Servizi gratuiti in cambio di dati personali. Ma è davvero uno scambio equo? I dati personali di consumatori e utenti sono ormai una moneta di scambio di inestimabile valore, al punto tale che, una volta compreso, siti web e piattaforme spesso ne approfittano giocando sulla poca conoscenza degli utenti. Scoperto il vaso di pandora, però, dal 2018 con l’applicazione del Gdpr (regolamento generale sulla protezione dei dati che punta a limitare la possibilità delle aziende di raccogliere informazioni sui propri utenti senza il loro consenso) controllo e supervisione a riguardo sono aumentati.

Non c’è da stupirsi quindi, come sottolineato anche dall’avvocato Giulia Zappaterra (nella foto) del dipartimento intellectual property and technology di Dla Piper, se le sanzioni segnalate da garanti privacy europei dal 28 gennaio 2022 ammontano a 1,64 miliardi di euro, con un aumento annuo su annuo delle multe aggregate riportate dal Gdpr del 50%, come emerge dal report Dla Piper Gdpr fines and data breach survey: January 2023. In totale, dall’entrata in vigore del Gdpr (25 maggio 2018) al 10 gennaio 2023, sono state segnalate multe da 2,92 miliardi di euro in Europa.

D’altra parte, nonostante la maggiore attenzione e la portata degli interventi da parte del garante della privacy irlandese (Dpc), permangono seri interrogativi sul grande accordo stipulato tra consumatori e fornitori di servizi e sul modo in cui i servizi online “gratuiti” saranno finanziati in futuro. Per non parlare dell’efficacia delle sanzioni nei confronti dei big dei dati che a distanza di anni dall’entrata in vigore del Gdpr continuano a cercare di “aggirare” la normativa.

Solo a inizio mese Meta, la holding di Facebook, Instagram e Whatsapp, è stata multata per 390 milioni di euro per aver illegalmente costretto i propri utenti ad accettare annunci personalizzati durante l’uso dei social network, dopo essere stata sanzionata a giugno per altri 405 milioni di euro (la multa più alta registrata nell’ultimo anno). In quest’ultimo caso il garante irlandese ha inflitto la sanzione a Meta Platforms Ireland Limited, in relazione a Instagram, per varie presunte mancanze nella protezione dei dati personali dei minori.

“I social al momento sono nell’occhio del ciclone. Le sanzioni più grandi che si sono registrate nell’ultimo anno infatti riguardano proprio queste piattaforme a causa dell’utilizzo dei dati personali a fine della comunicazione di marketing. Dopotutto, sono un modello di business basato su una raccolta massiccia di dati, superiore a qualsiasi altra realtà e per questo c’è una maggiore attenzione da parte dell’autorità”, spiega a Dealflower l’avvocato di Dla Piper.

Nel dettaglio, molte delle sanzioni inflitte dall’autorità privacy irlandese riguardano la profilazione comportamentale degli utenti e la possibilità di utilizzare la base giuridica della “necessità contrattuale” per legittimare la raccolta massiccia di dati personali. Mentre il Dpc irlandese aveva inizialmente concluso che ciò era possibile, lo European Data Protection Board ha manifestato un orientamento diverso.

L’accordo stipulato tra consumatori e fornitori di servizi quindi deve essere cambiato? E soprattutto, il modo in cui i servizi online “gratuiti” sono finanziati? “Data la posta in gioco, ci aspettiamo che queste decisioni vengano impugnate, con conseguenti prolungate controversie”, sottolinea l’avvocato.

Più consapevolezza più riguardo a notificare

Nota positiva, invece, per quanto riguarda le notifiche di violazioni registrate. Il numero medio giornaliero di data breach notificati, infatti, è leggermente diminuito – è passato da 328 a 300- rispetto al totale dell’anno precedente. Ciò suggerisce, come sottolinea Dla, che le aziende potrebbero essere più caute nel notificare le violazioni per timore di indagini, sanzioni e richieste di risarcimento.

“Si tratta di un aspetto positivo. Oggi l’attenzione dei garanti è maggiore nei confronti delle notifiche di data breah con verifiche e controlli, che possono concludersi anche con delle sanzioni. Quindi alcune società sono più restie a notificare certi data breach più borderline per evitare che ci sia un attività di controllo che in alcuni casi può essere più invasiva”, spiega Zappaterra.

I Paesi Bassi rimangono in testa alla classifica per il numero di notifiche di violazione effettuate ogni 100mila abitanti. Con un numero così elevato di aziende tecnologiche con sede in Irlanda o in Lussemburgo e la continua attenzione delle autorità privacy europee verso questo settore, Dla Piper prevede che questi paesi rimarranno probabilmente in testa alla classifica per i prossimi anni.

Il tech avanza, ma le norme?

Sebbene quest’anno le questioni relative ai dati personali in relazione alla pubblicità e ai social media abbiano dominato le prime pagine dei giornali, c’è una crescente attenzione per l’intelligenza artificiale e il ruolo dei dati personali utilizzati per addestrare l’IA. Quest’anno, in particolare, sono state condotte diverse indagini sulla società di riconoscimento facciale Clearview AI a seguito di denunce da parte di organizzazioni per i diritti digitali, tra cui l’organizzazione My privacy is none of your business (Noyb) di Max Schrems, con l’emissione di diverse sanzioni.

“Ci aspettiamo un aumento delle indagini e della normativa, con particolare attenzione sia ai fornitori che agli utenti dell’IA. Con poi un focus anche sull’ambito della supply chain. Ci sarà tanto lavoro da fare, le aziende dovranno sempre più conformarsi alla normativa che allo stesso tempo dovrà evolversi – conclude l’avvocato -. Chi già sta sviluppando sistemi di intelligenza artificiale si trova in una situazione di stallo, perché vuole creare sistemi quanto più possibili compliance, ma non essendoci nulla di certo sulla normativa che sarà adottata, si trova ora in difficoltà. Quindi è molto complesso per le aziende fare le cose fatte bene. La tecnologia si sviluppa velocemente, mentre la normativa non tiene il passo”.

Lascia un commento

Related Post