Il regolamento europeo sulla privacy online deve essere migliorato

L'Unione Europea sta intervenendo in maniera sempre più decisa sulle questioni digitali che coinvolgono i suoi cittadini. Dopo l'introduzione della strategia del Digital Single Market, l'UE ha adottato il regolamento sulla protezione dei dati personali (GDPR) che entrerà in vigore dal 2018. Il GDPR introduce, fra le altre cose, il diritto all'oblio, il diritto all'accesso ai propri dati digitali, ed il diritto alla portabilità degli stessi. Ora, invece, è il turno delle comunicazioni elettroniche e della privacy online degli utenti.

Il 10 gennaio, infatti, il parlamento europeo ha pubblicato la sua proposta per il regolamento della privacy e delle comunicazioni elettroniche — il cosiddetto regolamento sull'ePrivacy. Lo scorso dicembre erano già circolate online delle copie della proposta che sembravano far ben sperare. Uno dei punti più importanti che erano trapelati era l'articolo 10, che definiva l'importanza del concetto di privacy by design, ossia l'idea per cui la privacy debba essere salvaguardata sin dalle fasi di progettazione.

Purtroppo, alcune di quelle speranze sono naufragate.

Contattato telefonicamente, Jan Philipp Albrecht (membro del parlamento europeo per il Partito Verdi) mi ha indicato, da un punto di vista formale, due punti che sono sicuramente delle scelte importanti, "il primo è la decisione di proporre un regolamento" e non più una direttiva, come quella che era in vigore prima. In questo modo, infatti, "Non si hanno degli standard frammentati nei diversi paesi membri" e soprattutto "si ottiene una completa integrazione con quanto previsto dal GDPR".

Questa nuova proposta del parlamento europeo punta a sostituire la precedente direttiva, introdotta nel 2002 ed aggiornata solo nel 2009, che si è rivelata inadeguata a fronte delle modifiche del rapporto dei cittadini con le comunicazioni digitali avvenute negli ultimi anni. La massiccia adozione di servizi di comunicazione Over-The-Top (OTT) — servizi come WhatsApp e Skype, per intenderci — non era assolutamente prevista né regolata nella precedente direttiva.

Questo è il secondo importante punto indicato da Albrecht: "l'estensione della protezione del diritto alla riservatezza delle comunicazioni" anche a questi nuovi attori apparsi sulla scena, che si affiancano ai normali fornitori di servizi di telefonia.

Non dobbiamo illuderci, però, che il regolamento proposto sia effettivamente efficace e completamente a favore della privacy. Alcune eccezioni per quanto riguarda il rilascio del consenso da parte degli utenti ed altre indicazioni sullla raccolta dei dati personali lasciano perplessi.

Il regolamento pone nelle mani dei produttori di web browser, e di software in generale, l'obbligo di introdurre, al momento della prima installazione, una sezione dedicata in cui si richiede all'utente di decidere attivamente le impostazioni che riguardano la propria privacy. Albrecht però fa notare che il regolamento non richiede agli sviluppatori di "Impostare di default la scelta sull'opzione che protegge maggiormente la privacy dell'utente". Non vi è infatti alcuna indicazione chiara su come implementare queste impostazioni d'avvio e la scelta sembra, al momento, lasciata in mano alle aziende produttrici — "Questo è un punto su cui dovremo dibattere molto in parlamento," aggiunge Albrecht, "le impostazioni di default dovrebbero sempre essere impostate sul "do not track" o sul divieto di utilizzo di cookies di terze parti."

Proprio per quanto riguarda la questione dei cookies, il regolamento si prefigge l'obiettivo di far scomparire i noiosi pop-up che infestano i siti web e che richiedono il nostro esplicito consenso. In realtà, però, il regolamento proposto sembra lasciare dei dubbi al riguardo, se non addirittura delle vere e proprie scappatoie legali. Per i cookies che riguardano attività di monitoraggio funzionali ai fini dell'attività online dell'utente, ad esempio i cookies che tracciano i prodotti inseriti nel carrello, non sarà necessaria alcuna richiesta esplicita. Lo stesso vale per i cookies che analizzano le prestazioni di un sito web, come il traffico di utenti. Per gli altri casi, invece, le indicazioni si fanno più nebulose e si corre il rischio di trovarsi nuovamente le pagine web piene di pop-up poiché, a fronte delle sanzioni che possono arrivare fino a 20 milioni di euro, i gestori delle pagine web potrebbero decidere di mantenere, per precauzione, le richieste esplicite di consenso.

