Web, con Trump privacy più leggera. Ma in Europa sta per cambiare tutto

Una «pausa di riflessione», così l’ha chiamata il trumpiano Ajit Pai, da poche settimane insediatosi a capo della Federal Communications Commission (Fcc), l’Authority statunitense per le telecomunicazioni, che ha in carico anche la delicatissima regolamentazione relativa alla tutela della privacy. La pausa riguarderebbe la sospensione dell’entrata in vigore del nuovo (a questo punto, sarebbe meglio dire “ex nuovo”) regolamento che era stato messo a punto dal precedente numero uno dell’agenzia, l’obamiano Tom Wheeler, secondo il quale aziende come Google, Comcast, Verizon, AT&T avrebbero dovuto ottenere il consenso consapevole degli utenti per poter gestire i loro dati personali. E non solo: le stesse aziende avrebbero dovuto impegnarsi a fornire maggiori strumenti a tutela dei consumatori e informazioni tempestive su eventuali disfunzioni della rete.

Un rinvio, che per le Telecom companies e per gli Internet service provider (Isp) significa già – dopo un lunghissimo braccio di ferro durato per tutto l’ultimo anno dell’amministrazione Obama – quasi una partita vinta: continuerà infatti a rimanere in vigore l’attuale regolamento, dettato a suo tempo dalla Federal Trade Commission, che presenta vincoli meno stringenti ma «già sufficienti», secondo le stesse aziende, e a questo punto anche secondo l’amministrazione Trump, a garantire la piena tutela dei consumatori, mentre la nuova normativa avrebbe «creato solo confusione e conflitti di attribuzione delle responsabilità».

Già nei giorni scorsi la Fcc aveva preso posizione a favore degli Isp: «Tutti gli stakeholder che operano nel mondo online devono essere soggetti alle stesse regole e la Fcc non può permettersi di favorire un tipo di azienda rispetto ad altre», aveva dichiarato Pai, auspicando appunto un voto per sospendere l’entrata in vigore della nuova direttiva. Sospensione puntualmente avvenuta.

Bloccando le norme, la Fcc si schiera quindi a favore degli Isp e si impegna a trovare un quadro coordinato di regole “technology neutral”, ovvero delle regole uguali per tutti gli stakeholder che operano nel mondo online. Un percorso lungo, che riapre completamente giochi che a livello politico sembravano ormai chiusi, nonostante i mugugni e le proteste sia dei colossi delle telecomunicazioni sia delle grosse aziende del tech, fornitrici di banda larga e di servizi online. Accese ovviamente le polemiche, sostenute soprattutto dai movimenti a tutela dei consumatori. La prima voce a manifestare dissenso viene dall’interno della stessa Fcc: voto contrario alla sospensione è venuto dalla commissaria Mignon Clyburn, che ha espresso «preoccupazione» per una situazione che rischia di «lasciare non protetti» i consumatori; la Clyburn ha anche criticato la modalità della proposta: ai commissari sono stati dati solo 4 giorni di tempo per decidere, invece delle tradizionali 3 settimane.

Una posizione, quella promossa dall’amministrazione Trump, che allontana gli Stati Uniti dall’Europa su un tema chiave della contemporaneità. Tema tra l’altro che, proprio per le sue interconnessioni globali (i service di alcuni tra i principali Internet provider si trovano del resto su territorio e sotto la legislazione Usa) necessiterebbe di un accordo quanto mai vasto su quelle che sono le regole di tutela degli utenti sul tema delicatissimo della protezione dei dati personali. Tema sul quale l’Unione europea sta invece imboccando la strada opposta rispetto alla Federal Communication Commission. Lo scorso 9 gennaio, infatti, la Commissione Europea ha presentato una proposta di regolamento (n. 2016/679, qui il testo completo) che punta a sostituire l'attuale Direttiva 2002/58 sulla protezione dei dati, introducendo l'obbligo del consenso per il trattamento di qualsiasi dato personale online. Regolamento che diverrà direttamente applicabile in tutti gli Stati membri il 25 maggio 2018, e che avrà una ricaduta anche dall'altra parte dell'Atlantico: le aziende americane, nei siti che si rivolgeranno a consumatori europei, dovranno infatti sottostare al nuovo regolamento europeo, cosa che attualmente non avviene.

Già significativa la scelta di ricorrere al Regolamento, che è direttamente applicabile con valore di legge dalla sua entrata in vigore in tutti gli Stati membri, anziché alla Direttiva, che deve invece essere approvata da ogni singolo Paese (che può apportare modifiche applicative, il che potrebbe creare una rischiosa difformità di normative Paese per Paese).

L’elemento principale della nuova normativa europea è il fatto di prevedere il consenso degli utenti per l'utilizzo, la conservazione o il processo di qualsiasi dato scambiato online. La novità rispetto alla normativa vigente è che la direttiva sulla e-privacy del 2002 si applicava solo agli operatori telecom tradizionali, ma negli anni successivi alla sua approvazione si sono fatti largo nuovi strumenti di comunicazione come Facebook, Skype, WhatsApp, Viber, WeChat e molti altri. Senza il consenso esplicito dell'utente, risulterebbero “riservati” non solo i contenuti delle comunicazioni, su ogni canale web e non, ma anche tutti i metadati relativi, come ad esempio la localizzazione delle chiamate o la loro durata. Informazioni che i servizi online come FB o Skype non potranno memorizzare, per esempio.

Cambierà anche la normativa relativa ai cookies: secondo la proposta della Commissione, sarà possibile configurare il browser in modo da adeguarlo al grado di privacy desiderata senza quindi dover accettare i cookies ogni volta che si accede a un sito.

Importante, per quanto riguarda le aziende interessate ad attività di gestione e traffico dati, l’obbligo di designare un responsabile della protezione dei dati personali, ovvero del nuovo Data Protection Officer (Dpo), figura già presente nelle organizzazioni più complesse presenti anche nel mercato italiano, ma che diverrà obbligatoria per tutta la PA e in alcuni casi anche in ambito privato.

La nuova normativa punta soprattutto a semplificare la vita dei consumatori, che potranno dare un consenso scritto «in termini comprensibili». Il che significa che le aziende dovranno adeguarsi, proponendo regolamenti e disclosure chiare e immediatamente intellegibili, in modo da far comprendere all’utente quello che sta o non sta autorizzando a fare. Come ha spiegato il presidente di Federprivacy, Nicola Bernardi, «se l’attuale Codice della Privacy si concentra perlopiù sui presupposti legali inerenti alla validità del consenso, il nuovo Regolamento europeo bada invece molto alla sostanza, riconoscendo il diritto per l’interessato a una richiesta di autorizzazione enunciata con un linguaggio semplice e chiaro. Per questo in molti casi potrà essere necessario utilizzare un vocabolario colloquiale e senza termini giuridici, escludendo ogni forma di silenzio assenso.

Per questo motivo, si rende indispensabile quanto prima per tutte le aziende pubbliche e private una revisione generale degli attuali consensi ricevuti, sia per verificare che questi superino il vaglio della conformità con il passaggio alla nuova normativa, sia per adeguare le formule finora utilizzate. In caso negativo potrebbe essere necessario acquisirli di nuovo, attività tutt’altro che banale che può richiedere mesi».