Era il 25 maggio 2018. Segnava l’entrata in vigore del Gdpr, la normativa europea sulla gestione dei dati personali a tutela delle persone, della loro privacy, con maggiore trasparenza e correttezza in 27 paesi dell’Unione Europea. Un passo epocale, che sanciva nuovi diritti per le persone, nuove normative, nuove multe per le aziende o le pubbliche amministrazione che della privacy si facevano beffa, arrivando a comminare sanzioni per 5 miliardi di euro ad oggi (fonte: Osservatorio Federprivacy).
Sono passati cinque anni appunto, ma il tema privacy è rimasto al centro del dibattito e si fa via via sempre più complesso, perché l’evoluzione della tecnologia rende più complicata la tutela dei dati delle persone. Non ultima l’ondata di innovazione sull’intelligenza artificiale che ha alzato l”attenzione su questioni pesanti che riguardano il futuro del lavoro e della società.
Cosa ha sdoganato il Gdpr. Molto.
Innanzitutto la responsabilizzazione (o accountability) dei titolari del trattamento dati sia nelle aziende sia nella PA, spingendoli ad essere proattivi o non a considerare la privacy come un mero obbligo. In questo modo la privacy è diventata parte integrante e permanente delle attività delle imprese e delle amministrazioni pubbliche e in poco tempo il cambio d’approccio radicale adottato da tutti gli stati europei è diventato un modello di governo della privacy in tutto il mondo. Invidiosi gli Usa.
Così il Gdpr ha sancito il “diritto alla portabilità” dei dati (le persone possono trasferire i propri dati da un titolare del trattamento a un altro, anche nel mondo dei social network), il “diritto all’oblio” (le informazioni personali non vengono più riproposte dai motori se non sono più rilevanti rispetto alla finalità con le quale sono state raccolte). Ha definito i principi della “privacy by design” e della “privacy by default” da adottare in aziende e PA sin dalla genesi dei prodotti e dei servizi, configurando in erba le misure necessarie a tutelare i diritti degli interessati e a rispettare le norme del Gdpr. Ha varato la nuova professione del responsabile della protezione dei dati (Rdp in italiano) o del data protection officer (Dpo in inglese), incaricato di proteggere i dati personali in azienda. Una assunzione chiara di responsabilità, ma perennemente nei panni del mediatore. “In costante bilanciamento con le esigenze individuali e collettive più varie, il diritto alla protezione dati, sancito dalla Carta dei diritti fondamentali dell’Ue e dal Trattato sul funzionamento dell’Unione europea, ha rivelato la sua forza proprio nella sua ‘mitezza’, nel suo essere cioè mai tiranno e nel saper realizzare, di volta in volta, l’equilibrio più alto con gli interessi giuridici in gioco”, commenta Pasquale Stanzione, presidente del Garante della Privacy.
Ma l’equilibrio invocato dal Garante richiede tempo e i problemi irrisolti rimangono, come evidenziato anche durante il Privacy Day Forum 2023 tenutosi al Crn di Pisa, proprio nel giorno del quinto anniversario dall’entrata in vigore del Gdpr.
I dati sono allarmanti. Secondo uno studio di Federprivacy il 98,7% dei siti web italiani non mette a disposizione i contenuti delle informative privacy in modo agevolato (con icone, video, audio) in modo che tutte le persone possano comprenderne il significato, dagli adolescenti, agli stranieri, a chi ha minori abilità o istruzione. Creando un problema di diseguaglianze.
E i siti di e-commerce spesso sono costruiti con poca trasparenza: una ricerca a tappeto condotta lo scorso gennaio dalla Commissione Europea afferma che su 399 negozi online al dettaglio, ben 148 (37%) usano i cosiddetti “modelli oscuri” o “dark pattern” (conti fittizi, interfacce web che inducono ad abbonamenti o acquisti, informazioni occulte) per ingannare gli utenti inducendoli a prendere decisioni contro i loro interessi o per farli rinunciare alla loro privacy.
Pare chiaro che la privacy non è più semplicemente un adempimento burocratico per aziende e pubbliche amministrazioni, ma coinvolge temi complessi che vanno dalle nuove tecnologie all’etica, al cybercrime, declinato nelle sue forme più complesse tra cui anche il furto di identità. C’è ancora molto da fare.
Le multe Gdpr più salate
Ma, nel bilancio dei 5 anni, rientrano anche le multe. il Gdpr Enforcement Tracker Report afferma che le sanzioni principali inflitte dal Garante sono state per “motivi legati all’insufficiente base giuridica per il trattamento dei dati, nonché al mancato rispetto dei principi generali in materia di trattamento dei dati”. Il focus fino ad oggi è stato sulle attività di telemarketing, in particolare nei settori delle telecomunicazioni e dell’energia elettrica.
Per quanto riguarda le sanzioni in Italia, le più alte fino ad oggi sono state inflitte a Tim in data 1 febbraio 2020 per un importo di 27,8 milioni di euro a causa dell’insufficiente base giuridica del trattamento dei dati (Tim aveva effettuato operazioni illecite di trattamento dei dati relative ad attività di marketing. Dal gennaio 2017 all’inizio del 2019, il Garante ha ricevuto numerose denunce riguardanti, in particolare, la ricezione di chiamate promozionali non sollecitate effettuate senza consenso o nonostante gli utenti telefonici fossero stati iscritti nel pubblico registro delle obiezioni, ovvero nonostante le persone contattate avessero espresso alla società la volontà di non ricevere chiamate promozionali).
Enel Energia, in data 19 gennaio 2022, è stata sanzionata per 26,5 milioni di euro per illecito trattamento dei dati personali degli utenti per finalità di telemarketing (per un utilizzo pervasivo, inesorabile e sempre più invasivo a chiamate promozionali indesiderate e prive del prescritto consenso, indirizzate a utenti fuori rubrica o iscritti nel registro di opt-out).
Clearview AI (società con sede negli Stati Uniti), il 10 febbraio 2022, è stata multata di 20 milioni di euro per aver utilizzato illegittimamente oltre 10 miliardi di immagini facciali provenienti da tutto il mondo, estratte da fonti Web pubbliche (media, social media, video online ) tramite Web scraping, attraverso sistemi di AI e la creazione di profili sulla base dei dati biometrici estratti dalle immagini.
Douglas Italia, catena di profumerie, in data 20 ottobre 2022, è stata sanzionata per 1,4 milioni di euro per mancato rispetto della normativa italiana ed europea in materia, in particolare, dei periodi di conservazione dei dati e del trattamento per finalità di marketing e profilazione, raccolti anche attraverso un’apposita app mobile.
Il 2 ottobre 2022 Alpha Exploration, proprietaria di Clubhouse, il social network basato sullo scambio di chat vocali, è stata multata di 2 milioni di euro per numerose violazioni tra cui la mancanza di trasparenza sull’utilizzo da parte degli utenti di dati, come l’archiviazione o la condivisione di file audio senza il consenso delle persone registrate.
Areti, società che distribuisce energia elettrica nella città di Roma, in data 24 novembre 2022 è stata sanzionata per 1 milione di euro per aver erroneamente classificato migliaia di utenti come “debitori morosi”, impedendo loro di passare ad altro fornitore di energia elettrica e perdendo il potenziale risparmio derivante dal cambio di fornitore.
© RIPRODUZIONE RISERVATA
