Negli ultimi dieci giorni ho cancellato senza leggerle decine e decine di mail (i cui oggetti variavano dal gelido “informativa sul trattamento dei dati personali” fino al più caloroso “abbiamo a cuore i tuoi dati personali”), ho accettato in un attimo i termini e le condizioni di tutti i siti che ho visitato e ho ignorato gli avvisi per rivedere le impostazioni sulla privacy di Facebook, Twitter, LinkedIn e le altre applicazioni che tracciano la mia attività per sfruttarla a fini commerciali.
Insomma, non ho fatto nulla di tutto ciò che il GDPR – il nuovo regolamento europeo per la protezione dei dati personali, entrato in vigore provvidenzialmente poche settimane dopo lo scandalo Cambridge Analytica – ritiene indispensabile allo scopo di proteggere i miei dati. Non perché non lo reputi importante (al contrario), ma perché sarebbe stato semplicemente impossibile leggere e interpretare tutte le mail e controllare tutti gli avvisi comparsi sulle decine di pagine web su cui approdo ogni giorno. Chi ha, in una giornata normale, il tempo di dedicarsi a una mole di lavoro del genere?
L’unica cosa che reputo importante fare – e prima o poi mi deciderò a fare – è controllare le mie impostazioni sulla privacy di Facebook e LinkedIn. Per il resto, penso che mi comporterò come se il GDPR non fosse mai esistito. E se questo è il mio atteggiamento – cioè di una persona che per lavoro si occupa anche di questioni attinenti al GDPR e che ha seguito da vicino la vicenda Cambridge Analytica – mi domando: ma che attenzione avranno mai prestato al GDPR le persone più distanti da questi temi; quelli che neanche sanno che cosa si celi dietro il misterioso acronimo (general data protection regulation)?
C’è qualcuno in tutta Milano che ha smesso di utilizzare le biciclette condivise di Mobike dopo aver scoperto che il prezzo da pagare non erano i 50 centesimi che spendiamo per i tragitti brevi, ma la cessione delle informazioni relative ai nostri spostamenti (che entrano nel grande calderone dell’aggregazione di big data commerciati dai broker)? Qualcuno si prenderà davvero la briga di capire che uso fanno dei nostri dati i vari siti web (che hanno messo sotto accusa Facebook ma non hanno un comportamento così dissimile)? Nel mondo reale, c’è qualcuno davvero interessato al fatidico GDPR?
Ho i miei dubbi. Da un certo punto di vista, il nuovo regolamento per la privacy sembra cucito su misura per scaricare sui singoli utenti quelle che dovrebbero essere le responsabilità delle aziende. Queste si limitano a ottemperare alle leggi (in molti casi, non senza difficoltà), dopodiché siamo noi a doverci assumere la responsabilità di scegliere se, quando e a quali condizioni cedere i nostri dati. In un mondo utopico, sarebbe la soluzione ideale; nella realtà dei fatti, rischia di non cambiare niente: tutti noi continueremo a cliccare “accetta” senza leggere nulla. Nelle convulse giornate lavorative, chi ha il tempo di fare altrimenti?
Come ha ammesso anche lo stesso Mark Zuckerberg davanti al Senato statunitense, queste norme rischiano in realtà di avvantaggiare i colossi della Silicon Valley; che hanno risorse immense a loro disposizione per mettersi in regola, possono studiare valide alternative, possono trovare modi per aggirare le leggi e possono parare il colpo nel caso in cui qualcosa vada per il verso sbagliato (e scattino le multe)
È come se, guardando la televisione, prima di ogni programma ci venisse chiesto se siamo disposti a vedere la pubblicità che verrà trasmessa pur sapendo che potrebbe contenere informazioni ingannevoli, che il volume potrebbe venir alzato in maniera fastidiosa, che potremmo essere allettati da un’offerta di finanziamento dai tassi esorbitanti, che potremmo essere indotti ad acquistare un divano approfittando dei saldi che finiscono tra pochi giorni (e che invece non terminano mai). Non ci è mai stato chiesto nulla del genere; perché non possiamo interagire con la televisione, ma soprattutto perché c’è una authority delle telecomunicazioni che vigila sulla quantità di pubblicità che viene trasmessa, sulla correttezza dei vari annunci e anche sul volume troppo elevato.
Perché non si è scelto di perseguire una strada simile, in cui si decide quali sono i modi leciti di usare i dati e stop, senza lasciare la scelta finale a utenti spesso inconsapevoli? Non una soluzione ottimale, ma una soluzione realistica; che avrebbe liberato i consumatori dal fardello insensato di dover (teoricamente) controllare i termini e le condizioni di ogni singolo servizio, piattaforma, applicazione o testata online.