La mancanza di una presa di posizione netta nel regolamento è maggiormente sottolineata dall'assenza nell'articolo 10 del concetto della privacy by design che, invece, era presente nella versione trapelata a dicembre 2016. "Sarà necessaria una discussione approfondita su questo tema e speriamo di riuscire ad introdurre nuovamente la privacy degli utenti come impostazione di default," conferma Albrecht, anche se la pressione da parte delle aziende digitali sarà sicuramente alta, dal momento che molte di queste sfruttano proprio l'acquisizione di quei dati personali che il regolamento punta a proteggere.

La richiesta del consenso dell'utente, specifica Albrecht, "dovrà essere aggiornata ogni sei mesi, ma l'utente potrà ritirare il proprio consenso in qualunque momento". Questo è un punto fondamentale che si allinea perfettamente con quanto previsto dal GDPR.

Il riconoscimento dell'importanza della riservatezza dei metadati è un altro importante passaggio del regolamento. Come avevamo già discusso su Motherboard, i metadati possono contenere informazioni sensibili molto più preziose del contenuto stesso delle nostre conversazioni. La scelta di includere la protezione dei metadati e la possibilità di scegliere attivamente se condividerli con terze parti è sicuramente un forte segnale da parte dell'Unione Europea.

Il regolamento proposto, in realtà, si spinge ben oltre le semplici comunicazioni fra utenti, estendendo la protezione della riservatezza anche alle comunicazioni machine-to-machine, tipiche dei dispositivi dell'Internet of Things. Sembra che il parlamento europeo voglia prepararsi in vista di una diffusione capillare di dispositivi connessi ad internet. Dispositivi che stanno già creando non pochi problemi agli utenti.

Purtroppo, però, come sottolinea Albrecht, mancano ancora due punti fondamentali all'appello: la crittografia ed i limiti di tempo sull'archiviazione dei dati collegati alle comunicazioni.

In molti, prosegue Albrecht, si aspettavano disposizioni e segnali più forti dall'Unione Europea sulla crittografia. Allo stesso modo, l'archiviazione dei dati inerenti alle comunicazioni digitali deve essere soggetta a dei limiti di scadenza, secondo un principio di proporzionalità. È impossibile, in questo momento, mantenere tali dati per sempre, ma è opportuno indicare chiaramente dei limiti. Sarà quindi importante discutere entrambi questi punti e cercare di introdurli nel regolamento finale.

Il tracciamento degli utenti, però, non si ferma solo a quello attuato attraverso i cookies e la raccolta dei metadati, il regolamento proposto tratta anche il tracking che potrebbe avvenire quando ci si connette a dei network pubblici. Esistono infatti fornitori di servizi internet che permettono di raccogliere informazioni sul numero di persone connesse in una specifica area, ad esempio mentre sono in fila e sono tutte connesse ad un WiFi pubblico. Il regolamente richiede che in questi casi siano esposti dei cartelli, lungo il perimetro dell'area in oggetto, per informare gli utenti su tale raccolta di informazioni. Purtroppo, però, dubito che una semplice segnaletica, le cui specifiche devono ancora essere ben definite, possa essere sufficiente in questo caso. Sarebbe opportuno introdurre anche qui una richiesta di consenso esplicita al momento del login alla rete, in modo da richiedere una scelta attiva da parte dell'utente e non, invece, sperare che legga dei cartelli.

Restano alcuni dubbi anche sulla tabella di marcia da seguire: il regolamento proposto si prefigge di entrare in vigore in concomitanza con il GDPR, previsto per il 25 maggio 2018. Secondo Albrecht si tratta di un buon proposito, altrimenti, prosegue, "ci troveremmo in una situazione di incertezza in cui dover scegliere quali leggi applicare alle comunicazioni elettroniche fra il GDPR e la vecchia normativa sulla ePrivacy". In questo modo, invece, sotto l'aspetto normativo, si otterrà un'omogeneità assolutamente impeccabile sin dall'inizio.

Logicamente, sottolinea l'europarlamentare, "dovremo lavorare duramente ed in maniera precisa per fare in modo che entri in vigore a maggio 2018; questo vorrà dire che sia i parlamentari sia le lobby non potranno scherzare su questo tema, ad esempio cercando di apportare modifiche a punti che sono già stati ben definiti nel GDPR. Non ci si potrà permettere questo tipo di giochi."