Il 25 maggio di cinque anni fa entrava definitivamente in vigore il Regolamento europeo sulla protezione dei dati personali, segnando una svolta storica con l’introduzione di un’unica normativa valida per tutti i 27 paesi dell’Unione Europea. Secondo l’Osservatorio di Federprivacy, da allora ad oggi le autorità di controllo dello Spazio Economico Europeo hanno irrogato 5 miliardi di euro di sanzioni per violazioni della privacy. Ma i problemi sono tutt’altro che risolti.
Il Gdpr introdusse una disciplina all’epoca innovativa basata sul principio di “responsabilizzazione” (accountability), che richiedeva alle imprese pubbliche e private l’adozione di comportamenti proattivi per essere in grado di dimostrare la concreta adozione delle misure di sicurezza necessarie a garantire il rispetto del Regolamento Ue. Ma da allora la tecnologia si è evoluta in modo talmente rapido da rendere sempre più complessa la tutela della privacy dei cittadini, con preoccupanti impatti sulle loro stesse vite che sono divenuti progressivamente evidenti.
Le nuove sfide per il Gdpr
Il riferimento è soprattutto al problema dell’inclusione, in quanto le persone svantaggiate rischiano di rimanere escluse dalla possibilità di far rispettare i loro diritti. Uno studio condotto da Federprivacy, per esempio, ha rilevato che il 98,7% dei siti web italiani non mette a disposizione i contenuti delle informative privacy sotto forma di video, audio, icone e altre modalità agevolate per chi ha una qualche forma di disagio, come un rifugiato di guerra, una persona con un basso livello di istruzione, un ipovedente, o semplicemente un adolescente.
“Non è possibile pensare a una vera e solida espansione della realtà digitale se l’accesso ad essa continuerà ad essere di fatto inibito a un numero inevitabilmente crescente di cittadini che sempre meno potranno essere considerati come ‘discriminati’ e sempre più dovranno piuttosto essere considerati esclusi dal mondo digitale”, osserva Francesco Pizzetti, presidente emerito del Garante per la protezione dei dati personali.
Negli ultimi cinque anni neppure il web ha ancora raggiunto quel clima di fiducia necessario per un pieno sviluppo del mercato digitale che rientrava tra i principali obiettivi del Gdpr, infatti un’indagine della Commissione Europea ha messo in evidenza che su 399 piattaforme di acquisti online, 148 (37%) usano i “Dark Pattern” per ingannare gli utenti inducendoli a prendere decisioni contro i loro interessi o per farli rinunciare alla loro privacy.
A completare il quadro, il cybercrime minaccia sempre più la sicurezza dei dati degli utenti, e secondo il rapporto annuale del Cnaipic, (Centro nazionale anticrimine informatico della Polizia postale), lo scorso anno sono stati 12.947 gli attacchi informatici rilevati contro infrastrutture critiche, istituzioni, aziende e privati, pari al 138% in più rispetto ai 5.434 dell’anno precedente.
Stanzione: “Equilibrio tra tecnica e libertà”
“In costante bilanciamento con le esigenze individuali e collettive più varie, il diritto alla protezione dati, sancito dalla Carta dei diritti fondamentali dell’Ue e dal Trattato sul funzionamento dell’Unione europea, ha rivelato la sua forza proprio nella sua ‘mitezza’, nel suo essere cioè mai tiranno e nel saper realizzare, di volta in volta, l’equilibrio più alto con gli interessi giuridici in gioco – sottolinea il Presidente del Garante Privacy, Pasquale Stanzione – Con il Regolamento sulla protezione dei dati, l’Europa ha offerto agli Stati membri, ma anche al mondo, uno specifico modello di governo dell’innovazione, fondato su un equilibrio sostenibile tra tecnica e libertà”.
Il nodo dell’intelligenza artificiale
“Dopo cinque anni il Gdpr deve dimostrare di essere all’altezza degli obiettivi per i quali è stato pensato: rappresentare un modello etico e giuridico su scala globale; proteggere i diritti degli interessati europei dentro, ma anche oltre i confini dell’Ue; avere un orizzonte temporale di lungo periodo, adattandosi efficacemente a nuove tecnologie dirompenti sempre più invasive”, ha dichiarato Ginevra Cerrina Feroni, Vice Presidente del Garante della protezione dei dati personali, in occasione del Privacy Day Forum, di scena oggi al Cnr di Pisa e intitolato “Protezione dei dati personali inclusiva e sviluppo sostenibile della società digitale”, a sottolineare l’importanza dell’anniversario. “La sua forza sono proprio la flessibilità, ma da sfruttare senza perdere di rigore, e una governance esigente. Le singole autorità di controllo nazionali ed il Comitato europeo in queste settimane hanno dimostrato di saper fronteggiare sfide importanti dando applicazione coerente, cogente e credibile alle norme del Gdpr, al momento l’unica difesa fra il cittadino europeo e i Leviatani digitali”.
