GDPR: il paradosso della nuova legge sulla privacy
Tre ragioni per cui il GDPR non cambierà nulla per l’utente di internet e il consumatore tartassato dalla pubblicità.
Il 25 maggio 2018 entra in vigore il Gdpr, il nuovo Regolamento sulla Privacy che cancella definitivamente la legge 196 del 2003. La General Data Protection Regulation (è questo il significato dell’acronimo Gdpr) contiene una serie di obblighi in capo a chi raccoglie le informazioni dei propri clienti per evitare che i dati circolino e che, soprattutto, se ne faccia un uso distorto rispetto a quello dichiarato. Ecco perché è bene che l’utente venga messo al corrente di come verranno trattate tali informazioni che lui stesso dà, per quali scopi saranno utilizzate, per quanto tempo saranno conservate e come eventualmente chiederne la cancellazione (diritto che può essere fatto valere anche il giorno dopo aver fornito i dati). Chi ha già conosciuto la vecchia legge sulla privacy noterà numerosi punti in comune salvo un inasprimento degli obblighi di comunicazione che, da oggi, devono essere più chiari e analitici. Come dire: più spazi da firmare, più caselle da cliccare con il mouse. È inutile elencarli qui di seguito perché non è lo scopo di questo articolo. A noi interessa mettere in evidenza tre aspetti essenziali e, per certi versi, paradossali della nuova legge sulla privacy.
Il primo. La privacy è tutelata solo a parole, ma nei fatti il cittadino può fare ben poco per difendersi. Immaginiamo di ricevere un sms pubblicitario da parte di un politico per una imminente consultazione elettorale o quello di una nota catena di supermercati che ci comunica le promozioni della prossima settimana. Oppure – scena che si ripete quotidianamente – immaginiamo di aprire la nostra casella di posta elettronica e trovare 20 email di spam. In tutti questi casi il messaggio ci è stato inviato senza che noi avessimo mai prestato il consenso o avessimo mai avuto a che fare con questi soggetti. Felici e contenti per il fatto che ora siamo tutelati dalla Gdpr che facciamo? Andiamo dal giudice e chiediamo un risarcimento del danno. Ma la Cassazione dice che non si può [1]. Secondo infatti la giurisprudenza attuale, il danno non patrimoniale non può essere richiesto per i piccoli fastidi e inconvenienti della vita quotidiana come ad esempio la pubblicità sgradita [2]. Il pensiero della Cassazione è «non si può scomodare un giudice per un’email o un sms che puoi cancellare in poco meno di un secondo». In un certo senso la Corte ha ragione: ma allora che senso ha scrivere una norma se poi non può essere fatta rispettare? Abbiamo ingigantito la burocrazia senza dare tutela concreta al consumatore.
Il secondo. Aumentano le informazioni, diminuisce l’attenzione. Alzi la mano chi, in passato, ha mai letto le lunghe informative sulla privacy fornite all’atto dell’adesione a un servizio o della conclusione di un contratto sul web. In questi contesti, il fornitore si tutela quanto più possibile ed elenca una sfilza di notizie e dati che neanche il giurista più attento ha la pazienza di leggere. È se questo è valso fino a ieri, come potrà cambiare domani? L’aumento dei moduli ci porterà a non tenerne più conto.
Oggi, come in passato, il consenso dell’utente non potrà ritenersi presunto, dovrà essere dato in anticipo. Ma se il fornitore ci dice: «O così, o niente», è chiaro che finiremo sempre per firmare senza farci tante domande o cliccheremo sul bottone «Accetta» senza leggere il pdf informativo. Facciamo un esempio. Stai firmando un mutuo in banca. Dopo una lunga istruttoria ti è stato concesso il finanziamento. Ora è il momento di concludere l’affare. Il funzionario ti presenta alcuni fogli con l’informativa sulla privacy. Ti dice che devi apporre altre dieci firme. Che fai? Fai saltare tutto perché prima vuoi leggere bene che c’è scritto? Di sicuro firmerai senza farti tante domande. E ancora di più sul web dove gli acquisti sono compulsivi. Questo significa che aumentare le informazioni all’utente non significa aumentare la tutela, ma anzi potrebbe proprio impoverirla.
