Non stiamo più parlando di trattative! L’Unione Europea sembra ben intenzionata a fermare la sempre più pressante ingerenza della Rete nella nostra sfera privata.
La tutela dei dati personali, ossia le informazioni riferite o riferibili a persone identificate o identificabili, è riconosciuta dall’UE come diritto fondamentale all’art. 8 della Carta di Nizza, all’art. 16 del TFUE e all’art.8 della CEDU, non comprimibile in virtù di qualsivoglia motivo economico o di natura economica. Nel sistema europeo, il diritto alla privacy assume una triplice connotazione: il diritto ad essere “lasciato solo”, il diritto a proteggere la propria sfera privata e il diritto all’autodeterminazione informativa.
Queste le premesse normative che hanno spinto i Garanti di 6 Stati europei ad invitare Google a fare chiarezza sulla gestione delle informazioni dei suoi utenti, specie dopo l’accorpamento, lo scorso anno, in un unico documento globale di 60 procedure di policy da parte del colosso di Mountain View. Il motivo? Maggior semplicità ed efficienza nella gestione degli account: un’unica password per accedere a tutti i servizi, quali Gmail, Youtube e Maps, per citare i più noti. Sicuramente una soluzione funzionale (quante volte ci dimentichiamo le password!), che tuttavia va a discapito della tutela della privacy degli utenti, dal momento che tutti i dati usati nell’accesso ai vari servizi, compresi quelli che comportano la geolocalizzazione, vengono raccolti dai servizi e incrociati in via generalizzata, riconducendo di fatto a un unico soggetto.
In parole povere: in base a un video che guarderemo su Youtube, Google “deciderà” che pubblicità inviarci su Gmail! Ancor più preoccupante se si considera che la multinazionale Google deve la maggior parte del suo fatturato proprio alla pubblicità online. Inconsapevolmente, diventiamo il prodotto!
Non sono tardate le critiche e già nel 2009 la Germania mise sotto osservazione Google Analytics, servizio che associa i dati di fruizione dei siti ad informazioni raccolte attraverso i servizi Google, rivendendoli a terzi, accusandolo di commerciare i dati degli utenti a loro insaputa. Come finì? Google introdusse l’opzione opt out, il “no” al trattamento dei dati.
I Paesi che hanno dato il via all’istruttoria volta a stabilire se il nuovo pacchetto di policy sia compatibile con i requisiti della Direttiva 95/46/CE sulla protezione dei dati personali sono proprio la Germania, il Regno Unito, i Paesi Bassi, la Spagna, l’Italia e la Francia, dal cui CNIL (Commission Nationale de l’Informatique et des Libertes, l’Authority francese per la protezione dei dati) è partita l’azione.
Ogni Paese valuterà se sul proprio territorio vi sia stata una violazione della Direttiva , dal momento che essendo Google pur sempre una multinazionale, opererà in maniera differente da Stato a Stato, ma tutti i Paesi “attori” saranno coordinati tra loro nell’azione.
Non si tratta di un provvedimento troppo severo, tutt’altro. Siamo di fronte alla fase più agguerrita di un duello iniziato oltre un anno fa, quando in ottobre l’euro gruppo delle Authority, riscontrando delle violazioni nella Direttiva aveva “invitato” il colosso americano, tramite una lettera indirizzata al CEO della società, Larry Page, ad adottare, entro 4 mesi, le modifiche necessarie ad assicurare la conformità alla normativa europea. La risposta? “La nostra normativa sulla privacy rispetta le leggi europee e ci permette di creare servizi più semplici e più efficaci”.
Ma l’Europa non si arrende e mentre la verifica di conformità continua, il Regolamento Europeo sulla Privacy, proposto dalla Commissione Europea nel Gennaio 2012, e destinato a sostituire la Direttiva 95/46, continua il suo iter e sarà pienamente operativo solo dopo l’approvazione da parte del Parlamento Europeo e del Consiglio (NB: a differenza delle direttive, i Regolamenti si dicono self-executing, pertanto dopo la loro approvazione non è necessaria alcuna legge di recepimento da parte degli Stati membri). Il Regolamento terrà conto delle indicazioni del Trattato di Lisbona, estendendo la tutela del diritto alla privacy dalla sola libertà di circolazione, il primo pilastro, anche alla politica estera e alla sicurezza pubblica, rispettivamente il secondo e il terzo pilastro dell’UE.
Il testo normativo introduce una disciplina particolareggiata, incentrata su:
– principio di minimizzazione dei dati, cui è connesso il diritto all’oblio (sancito all’art.17 del Regolamento), cioè la possibilità di non trattenere vita natural durante le informazioni nella memoria della rete, ma di poterle cancellare;
– inasprimento della responsabilità nei confronti del responsabile del trattamento, cui si affianca l’istituzione di un responsabile della protezione dei dati sia a livello nazionale (obbligatorio nel settore pubblico) che a livello europeo, con il comitato europeo per la protezione dei dati;
– maggior trasparenza e completezza nell’informativa sul trattamento dei dati, in modo tale che il consenso sia pieno ed esplicito;
– disciplina l’utilizzo dei cookies, utilizzati da molti siti per capire le preferenze dei loro utenti;
– la definitiva affermazione che l’indirizzo IP è un dato personale;
– l’obbligo di notificare all’utente eventuali perdite di informazioni.
Insomma, forse ormai non potremo più sottrarci all’era del Grande Fratello orwelliano, ma non è detto che tra noi e lui non possa esserci almeno una “sottile parete”, come fu per Winston e Julia.
di Giulia Pavesi
Linkografia:
http://www.washingtonpost.com/business/economy/google-unified-privacy-settings-unsettle-users/2012/02/27/gIQA7wgseR_story.html
http://www.blogstudiolegalefinocchiaro.it/tag/google/
http://www.key4biz.it/News/2013/04/04/Policy/garanti_ue_privacy_google_franco_pizzetti_216820.html
http://www.guardian.co.uk/technology/2013/apr/02/google-privacy-policy-legal-threat-europe
Testi normativi:
Proposta Regolamento
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF
Direttiva 95/46
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0037:IT:PDF