Guido Scorza, componente dell’Authority per la protezione dei dati personali, ha aggiunto che “l’educazione al valore dei dati e la difesa del diritto alla privacy rappresentano le migliori risorse delle quali disponiamo per liberare la società dalle discriminazioni e diseguaglianze che l’affliggono e fare in modo che la società digitale sia migliore di quella analogica, più egalitaria, più partecipata e più inclusiva e non drammaticamente peggiore”.
Al centro del dibattito del Privacy Day Forum vi sono stati poi i temi dell’intelligenza artificiale, per cui si attende dall’Ue l’approvazione di un Regolamento che avrà il delicato obiettivo di favorire l’innovazione tecnologia senza però penalizzare i diritti delle persone, come ha sottolineato Francesco Pizzetti: “Non basta l’informativa sul trattamento dei dati, pure prevista del Gdpr, a tutelare i diritti fondamentali delle persone nella società digitale. Occorre operare anche per garantire la “conoscibilità” effettiva dei soggetti operanti e presenti sulla rete, anche per adottare le misure psicologiche e comportamentali da parte degli utenti che li pongano al riparo da rischi che altrimenti possono diventare elevatissimi, come nel caso di chatbot che mirino a manipolare la psicologia degli interlocutori o a diffondere informazioni del tutto false e costruite proprio per manipolare gli utenti, come già la vicenda di Cambridge Analytica dimostrò alcuni anni fa”.
E se i dati personali possono essere utilizzati per influenzare le decisioni delle persone e avere su di esse dei rilevanti impatti psicologici, c’è sicuramente necessità di cambiare anche mentalità rispetto a una materia che ormai da molti anni viene spesso considerata una burocrazia inutile. “Quando l’operato degli algoritmi è talmente invasivo da avere ripercussioni negative sulla psiche delle persone o da condizionare le loro opinioni non si può più parlare del rispetto della normativa sulla protezione dei dati personali come di un mero adempimento burocratico, ma specialmente con la diffusione dei sistemi di intelligenza artificiale ci troviamo di fronte a una vera e propria questione sociale di portata planetaria a cui vanno trovate soluzioni sostenibili”, ha spiegato Nicola Bernardi, Presidente di Federprivacy.
La Commissione europea: in arrivo nuovi strumenti per armonizzare la cooperazione
“Il Gdpr è stato un passo decisivo nel dare forma alla transizione digitale nell’Ue. Non solo abbiamo stabilito standard globali per la regolamentazione sicura dei flussi di dati, ma abbiamo anche creato le basi per un approccio umano-centrico all’uso della tecnologia”. È quanto si legge in una dichiarazione congiunta di Věra Jourová, Vicepresidente della Commissione europea per i Valori e la trasparenza, e Didier Reynders, Commissario per la Giustizia. “Il Gdpr”, continua la nota, “ha rafforzato e armonizzato il diritto fondamentale alla protezione dei dati per tutti i cittadini dell’Unione europea. Le persone hanno ora il diritto di sapere quali dati vengono utilizzati e per quale scopo. Possono esercitare i loro diritti di accesso, correzione e cancellazione dei dati”.
Bruxelles sottolinea come sia stata creata con successo una moderna cultura della protezione dei dati in Europa, che è stata fonte di ispirazione anche in altre parti del mondo. “I nostri partner internazionali, dalle Americhe all’Asia o all’Africa, sono sempre più interessati a innalzare gli standard di privacy in tutto il mondo e, in questo modo, a facilitare il flusso libero e sicuro dei dati. Si tratta di un vantaggio per i cittadini, il commercio internazionale e la cooperazione. L’applicazione del Gdpr è un compito affidato alle autorità nazionali indipendenti per la protezione dei dati, e la sua accurata applicazione rimane per noi una priorità assoluta. Per questo motivo proporremo presto una nuova legislazione per armonizzare alcune procedure di cooperazione tra le autorità di protezione dei dati sui casi transfrontalieri, che dal 2018 sono più di duemila. È inoltre fondamentale che gli Stati membri forniscano alle autorità nazionali per la protezione dei dati risorse adeguate per il loro importante lavoro”.
