(di Riccardo Bovolin) Il tema dei dati personali è ormai onnipresente. Questi hanno un impatto a dir poco rilevante sulla vita di tutti noi, sia privata sia professionale. In molti ne parlano, tutti ci lavorano, ma solamente in pochi ne comprendono il valore e la sensibilità. Sono ancor meno coloro che ne hanno anticipato l’importanza e ne hanno previsto le opportunità.
La reazione più comune di ciascuno di noi alla questione “dati personali” è perlopiù infastidita. C’è una grande confusione e le disposizioni messe in atto dal legislatore europeo sono estremamente complesse. Per intendersi, sono talmente articolate e fumose che la definizione di alcuni concetti cardine (ad esempio quella del trasferimento dei dati per garantirne sempre ed ovunque il corretto livello di protezione) è diversa in ogni stato europeo. Non solo, in paesi decentralizzati come la Germania dove vi è un Garante della privacy in ogni Land, le interpretazioni cambiano in base al territorio. A ciò si aggiunge una difficoltà sostanziale dell’Unione Europea nel comunicare le proprie iniziative.
Appaiono dunque chiare le motivazioni per cui la maggior parte di noi sono sinceramente innervositi nel continuare a firmare accordi per il trattamento dei dati o nel cliccare senza sosta l’autorizzazione all’utilizzo dei “cookies”. Siamo già abbastanza preoccupati dalle sfide della nostra vita quotidiana, ti pare che dobbiamo inquietarci anche per il nostro nome e cognome e numero di telefono? Perché tutte queste domande e carte da firmare? Che senso ha questa “persecuzione burocratica”? Tanto alla fine accettiamo sempre tutto.
Questi sono i punti fondamentali. I dati personali sono importanti perché sono una risorsa economica il cui utilizzo può impattare positivamente o negativamente le nostre vite. Chi innanzitutto ne ha capito il senso se ne è appropriato ancor prima che ce ne accorgessimo e ci ha messo in una situazione svantaggiata di aut-aut: “o ci lasci usare i tuoi dati personali come vogliamo noi, o il nostro prodotto non lo utilizzi”. Così dicono i vari accordi di data protection che con un click ogni giorno quasi inconsciamente firmiamo.
Et voilá, alla fine accettiamo sempre tutto. Lasciamo dunque che il prestatore di servizi raccolga i nostri dati, li utilizzi per darci un servizio (spesso a pagamento), li rivenda o trasferisca ad altri, che poi li utilizzeranno sempre a fine economici. Il che dovrebbe farci riflettere. In pratica, paghiamo due volte, nella migliore delle ipotesi. Un po´come se la società che ci costruisce casa ci chiedesse di comprare i materiali edili per conto nostro e poi ce li mettesse una seconda volta in fattura. Non solo. I dati personali sono trasferibili e riutilizzabili: le grandi imprese digitali basano il loro fatturato soprattutto sulle pubblicità mirate fatte grazie alle nostre informazioni – profiling.
Nel momento in cui i nostri dati finiscono in paesi extra EEA (European Economic Area) difficilmente saranno protetti come a “casa nostra” e potremo ancor meno controllarli. Il rischio è duplice quindi. Non saremo riconosciuti economicamente per la nostra risorsa ed ecco che malintenzionati potrebbero usarli per truffe online.
Ad oggi la nostra mail o numero di telefono possono essere usati da cyber criminali per chiamare altre persone e proporre i loro servizi a nostro nome. O per altri crimini tramite il furto d’identità, ad esempio. Pensate solamente ai più recenti sviluppi dell’intelligenza artificiale e a come sia ormai user friendly. Chiunque con una nostra immagine può creare video o foto che ci ritraggono in qualsiasi tipo di azione, più o meno (s)conveniente e, magari, ricattarci, derubarci etc.
Secondo l’associazione Italiana per la Sicurezza Informatica CLUSIT, solo nella prima metà del 2023, i dati rubati sono serviti per compiere frodi di vario tipo per 58 milioni di euro. Le società colpite da data breaches (furti di dati), inoltre, hanno speso in Italia tra marzo 2022 e marzo 2023 circa 3.86 milioni di dollari in investimenti IT e cyber security.
E allora quale potrebbe essere una soluzione?
Da soli non possiamo farcela, siamo troppo poco influenti e frazionati per avere un peso nella negoziazione coi giganti del commercio. Avete mai provato a negoziare con Microsoft o Apple o Amazon? Tanto per fare alcuni esempi. Non sarà certamente facile ottenere qualsivoglia risultato. È già incredibilmente difficile per imprese che investono milioni di euro, immaginatevi quanto possa essere complicato per un utente medio che probabilmente non spende più di qualche centinaio di euro l’anno. Si pensi inoltre come le compagnie con maggior valore a Wallstreet siano proprio nel campo dell’hi-tech. Chi sa come usare i dati personali (e non) ottiene i maggiori profitti. Profitti che altrimenti crollerebbero inesorabilmente.
È triste ma nella società moderna, poche cose sono effettivamente importanti se non possono essere tradotte in denaro e profitto. Ogni regolamento per i nostri diritti rappresenta un costo per imprese e organizzazioni statali che devono mettere in piedi ruoli e processi per potervi rientrare. E questo, dunque, fa parte della strategia aziendale che deve portare profitti. Niente in contrario ma è la cruda realtà. Dunque, nessuno può adottare approcci o regole così dettagliate per accontentare ciascuno di noi, sarebbe troppo costoso. L’approccio deve essere quindi globale.
Una mano ci può e ci deve arrivare dall’Unione Europea che deve semplificare un argomento estremamente complesso per permettere ad ogni cittadino europeo di prendere coscienza di questa sua proprietà e di poter vivere in un ambiente sicuro. Perché non si può pretendere che ciascuno di noi abbia una conoscenza legale adeguata a capire ed interpretare direttive e contratti. Così come è impensabile assumere un legale ogni volta che vogliamo sapere cosa dice un data protection agreement e in quali rischi ci stiamo “infilando”.
Senza contare che solo il legislatore europeo ha la forza per piegare la volontà di questi grandi attori del mercato (si veda ad esempio il Digital Services Act) e, dunque, per domandare che i dati vengano effettivamente protetti (il corrente regolamento GDPR è troppo complesso e va reso più semplice) e, perché no, di essere pagati per i dati che forniamo. D’altronde, questi sono considerati universalmente come l’oro nero del futuro e quindi perché una fetta non dovrebbe venire anche a noi, che ne siamo i titolari?