Se avete usato Facebook, Instagram, Twitter o praticamente qualsiasi altro account online o app negli ultimi giorni, avrete ricevuto notifiche e avvisi su un cambiamento delle loro regole per la privacy, o più in generale delle loro condizioni d’uso. Succede perché il 25 maggio entrerà in vigore in modo definitivo il Regolamento generale sulla protezione dei dati (General Data Protection Regulation, GDPR), voluto dall’Unione Europea per mettere ordine nella gestione dei dati personali e tutelare meglio la privacy dei cittadini europei. Il GDPR in realtà è già in vigore da tempo, ma diventerà a breve obbligatorio: per questo Facebook e gli altri si stanno mettendo in regola entro la scadenza ormai molto vicina.

Che cos’è il GDPR

Il nuovo regolamento è stato approvato nel 2016 ed estende le norme sulla privacy che erano già in vigore negli anni passati. Il GDPR è considerato uno dei più completi ed estesi provvedimenti sulla tutela dei dati personali che ci siano, tanto da essere diventato il modello o la fonte d’ispirazione anche in continenti diversi dal nostro. La natura globale di Internet comporta inoltre che si debbano adattare alle nuove regole tutte le aziende che hanno a che fare con i cittadini europei, anche se la loro sede principale è all’estero, come negli Stati Uniti.

L’idea di base del GDPR è: ogni cittadino europeo deve essere avvisato sulla raccolta dei suoi dati personali, e deve dare la propria esplicita autorizzazione. Facebook, Google, Apple, Twitter e gli altri devono inoltre dare la possibilità a ogni utente europeo di revocare l’autorizzazione alla raccolta dei dati. Non solo: ogni cittadino europeo con il GDPR ha il diritto a chiedere e ottenere una copia di tutti i propri dati in possesso dell’azienda che gli ha fornito un servizio. È per questo motivo che molti siti e app hanno iniziato a offrire servizi di download dei propri archivi, come ha fatto di recente Instagram.

Il GDPR ha inoltre l’intento di tutelare i cittadini europei ovunque si trovino, quindi anche nel caso in cui siano all’estero e forniscano per qualche motivo i loro dati personali a un servizio. Questa è la parte più controversa e confusa del regolamento, più che altro per quanto riguarda la sua applicazione. Non è infatti chiaro come potrà essere assicurata né quali saranno le competenze, nell’ambito del diritto internazionale.

Sanzioni

Le aziende, soprattutto le più grandi, stanno prendendo molto sul serio il GDPR perché una mancata applicazione potrebbe avere gravi e costose conseguenze. Per chi non rispetta le regole sono previste multe che possono arrivare fino a 16 milioni di euro. Le multe si applicano per ogni singola violazione e il loro importo deve equivalere al 4 per cento del fatturato dell’azienda coinvolta, fino al massimo di circa 16 milioni di euro. Questa regola ha suscitato polemiche negli anni scorsi durante la fase di approvazione del GDPR, perché potrebbe comportare la chiusura per aziende di medie dimensioni, mentre difficilmente avrebbe impatti significativi su società gigantesche come Facebook e Google, che in proporzione utilizzano una quantità considerevole di dati personali degli utenti per la pubblicità online.

Adattamento

Le aziende che trattano dati personali hanno tempo fino al 25 maggio per aggiornare i loro regolamenti per la privacy, ma soprattutto i sistemi con cui gestiscono le informazioni che raccolgono dagli utenti e il modo in cui questi possono dare il loro consenso. Per questo motivo negli ultimi mesi ogni società si è data da fare per aggiornarsi, uno sforzo non indifferente anche per le aziende più grandi e con milioni e in alcuni casi miliardi di utenti. Molte hanno preparato sezioni apposite dei loro siti per illustrare le novità e divulgare informazioni generali sul GDPR. Tra le più chiare e complete, se usate i loro prodotti, ci sono quelle di Apple e di Facebook.

Cosa cambia

Con il GDPR riceveremo più spesso avvisi e richieste di autorizzazioni a fornire parte dei nostri dati, ogni volta che un’azienda introduce qualche novità per i nostri vari account. Il regolamento richiede inoltre che i cambiamenti siano chiari, trasparenti e scritti in modo comprensibile. Gli avvisi e le richieste di autorizzazione saranno simili a quelle che vengono visualizzate in questi giorni su buona parte dei servizi online e delle applicazioni.

Altri grandi cambiamenti non saranno direttamente visibili, perché riguardano le politiche interne e il modo in cui funzionano i sistemi di raccolta dati delle aziende. Il GDPR copre moltissime regole che influiscono sul modo in cui si possono raccogliere e condividere i dati degli utenti per registrarsi a un servizio, per l’analisi statistica delle visite e soprattutto per la pubblicità. Ogni sito deve dare informazioni trasparenti sui dati che raccoglie e su quali altri società di terze parti lo fanno, per esempio per mostrare gli annunci pubblicitari sulle pagine. Dare maggiori tutele agli utenti sulla condivisione dei loro dati tra diverse aziende che collaborano è centrale per il GDPR, anche se non è ancora chiaro in che misura potrà portare a benefici effettivi per la propria privacy.

Funzionerà?

Anche se manca poco alla sua entrata in vigore definitiva e in molti si sono già adattati, non è ancora possibile dire con certezza quali saranno i risultati del GDPR, soprattutto per quanto riguarda i controlli e le eventuali sanzioni per chi non è in regola. La prospettiva di multe pesanti dovrebbe fare da deterrente e incentivare le aziende a seguire le regole, che però sono complicate e comportano più burocrazia. Secondo i detrattori, il GDPR potrebbe ampliare le già grandi distanze tra Stati Uniti ed Europa nello sviluppo di servizi e nuove tecnologie legate a Internet. Tutti i principali sistemi online usati in Europa sono prodotti e gestiti dagli Stati Uniti, con aziende che spesso sfruttano sistemi per eludere le tasse europee o pagarne il meno possibile, nonostante offrano e vendano i loro prodotti ai cittadini europei.

I critici segnalano inoltre che il GDPR potrebbe creare una divisione tra l’Unione Europea e il resto del mondo, per lo meno nel mercato online, vista la maggiore quantità di regole e rischi che si assumono le aziende se non sono completamente in regola. Le società più grandi hanno annunciato di volere armonizzare i loro regolamenti per la privacy, facendo in modo che seguano le regole del GDPR e che allo stesso tempo possano essere applicate anche nel resto del mondo, garantendo un trattamento paritario dei loro utenti. Altre società hanno scelto strade intermedie, che potrebbero creare confusione tra gli utenti.