Per le aziende europee il Gdpr comporta più opportunità che oneri
Ma qual è il punto di vista delle aziende rispetto all’impatto che ha avuto il Gdpr in questi cinque anni? Innanzitutto, per più dell’80% delle aziende dell’Unione Europea, è possibile mantenere l’equilibrio tra un’attività di marketing efficace e la conformità alle vigenti normative sulla privacy.
A dirlo è Piwik Pro, provider di una piattaforma proprietaria privacy-friendly che analizza la customer journey su web e app, che, in occasione del quinto anniversario dell’entrata in vigore del regolamento, pubblica i risultati della seconda edizione della ricerca dedicata al rapporto tra aziende dell’Unione e Gdpr. L’indagine, condotta nel mese di aprile di quest’anno, ha coinvolto 300 rispondenti tra Ceo, Coo, Cmo, responsabili marketing e senior marketing manager di realtà di medie e grandi dimensioni e Provenienti da 30 Paesi europei.
Il report attesta una crescente consapevolezza dell’importanza della privacy: il 90% degli intervistati ritiene, infatti, che la privacy online dell’individuo debba essere rispettata, percentuale che nel 2022 si attestava intorno al 70%. Evidenza supportata anche da quasi l’80% dei panelisti che considera leggi come il Gdpr necessarie (+4% rispetto allo scorso anno).
Secondo quanto emerge dal sondaggio di Piwik Pro, inoltre, la coesistenza tra un marketing efficace e l’attenzione alla compliance non sarebbe solo possibile, ma rappresenterebbe anche un vantaggio competitivo per l’azienda: 3 intervistati su 4 (nella prima edizione del report erano il 52%) sostengono che agire in linea con le regolamentazioni in materia di privacy abbia un impatto positivo sul business.
È soprattutto la volontà di aumentare la fiducia dei consumatori (65,7%, +10% dell’anno precedente) e agire in linea con i valori del brand (54,3%, +8% vs 2022) ciò che spinge le aziende ad adottare soluzioni per la compliance, mentre si abbassa notevolmente (dal 27,7% al 12,7%) la percentuale di coloro che cita come motivazione il timore di una sanzione.
Ma a cinque anni dalla sua entrata in vigore, com’è giudicato l’impatto del Gdpr? Sebbene il 17,7% dei rispondenti ritenga di aver subito conseguenze negative (una crescita di 10 punti percentuali rispetto al sondaggio precedente), quasi il 40% (1 su 3 nel 2022) ne riconosce effetti positivi, tra cui maggior data security, credibilità del brand e fiducia dei clienti.
La rinnovata attenzione alla questione privacy e le recenti polemiche relative all’uso di Facebook e Google Analytics in Europa potrebbero aver contribuito all’aumento della popolarità delle piattaforme di marketing europee e ospitate nell’Ue Già la maggior parte delle organizzazioni (58%) utilizza software con server nel territorio dell’Unione, e ben tre quarti degli intervistati affermano di essere disposti a valutare la sostituzione dei tool delle big tech con alternative europee: un incremento significativo rispetto al 50% del 2022 ed emblematico di una crescente serenità delle aziende nell’adeguarsi al Gdpr.
Anitec-Assinform accende i riflettori sul data transfer Ue-Usa
Nell’anniversario del Gdpr, Anitec-Assinform accende i riflettori sul data transfer Ue-Usa, ribadendo l’urgenza di accelerare le trattative in corso tra gli Stati Uniti e l’Unione Europea affinché venga garantito il meccanismo di equivalenza di trattamento dei dati, per giungere in tempi brevi a una votazione unanime della procedura di adeguatezza.
Il processo avviato nei mesi scorsi da entrambe le sponde dell’atlantico deve essere accelerato a tutela di aziende e cittadini – evidenzia il presidente Marco Gay – Solo con l’approvazione della procedura di adeguatezza si potrà assicurare, in questo difficile contesto economico, alle aziende europee l’apertura di nuovi mercati e lo sfruttamento di tutte le opportunità offerte dal settore digitale in un contesto di regole chiare e certe.”
La Commissione irlandese per la protezione dei dati personali (Dpc) ha annunciato lo scorso 22 maggio l’applicazione di una sanzione amministrativa a Meta Platforms per aver trasferito dati negli Stati Uniti senza le garanzie per i “rischi e i diritti e libertà fondamentali delle persone”. Questo evento, secondo l’associazione, richiama l’attenzione sul vuoto normativo creatosi a seguito della sentenza della Corte di Giustizia Europea “Schrems II” e sui rischi che le aziende devono affrontare nel trasferire dati al di fuori dell’Unione Europea per offrire i propri servizi.