Come ha ammesso anche lo stesso Mark Zuckerberg davanti al Senato statunitense, queste norme rischiano in realtà di avvantaggiare i colossi della Silicon Valley; che hanno risorse immense a loro disposizione per mettersi in regola, possono studiare valide alternative (chissà se vedremo davvero la versione a pagamento di Facebook), possono trovare modi per aggirare le leggi (Facebook ha spostato la sede di riferimento di centinaia di milioni di utenti extraeuropei dall’Irlanda agli Stati Uniti, per non sottostare alle sanzioni previste dal GDPR) e possono parare il colpo nel caso in cui qualcosa vada per il verso sbagliato (e scattino le multe).
Lo stesso non si può dire delle piccole aziende che si occupano di marketing digitale, di tutti coloro i quali gestiscono una newsletter e persino dei singoli blogger che hanno inserito qualche dispositivo di tracciamento nei loro siti o magari si limitano a raccogliere le mail. Per tutte queste realtà, il GDPR è un ginepraio che li espone a rischi enormi (il 4% del fatturato annuo di multa, fino a un massimo di 20 milioni di euro), dopo che per anni è stata lasciata mano libera.
E quindi, gli utenti sono confusi come prima e non hanno minimamente capito che differenza ci sia tra la legge che chiedeva di accettare l’utilizzo di cookies (“accetta, accetta, accetta”) e il GDPR che costringe a valutare ogni singola volta se cedere o meno i nostri dati. Forse sarebbe stato meglio raggruppare tutti i siti (almeno per tipologia) e fare in modo che l’accettazione di determinate condizioni su un sito valesse anche per tutti quelli che hanno condizioni uguali. In questo modo, la patata bollente sarebbe stata scaricata almeno in parte sulle aziende – che avrebbero dovuto accordarsi per offrire termini e condizioni omogenei – invece che sugli utenti.
Oppure, se si fosse voluto tentare qualcosa di radicale e realmente innovativo, si sarebbe potuto immaginare di trasferire la proprietà commerciale dei dati direttamente nelle mani degli utenti; responsabilizzandoci sul loro utilizzo così come siamo responsabili per ogni oggetto che ci appartiene
Oppure, se si fosse voluto tentare qualcosa di radicale e realmente innovativo, si sarebbe potuto immaginare di trasferire la proprietà commerciale dei dati direttamente nelle mani degli utenti; responsabilizzandoci sul loro utilizzo così come siamo responsabili per ogni oggetto che ci appartiene. Un sistema, quindi, in cui i singoli cittadini detengono il controllo in prima persona su tutti i dati che disseminano attraverso le piattaforme e i dispositivi connessi. “Alcune organizzazioni, come CitizenMe o People.io, stanno lavorando per creare account personali che consentano agli individui di avere tutti i loro dati in un unico posto e scegliere quali informazioni condividere con gli altri”, scrive per esempio Sarah Gordon sul Financial Times.
“L’Hub of All Things (HAT), messo in piedi qualche anno fa da alcuni accademici britannici, fa sì che i vostri dati personali vengano custoditi all’interno di un database sul quale avete il pieno controllo”, prosegue ancora Gordon. “In futuro, potreste essere in grado di usare un HAT per immagazzinare le vostre parole, foto, luoghi visitati, musica e transazioni economiche – in una parola, la vostra identità digitale – e scambiare o vendere quello che desiderate”.
Tutto questo processo potrebbe anche essere automatizzato utilizzando una tecnologia come la blockchain, che consentirebbe non solo di avere la certezza che i nostri dati siano sempre al sicuro; ma renderebbe molto più pratico il loro scambio (per esempio automatizzando la cessione in presenza di determinate condizioni) e addirittura potrebbe consentire di vendere i nostri dati – così preziosi, una volta aggregati – e quindi, finalmente, avere un compenso per tutto il lavoro che di fatto svolgiamo ogni volta che postiamo uno status su Facebook, pubblichiamo una foto su Instagram (che vengono utilizzate per addestrare le intelligenze artificiali) o una storia su Snapchat.
Se l’Unione Europea davvero vuole essere all’avanguardia nella regolamentazione della nuova epoca digitale, allora il GDPR somiglia un po’ troppo a una pezza fuori tempo massimo (tanto ormai i dati, i colossi della Silicon Valley, ce li hanno già), scarica sugli utenti un fardello gigantesco e penalizza le piccole e medie imprese.
Tutto questo, ovviamente, non significa che il GDPR sia inutile: la portabilità dei dati (ovvero la possibilità di scaricare tutte le informazioni che le aziende hanno su di noi), l’obbligo delle società di comunicare entro 72 ore se è avvenuto un furto di dati, la possibilità di revocare in ogni momento l’uso nelle nostre informazioni e di richiedere la cancellazione del nostro profilo sono aspetti estremamente importanti. Ma se davvero vogliamo immaginare il futuro della protezione dei dati, si può essere molto più coraggiosi. Senza per forza tartassare gli utenti che hanno già parecchi altri problemi di cui preoccuparsi.