Il terzo. A parole, tutti amiamo la nostra privacy; nei fatti no. È quello che ho scritto in un post su Facebook proprio l’altro giorno. La gente pubblica sui social network ogni genere di informazione che la riguarda. Pur di giocare a Farmaville rivela chi sono i propri amici, i familiari e i rapporti di parentela (già registrati su Facebook). Per vedere un film in streaming gratis dà tutti i propri dati: dalla data di nascita all’email. Per sentire un brano in mp3 del vale di 0,99 euro scrive il numero della propria carta di credito. Si tagga ovunque va: in un centro commerciale, in un hotel, in un museo. D’estate compaiono persino semi-nudi imbarazzanti. Si lasciano tracce di sé stessi ovunque e volontariamente. Per un po’ di notorietà si è disposti a barattare qualsiasi cosa, persino le foto dei propri figli minorenni. E poi ci si scandalizza e si denuncia la lesione alla propria privacy se Google profila i gusti degli utenti per fornire loro la pubblicità!
Che poi, a volerla dire tutta, che male c’è a vedere un banner sulla base dei propri gusti e non su quelli degli altri? Personalmente preferirei un banner con dei prodotti tecnologici piuttosto che creme dimagranti o lingerie per donne.
Certo, il peggio viene quando i dati vengono usati per fini diversi da quelli pubblicitari. Ma qui non c’entra più la piccola azienda di provincia che ha un raggio di azione limitatissimo. Ed ecco l’ultimo paradosso: la nuova legge sulla privacy addossa più oneri ai piccoli esercizi commerciali che non ai big del web che, invece, sono i veri “responsabili” di questo enforcement.
note
[1] Cass. sent. n. 3311/2017.
[2] Posto che il danno patrimoniale – quello da perdita del guadagno – è inesistente per il tempo perso a cancellare un messaggio pubblicitario, non resta che chiedere il risarcimento di quello «non patrimoniale». Ma le sentenze gemelle del 2008 della Cassazione hanno rimarcato che il danno non patrimoniale può essere risarcito solo in presenza di un reato o della violazione di diritti costituzionali.
11 Commenti
Lascia un commento
NEWSLETTER
Iscriviti per rimanere sempre informato e aggiornato.
Hai bisogno di una consulenza? Contattaci subito
Oppure iscriviti alla nostra newsletter per rimanere sempre aggiornato.
In questo periodo sto leggendo davvero tanto sul GDPR e il mondo della Privacy (in senso ampio).
Questo è uno dei pochissimi articoli pratici e fuori dal coro e, in quanto tale, molto gradito.
I miei personali complimenti.
ottima analisi. complimenti all’autore e pubblica gogna per gli estensori di un simili obbrobrio legislativo
Almeno per i siti web non sarà così. Il consenso dovrà essere separato per ciascuna finalità, non potranno essere preflaggati i campi e non potranno esserci limitazioni ingiustificate nell’uso dei servizi se un utente rifiuta i consensi non obbligatori. Quindi sparirà la profilazione in linea di massima (e riceveremo per assurdo pubblicità non più personalizzata, quindi ancora più fastidiosa). Come base del trattamento può esserci anche l’interesse legittimo del titolare, ma questo deve poi dimostrare la prevalenza del proprio interesse rispetto ai diritti degli interessati, operando un’operazione di bilanciamento che è tutt’altro che scontata. Viste le sanzioni converrà spesso evitare di farne ricorso. Il GDPR per la profilazione dovrebbe risultare efficace in ogni caso. In più si dovrebbe menzionare anche la possibilità di presentare reclami e ricorsi al Garante senza andare dal Giudice come peraltro già in passato, visto che di risarcimento poco si potrà ragionevolmente parlare nella maggioranza dei casi.
Il Considerando 43, imho, dice l’esatto contrario:
“Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica.
Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.”
Tra il titolare di un blog e il visitatore, posto che la visualizzazione del sito web non costituisca un obbligo per il secondo, non v’è alcuno squilibrio.
Il visitatore non è obbligato a visitare il sito web di ricette di Nonna Papera, quindi il titolare può inibirgli l’accesso se non accetta i cookie di profilazione perché è nei suoi diritti (specie e soprattutto se il sito esiste grazie alla pubblicità profilata, che è ben più remunerativa di quella non profilata).
L’importante è che il titolare non effettui alcun trattamento prima di informarlo e che lo metta in condizione di effettuare una scelta libera: accetta e prosegui, oppure rifiuta e abbandona.
