La notte si estende davanti a voi come un buio mare d’insonnia? Provate l’ultima delle Storie per addormentarsi pubblicata dalla Calm. C’era una volta un Gdpr è una parziale lettura della normativa Ue per la protezione dei dati dei cittadini. La voce è niente poco di meno che quella del leggendario Peter Jefferson che per quarant’anni ha letto il Bollettino del mare della Bbc, un appuntamento cult di chi nell’Albione restava sveglio nelle ore piccole.
“Ci auguriamo che la storia che leggerò stanotte vi dia un ottimo sonno, ma anche di contribuire a una maggiore consapevolezza sull’importante questione della privacy dei dati“, dice Jefferson prima di leggere solo 40 minuti dell’”intera notte che invece ci vorrebbe” per le più di 120 pagine della normativa entrata in vigore il 25 maggio.
Dunque, ci siamo quanto a privacy in Europa? Sì, anzi no, forse. Ecco il mio contributo Gdpr 1.
Tutti concordano sulla lungimiranza della Ue nel varare la normativa, ben due anni prima dello scandalo Facebook. Gli esperti, tuttavia, con critiche molto precise sono scettici da punti di vista opposti. La difende il presidente francese Emmanuel Macron: “Con il Gdpr costruiamo una sovranità europea sui dati”.
“È una tigre senza artigli”, mi dicono da Fireeye, la società della sicurezza al 1° posto della lista Usa Cybersecurity 500 nel 2017. “È stata stilata ignorando best practices verificate, valutazioni scientifiche e analisi costi benefici, oltre a importanti studi sulla materia della stessa Ue, come l’Enisa, che metteva l’accento sull’educazione dei cittadini a comportamenti responsabili e sugli strumenti offerti dalla tecnologia”, mi spiega John Strand, coautore del rapporto Comprendere il Gdpr e le sue conseguenze non volute del gruppo di analisti delle telecomunicazioni Strand Consult.
Per toccare con mano, ho fatto il test sul sito del Gdpr francese immaginandomi una copisteria, lo studio di due giovani professionisti o un parrucchiere con cinque dipendenti. Come titolare, sarei conforme al 39%. Ecco alcune delle cose urgenti da fare: nominare un responsabile per i dati, ri-redigere e ristampare tutta la cancelleria, i moduli web e il foglio per la privacy che non può essere un prestampato, fare modificare il sito, assumere un tecnico che mi rifaccia da zero il sistema software integrandovi la sicurezza, fare unificare in nuove schede i dati di ogni singolo cliente da quando ho iniziato l’attività, chiedere a ciascuno che cosa mi permette di fare con i suoi dati, farmi spiegare “privacy by design” e altri punti, assumere a cadenza regolare un revisore, trovare uno “smanettone” che non mi costi troppo e monitori ogni 72 ore che non ci siano state violazioni perché 72 ore sono il tempo massimo per denunciarle.
“Le organizzazioni saranno multate solo se, in caso di violazione o perdita dei dati, non informeranno le autorità entro il termine prescritto, ma non sarà imposta nessuna sanzione se un’organizzazione non ha adottato misure di protezione dei dati o le ha adottate in maniera inadeguata. Anche se il Gdpr è un buon primo passo, non può e non deve essere l’ultimo, perché non si spinge abbastanza lontano. Punire solo i comportamenti scorretti nella segnalazione è paragonabile a punire un rapinatore di banca per eccesso di velocità durante la fuga”, dice Marco Riboli, responsabile per il Sud Europa di Fireeye.
Ho telefonato quindi al titolare di uno studio professionale con una decina di impiegati. Ha la fortuna di avere un socio che se ne è occupato. Lui invece si è occupato delle centinaia di email da fornitori e clienti che ha “cestinate tutte per paura di frodi” – leggasi: le imprese adempiono l’obbligo, i cittadini, capendone poco, vanificano lo sforzo.
“Il Gdpr sta offrendo ai cyber criminali nuovi vettori, abbiamo già osservato diverse campagne di phishing che aumenteranno perché molti dipendenti e aziende sono incerti su come procedere”, spiega Riboli. “Siamo anche curiosi di vedere come la Ue tratterà gli stati membri che tenteranno di indebolire il Gdrp. In Austria, per esempio, la legislazione nazionale consentirà che le aziende che ne violeranno i termini siano soggette a sanzioni minime o nulle. Che senso ha un regolamento a livello comunitario che può essere modificato dai singoli stati senza conseguenze?”, aggiunge Riboli.
Zuckerberg, infatti, è apparso proprio tranquillo nella tappa parigina del suo “scusateci tour” e ha confermato a Macron che il Gdpr era “una buona base per fare meglio”. La spiegazione è che per Facebook (FB) e gli altri colossi il cui modello di business poggia sui dati – e che sono stati, apertamente, i target durante l’elaborazione del Gdpr – adempiervi è più semplice che per i milioni di imprese europee e del mondo di medie, piccole o micro dimensioni perché quelle giganti: a) dipendono molto meno dai dati ceduti da terzi; b) non perderanno business perché sarà solo una piccola minoranza di utenti a scegliere di non usare più piattaforme che non hanno alternative; c) ci stanno lavorando da parecchio e con ingenti risorse finanziarie e di personale che non incideranno sui risultati economici, come dimostra l’andamento del titolo FB.
All’opposto, ho chiesto al responsabile di un piccolo sito d’informazione (quattro collaboratori) come stesse gestendo il Gdpr: “Il Gdp… che?! Ah, sì, non ho avuto tempo di informarmi”.
Partenza a singhiozzo, d’accordo, ma tutti teniamo al controllo dei nostri dati, che non dovrebbero essere fonte di profitto per terzi, salvo espresso consenso, o peggio ancora manipolati per spostare assetti politici in paesi in tutto il mondo. E anche se la compravendita dei dati personali è vecchia quanto l’elenco del telefono o i cataloghi per posta (sì, qualcuno li ricorderà), è anche vero che la tecnologia ha fatto fare al marketing un salto stellare: dalla pubblicità indifferenziata e massiccia al micro targeting di gruppi perfettamente filtrati.
Oltre che aneddotica, sono reali la difficoltà e i costi per le aziende micro, piccole, medie e grandi? Anzi, mi correggo: per ogni tipo di organizzazione commerciale e non a scopo di lucro, quindi multinazionali, micro imprese, startup di ogni settore; organizzazioni Ong o multilaterale che siano; e persino ogni singolo individuo che gestisca dati di clienti e fornitori.
Nel Vermont, il piccolo stato Usa del senatore Bernie Sanders, è stata da poco approvata una legge sulla protezione dei dati che impone alle società che gestiscono, comprano o vendono database di persone, di registrarsi ogni anno presso le autorità. Pur essendo una legge infinitamente più “leggera” del Gdpr, ha il pregio di fare emergere l’economia oscura dei dati, un segmento ignorato, che negli Usa conta tra le 2500 e le 4000 aziende. In altre parole, pone l’onere della protezione dei dati sulle società che ne traggono profitto, diversamente dal Gdpr che lo pone a tappeto su tutti i singoli cittadini e tutte le organizzazioni di ogni tipo e dimensione.
E in tutto il mondo, perché basterà aver messo un cookie nel cellulare di un cittadino Ue che su una spiaggia in Tailandia cercava gli orari del tempio da visitare…