono residenti europei a usufruire dei servizi. «Non possiamo, però, essere troppo eurocentrici — conclude Bolognini —. Quasi ogni articolo del regolamento finisce con un comma che conferisce alla Commissione il potere di adottare atti delegati per l’attuazione delle disposizioni. La Commissione può fare e disfare le regole». Un tema spinoso, «tanto che — continua Cooper — molti stakeholder hanno espresso preoccupazione, perché tanta discrezione è riconosciuta a un organo europeo non-eletto». Senza contare che i tempi dell’attuazione del regolamento potrebbero così diventare lunghissimi.
È in dubbio, infatti, se sarà davvero il 2014 l’anno della nuova legge sulla privacy. Sia per questioni interne, come il mal di pancia di Gran Bretagna e Germania che preferirebbero una direttiva al regolamento (ma che, conclude Cooper, «lascerebbe l’Europa come già è: frammentata»), sia per le difficoltà burocratiche. Un rischio, insomma, c’è. Proprio la legge sul diritto all’oblio può finire nel dimenticatoio.
Federica Colonna

FEDERICA COLONNA