Oggi anche il Garante privacy è intervenuto sulla nuova informativa di Whatsapp, policy privacy che ha suscitato in questi giorni malcontento e preoccupazioni negli utenti del social.
Il Garante, come altri esperti commentatori, è d’accordo che i punti più critici riguardino l’intelligibilità dell’informativa.
Questo significa che risulta complesso capirne il significato, con particolare riferimento a quali saranno i trattamenti che desidera eseguire Whatsapp rendendo dunque difficile, dare un consenso libero e consapevole. Tutto ciò ci porta ad avere almeno tre spunti di riflessione, ossia come mai ora gli utenti si preoccupano del tema, come funziona la gestione dei dati derivati o meglio dei dati incrociati successivamente e quali sono gli scenari futuri, in particolare la data portability come leva di apertura del mercato.
Indice degli argomenti
L’allarme del Garante Privacy
La nota odierna del Garante Privacy conferma che l’avviso di Whatsapp e l’informativa sul trattamento che verrà fatto dei dati personali “sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.
“Per questo motivo il Garante per la protezione dei dati personali ha portato la questione all’attenzione dell’Edpb, il Board che riunisce le Autorità privacy europee”.
Il problema è che se l’informativa è poco chiara gli utenti non possono capire né quali siano le modifiche introdotte, “né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio”.
“Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole.
Il Garante si riserva comunque di intervenire, in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali”.
Aspettiamo a breve un intervento operativo del Garante a tutela dei diritti degli interessati. Al momento la sua discesa in campo certo conferma le preoccupazioni di molti esperti.
L’utilizzo dei dati derivati
Interessante analizzare anche il tema dei dati derivati (cosiddetti inferiti) e la profilazione derivante da incrocio di dati spesso reperiti da fonti diverse. Riguardo a ciò è importante ricordare alcuni principi cardine della disciplina privacy, ossia: la base giuridica del trattamento, l’informazione all’utente riguardo all’uso dei suoi dati, il consenso per determinati trattamenti (ad esempio la profilazione), necessità e minimizzazione, ecc.Detto in altre parole si potrebbe dire per semplificare che i dati personali secondo la costruzione giuridica europea “appartengano” alle persone e questi siano solo in “prestito” alle aziende che ne fanno uso secondo le modalità concesse dai cittadini (secondo lo schema legale di riferimento).
Ovviamente molte aziende che lavorano coi dati gradirebbero invece il contrario, e spesso in passato lo hanno fatto, accumulare più dati possibile a prescindere dal loro effettivo uso al momento della raccolta per poterli eventualmente analizzare ed usare un domani. Per evitare ciò però è intervenuta la disciplina del gdpr, un testo complesso ma di grande qualità giuridica che ancora non ha dispiegato tutti i propri effetti, anzi, che mira ad equilibrare tutte le esigenze in campo, ossia da una parte la tutela dei dati personali (che ricordiamo avere una matrice di diritto fondamentale), dall’altra parte aiutare lo sviluppo del mercato unico digitale, il cd. Digital Single Market europeo, considerato dall’UE uno dei principali motori di crescita economica dell’area UE.
Premesso ciò, abbiamo visto quindi come l’analisi dei dati da parte delle imprese sia fonte di ricchezza per queste, tuttavia questa loro capacità di elaborare dati personali è soggetta per l’appunto a diverse normative, tra cui il GDPR che cerca di trovare un punto di equilibrio tra le diverse esigenze. Il primo tema è quello dei dati derivati di natura non personale, ad esempio i cosiddetti metadata o dati aggregati che non permettono di risalire all’utente ed ai suoi dati personali, in tal caso i loro utilizzo è libero, o meglio segue il regolamento 1807/2018 quella per i dati non personali, riguardo a questi l’aspetto importante è che non sia veramente possibile risalire all’identità della persona cui appartengono i dati, diversamente si applicherebbe per l’appunto il GDPR.
Profilazione e GDPR
Passando invece ai dati che possano essere considerati personali il loro utilizzo è sottoposto alla disciplina del GDPR, la quale prevede per quel che qui interessa, come base giuridica della profilazione il consenso, ossia non ci sono base alternative utilizzabili (legge a parte). La nozione di profilazione è la seguente contenuta nell’articolo 4 par 1 gdpr è la definisce cosi: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.
