di Elizabeth Dwoskin
Il nuovo regime europeo sulla privacy digitale appena approvato è in contrasto con pratiche ormai radicate negli Stati Uniti. Stando ad alcuni player Usa, la combinazione di pene severe e formulazioni poco precise della nuova legge comunitaria sulla tutela dei dati, che va a sostituire un mosaico di 28 strumenti nazionali, solleva prospettive scoraggianti per chi opera in Europa.
Società basate negli Stati Uniti e attive in settori che vanno dalla pubblicità all’assistenza sanitaria analizzano e approfittano delle enormi quantità di dati raccolti da sensori, applicazioni e altre fonti, ma il nuovo provvedimento pone ostacoli sostanziali sulla loro strada, in particolar modo per chi si basa su data mining e profilazione degli utenti. «Cambierà le carte in tavola», ha commentato Jack Yang, chief privacy officer e responsabile di utilizzo dati per Visa, in occasione di una conferenza tenuta a San Francisco la scorsa settimana sul tema della risposta delle aziende alla nuova normativa.
I dirigenti di alcune società della Silicon Valley affermano che la nuova legge rappresenta una vera minaccia perché unisce l’incertezza giuridica a ingenti multe fino a un massimo del 4% del fatturato globale. Alcune disposizioni si basano secondo i manager statunitensi su nozioni labili di interpretazione, come il rischio di danni a persone, che potrebbero essere lette in maniera diversa da società e autorità di regolamentazione. «Incertezza giuridica e ingenti sanzioni sono un cocktail esplosivo», ha commentato Allan Sørensen, membro del cda di Iab Europe.
Per quanto alcune grandi società abbiano esercitato forti pressioni dietro le quinte, molte stanno semplicemente iniziando a organizzarsi.
Un’indagine di ottobre su 103 professionisti della privacy statunitensi condotta da Truste, ente che si occupa di sostenere le imprese nell’adeguamento alle normative in materia di privacy, ha riscontrato che solo metà delle aziende statunitensi era a conoscenza o si stava preparando alla normativa comunitaria in fase di approvazione. «Penso che abbiano sottovalutato l’impatto che avrà», ha puntualizzato Eduardo Ustaran dello studio legale Hogan Lovells, che assiste alcune tech company Usa. David Hoffman, global privacy officer di Intel, si è detto lieto di osservare la nuova azione dell’Ue verso un maggior grado di armonizzazione delle normative a tutela della privacy e dei dati. «Tuttavia, siamo preoccupati da un qualsiasi regime di sanzioni che includa multe fino al 4% del fatturato globale», ha spiegato, «simili sanzioni disincentivano gli affari e gli investimenti».
Una particolare disposizione sembra mettere a dura prova la prassi che le aziende definiscono come «usi secondari» dei dati personali, al di là dello scopo per cui sono stati raccolti. Per esempio, un’applicazione per il meteo può raccogliere i dati di localizzazione per fornire le previsioni del tempo secondo la geolocalizzazione e poi sfruttarli per veicolare annunci pubblicitari mirati. I consumatori statunitensi generalmente consentono tale uso spuntando una casella accanto alla tendina della policy sulla privacy, che comprende tutti gli usi possibili dei dati. Secondo Martin Abrams, direttore esecutivo di Information Accountability Foundation, un think tank sostenuto dalle tech company, le nuove norme europee potrebbero imporre la richiesta di un consenso specifico per ogni uso. «I big data coinvolgono in tutto e per tutto il riutilizzo, e questo costituisce un problema secondo questa nuova legge», ha affermato Hilary Wandall, chief privacy officer del colosso farmaceutico Merck & Co, potrebbe essere impossibile ottenere il consenso per l’uso indiscriminato dei dati. Inoltre un punto particolarmente controverso concerne i database medici che includono individui che sono deceduti, ha spiegato.
La nuova legge dovrebbe includere norme rigorose in materia di profiling, ovvero la classificazione degli utenti in base al loro comportamento online. Qualche caso? Le assicurazioni usano sensori collegati alle auto per fissare il prezzo dei premi, e i social network usano la tecnologia di rilevamento facciale per identificare i soggetti nelle fotografie dei propri utenti.
La nuova legge conferisce agli utenti il diritto di sapere il motivo per il quale vengono profilati, in quali categorie vengono ordinati, chi riceve i dati, la logica applicata nel trarre conclusioni e «le conseguenze di tale elaborazione». Generalmente le aziende informano i consumatori che potrebbero essere destinatari di materiale pubblicitario in base alle informazioni raccolte su di loro o sul loro comportamento, ma raramente rivelano le categorie secondo le quali vengono organizzati i nominativi.
«In questo momento, così tanto della nostra vita online è determinato da algoritmi che sono del tutto inaccessibili», ha affermato Alvaro Bedoya, direttore esecutivo del Center on Privacy and Technology della Georgetown University Law Center, «il diritto di accedere alla “logica” su cui poggia l’elaborazione dei dati potrebbe essere un significativo passo in avanti verso l’apertura della scatola nera». Poi, ha sottolineato che la legge esonera la protezione dei segreti commerciali, la proprietà intellettuale, e i dati resi anonimi impiegati per scopi di ricerca.
Inoltre, il nuovo regime sancisce una versione più ampia del controverso diritto all’oblio, applicato ai motori di ricerca da una sentenza del 2014 della Corte di giustizia dell’Unione Europea. La nuova versione impone che una società elimini le informazioni personali raccolte sugli individui che ne facciano richiesta, con l’eccezione di determinate circostanze, come quando tali informazioni sono necessarie per ricerche storiche o per l’esercizio della libera espressione. A tal proposito, i motori di ricerca, tra cui Google, ritengono che la disposizione si sia già dimostrata difficile da osservare.
Barbara Mangan, consulente per la privacy nel Nord America di eBay, ha rivelato che la società ha lavorato due anni per trovare il sistema adeguato a soddisfare le richieste europee di cancellazione immediata dei dati. La questione era complessa perché i dati di un cliente possono essere contenuti in decine di banche dati in un dato momento. «È abbastanza impegnativo trovare questi punti di contatto in tutte le tue attività», ha affermato.
Comunque, il Parlamento europeo e i governi dell’Unione devono ancora approvare e recepire le norma, risultato che si ritiene del tutto probabile, e dopo il quale il dispositivo entrerebbe in vigore nell’arco di due anni.
traduzione di Giorgia Crespi
(© 2015-Dow Jones & co. Inc. All Rights Reserved)