di Vincenzo Tiani
A tre anni dall’entrata in vigore del Gdpr in Europa anche il resto del mondo si sta mettendo al passo. La Cina da inizio novembre ha una normativa piuttosto stretta sulla protezione dei dati personali, con le eccezioni immaginabili riservate allo Stato. Intanto negli Stati Uniti proseguono le discussioni su una legge federale sulla privacy dopo l’approvazione di alcune leggi nazionali come quella della California. Tutto sembra andare per il meglio dunque. E invece no.
In Europa infatti si continua a discutere sulla effettività del Gdpr quando si tratta di comminare le sanzioni o semplicemente di capire chi sia l’Autorità competente quando le Big Tech si dividono tra Irlanda, Lussemburgo e Olanda, pur avendo però clienti in tutta l’Unione europea. E se le indagini richiedono tempi lunghi e risorse umane specializzate, cui bisogna aggiungere competenze tecniche difficili da trovare perché spesso allontanate da un mercato privato più attraente e competitivo, bisogna riconoscere che la verità resta quella presentata dal professor Lawrence Lessig oltre venti anni fa: Code is law, il codice costituisce (o sostituisce) la legge.
Questo assunto sembra sempre più evidente dopo le cifre diffuse dal Financial Times e riportate da The Verge secondo cui i principali social network avrebbero perso da aprile a ottobre quasi 10 miliardi di fatturato complessivamente. In tutti i casi il pomo della discordia, è il caso di dirlo, è Apple. Con l’aggiornamento a iOS 14.5 Apple ha dato la possibilità ai suoi utenti di scegliere con un click se essere tracciati o meno e il risultato è stato che in media il 96% degli utenti americani hanno scelto di non essere tracciati. Apple, con un singolo aggiornamento, ha fatto più di tutte le sanzioni del Gdpr degli ultimi tre anni senza neanche il problema di dover comprendere come districarsi tra norme internazionali da una parte all’altra del globo.
Nel segno della protezione
Ma Apple non è la sola che sta dimostrando come le sue scelte, che riguardano centinaia di milioni di utenti nel mondo, possano essere più efficaci di tutti i burocrati di Bruxelles o di Washington. Google ha annunciato questa settimana che gradualmente tutti i suoi utenti dovranno usare obbligatoriamente l’autenticazione a due fattori. Per Google si parla di almeno 150 milioni di persone. Secondo le cifre riportate dal Wall Street Journal, nel 2018 erano solo il 10% quelli che la utilizzavano mentre per Twitter la percentuale scende al 2,3%. Complice il fatto che dopo dieci anni ormai gli utenti sappiano cosa sia e molti hanno almeno un conoscente il cui profilo sia stato violato, per Big G i tempi sono maturi per il grande salto.
Non finisce qui. Il 2 novembre Meta, prima conosciuta come Facebook, ha annunciato che cancellerà tutte le immagini di riconoscimento facciale ottenute negli ultimi dieci anni, un database di oltre un miliardo di immagini. L’adozione di questa tecnologia, scelta da almeno un terzo dei suoi utenti (quindi diverse centinaia di milioni), desta ancora troppe preoccupazioni. Come spiegano dalla stessa Meta, se da un lato questa tecnologia ha permesso agli ipovedenti di sapere chi compare sulle foto e agli utenti di sapere se una loro foto è stata caricata senza consenso, questi “casi specifici in cui il riconoscimento facciale può essere utile devono essere soppesati contro le crescenti preoccupazioni sull’uso di questa tecnologia nel suo complesso. Ci sono molte preoccupazioni circa il posto della tecnologia di riconoscimento facciale nella società, e i regolatori sono ancora in procinto di fornire un chiaro insieme di regole che governano il suo uso. In mezzo a questa continua incertezza, crediamo che limitare l’uso del riconoscimento facciale ad una serie ristretta di casi d’uso sia appropriato”. Ancora una volta, in attesa di un passo decisivo del legislatore, è l’azienda che si autoregola.
Le sinergie possibili (e auspicabili)
Se è pur vero che in Europa, storicamente dedita alla (a volte iper) regolamentazione, le tutele esistono da tempo, altrettanto non si può dire per tutti quei Paesi in cui queste aziende “Stato” operano e offrono i propri servizi. Il risultato è che, anche se per tre motivi del tutto diversi tra loro, queste tre aziende hanno fatto in questi mesi delle scelte che avranno un impatto positivo sulla privacy e la sicurezza dei device di centinaia di milioni di persone. Nel caso di Apple offrendo una scelta in più all’utente, negli altri due scegliendo per loro.
Dobbiamo dunque aspettare che siano le aziende a salvarci? No, tutt’altro. I legislatori di tutto il mondo devono leggere questi eventi e fornire gli strumenti legislativi a cittadini ed aziende per garantire maggior privacy e sicurezza attraverso norme adeguate e standard condivisi a livello internazionale. Non è accettabile che si ceda al soluzionismo tecnologico e che siano le aziende ad anticipare i legislatori. È senza dubbio comodo, complice la possibilità di vederne immediatamente l’effetto, ma è una china pericolosa. Piuttosto deve esserci un dialogo costruttivo tra le parti perché gli interessi in gioco sono diversi e tutti meritevoli di considerazione. Avere un quadro normativo chiaro e il più possibile internazionale su questi temi andrà a vantaggio sia delle aziende, che conosceranno il perimetro di azione, che dei cittadini.
…
Originariamente pubblicato su Wired Italia
Licenza Creative Commons Attribution, Non Commercial, Non Derivs 3.0