Orbene, la profilazione degli utenti è molto redditizia per le imprese, le quali grazie a questa riescono a migliorare i propri prodotti, i propri processi di vendita. Tuttavia per metterla in atto c’è bisogno del consenso della persona cui i dati riguardano. Un metodo alternativo usato per raggiungere alcuni tipi di informazione è quello di incrociare dati da fonti diverse per estrapolare informazioni terze. Questo tipo di attività quando volto a creare una profilazione delle persone rischia però di contravvenire al principio cardine in esame e comportare, pertanto, un trattamento illecito dei dati.
Questo poiché come detto un utente dovrebbe essere in controllo dei propri dati e delle informazioni su di sé che girano, ad esempio è normale che un utente ritenga sicuro utilizzare certi tipi di servizi quando distribuiti tra diverse piattaforme, diversa potrebbe essere la scelta invece nel caso di accentramento di informazioni presso un unico soggetto, ciò però sempre dietro consenso che deve essere libero e consapevole, ossia basato una informativa puntuale e di facile comprensione.
Gli impatti: la data portability
Passando invece a discutere di scenari, vediamo come la presa di coscienza da parte dell’utenza potrebbe se non oggi ma a breve portarla ad esercitare il diritto di cui all’art. 20 del GDPR che garantisce il diritto dell’utente a richiedere la portabilità dei propri dati qualora decida di utilizzare un altro servizio. Nel dettaglio la portabilità, ove tecnicamente possibile (su questo torneremo dopo), dovrebbe garantire che siano i provider a comunicarsi tra loro i dati da portare da una piattaforma all’altra.
Come è intuibile l’obbiettivo di tale diritto, ancora poco usato, ma di cui si comincia ad intravedere qualche spunto di esercizio, ha lo scopo di incentivare la concorrenza tra diversi soggetti ed evitare il fenomeno diffuso nell’ambito dei servizi software IT chiamato di “lock in” ossia la tendenza delle aziende software di costruire degli ambienti chiusi in cui risulta complicato per il cliente cambiare il fornitore cosi da garantirsi delle posizioni di privilegio sul mercato.
I problemi
I problemi all’esercizio di questo diritto al momento sono sostanzialmente due, il primo la presenza di valide alternative sul mercato, che oltretutto all’interno della UE non vede grossi player in confronto agli USA, dall’altro del “tecnicamente possibile” presente al paragrafo 2 dell’articolo in discussione e oggetto di vari ritocchi durante le fasi di discussione previe all’approvazione del GDPR, che potrebbero legittimare le piattaforme a rendere difficile l’esercizio di tale diritto anche se c’è da dire che tale tipo di giustificazione portata da qualche piccola software house potrebbe forse anche risultare credibile un po’ meno se fosse spesa da un colosso della digital economy. Insomma la sfida per la gestione dei dati dei cittadini della UE è tutt’altro che chiusa, anzi apertissima.
Policy privacy Whatsapp, ma perché gli utenti si preoccupano ora
Infine, un tema interessante, anche se non di attinenza non prettamente giuridica, è come mai gli utenti abbiano avvertito il “pericolo” per i propri dati solo in questo momento – anche con una piccola fuga verso Telegram (che pure non è certo esente di sospetti privacy) e Signal. E non precedentemente, ossia come la presa di coscienza collettiva della necessità di proteggere i propri dati è sorta adesso pur essendo ormai anni che gli utenti utilizzano e cedono i propri dati – spesso con leggerezza – attraverso app e device di ogni genere. Molto probabilmente ciò sarà collegato al fatto che le persone passano in questo momento più tempo a leggere on line.
A causa delle restrizioni emanate per contenere l’epidemia ha riversato on line la propria attività non solo lavorativa ma anche sociale rendendosi finalmente conto come la realtà digitale siamo ormai intrinsecamente collegata alla cosiddetta vita reale e come la prima possa avere effetti sia positivi ma sicuramente anche molto negativi sulla seconda se non tutelata. Ad ogni modo sia quella che sia sull’origine dell’interesse, che lasciamo ad altri esperti approfondire, quello che qui risulta interessante è ipotizzare lo scenario che questa presa di consapevolezza dei propri diritti porterà nell’ambito della protezione dei dati personali e più in generale del mercato (unico) digitale europeo e globale.