Discorso simile per Facebook, ad esempio, che tecnicamente funzionerebbe alla perfezione senza cookie di profilazione pubblicitaria. Però l’utente non è obbligato a iscriversi a Facebook, e Facebook (giustamente) al momento dell’iscrizione informa che l’utente verrà profilato. Così stanno le cose e, se non ti piacciono, puoi iscriverti a un altro social. Puoi anche creare un tuo social o andare a mangiare un gelato al parco, non sarà Facebook a impedirtelo.
Io vedo assoluta libertà in tutto ciò.
Di contro, ciò che impone la GDPR è un bilanciamento nell’uso dei dati e un principio di minimizzazione che, ad esempio, subentra nella stipula dei contratti.
Consideriamo ad esempio un contratto di vendita online: in accordo con la GDPR, l’esecutore ha la possibilità di chiedere indirizzo e numero di telefono per espletare correttamente la vendita. L’esecutore però non può chiedere sibillinamente il nome da nubile della mamma del consumatore, perché non è un dato necessario per eseguire la vendita. A tal proposito inoltre il venditore non può usare i dati acquisiti al momento della stipula del contratto per finalità diverse dalla mera esecuzione della vendita, A MENO CHE non abbia ottenuto un consenso separato ed esplicito per ogni finalità diversa dalla vendita.
Francamente mi sembra fuori luogo, piuttosto, l’esempio del mutuo in banca. Nulla vieta al contraente di chiedere un giorno di tempo per leggersi le carte, non è che l’impiegato ti minaccia dicendoti “firma adesso o la proposta scade!”.
In compenso l’articolo è veramente interessante ed è apprezzabile perché si discosta dal coro degli osanna di chi, evidentemente, non ha compreso che:
– la GDPR ha un impatto mediamente non sostenibile sulle PMI;
– all’atto pratico la GDPR viene percepita dall’utente medio come una rottura di scatole (leggasi montagne di flag e tonnellate di mail, peraltro inutili in ottica normativa, ricevute il 25/5);
– la GDPR renderà ancor più forti gli “over the top”, a discapito del resto del mondo.
My 2 cents.
Una ulteriore pratica da sbrigare (a suon di euro) per tutti. Quindi questa è mafia di stato, al pari dei corsi per HACCP, DL 81 sulla sicurezza, vari patentini per l’uso dei mezzi di lavoro, attestazioni per corsi di qualsiasi genere, premesso poi che il responsabile di tutto è sempre il datore di lavoro!
Ogni pretesto è buono per pretendere soldi …
Ottimo articolo, ne condivido ogni parola. Ho passato tre giorni ad implementare le funzioni per la GPDR e scrivere la relativa Informativa per un sito con un forum che curo con dei colleghi (dove gli unici dati richiesti per partecipare al forum, nome, cognome e email, servono solo a fini legali e per contare gli accessi). Una vera follia!
Imporre gli stessi obblighi per un grosso sito che fa commercio elettronico o marketing con i dati degli utenti e per i blog/siti personali, serve solo ad alzare un tale polverone che nessuno sarà punito, tranne forse qualche piccolo sfortunato preso a caso “per dare l’esempio”.
«non si può scomodare un giudice per un’email o un sms che puoi cancellare in poco meno di un secondo», ma il giudice ha moltiplicato i secondi per il numero di volte che perviene la mail o l’sms di un fornitore/disturbatore? E l’ha moltiplicato poi per il numero di indirizzi mail / telefoni cellulari / PC che un consumatore possiede?
[E il risultato l’ha infine moltiplicato per il numero di fornitori/disturbatori esistenti nel mercato (praticamente tutti!)?] Le cassette di posta elettronica del povero consumatore sono piene al 90% di solo spam!
Sono convinto che sia questo un problema importante che deve risolvere la privacy.
Come quello della pubblicità aggressiva sui telefoni fissi e sui cellulari….
Buon articolo, tuttavia contiene degli errori e/o imprecisioni, alcuni dei quali cambiano un po’ la sostanza. Ad esempio ” il nuovo Regolamento sulla Privacy che cancella definitivamente la legge 196 del 2003.”…. falso. La 196/2003 non è stata affatto cancellata, è perfettamente al suo posto. Avrebbe voluto cancellarla il governo, ma il parlamento lo ha impedito. In futuro (ma ancora non è accaduto) con il decreto attuativo si troveranno le condizioni necessarie affinché la legge italiana ed il GDPR “convivano”.
Esiste l’abrogazione tacita
Concordo in toto con l’avvocato Greco in toto. La legge ha un’inutilità imbarazzante. Sono anni che mi occupo di privacy.