La maggiore età online è 14 anni (forse)

Forse non tutti sanno che 2 settimane fa è stato pubblicato in Gazzetta Ufficiale (e quindi sta entrando in vigore) un decreto legislativo che complementa la normativa Europea sulla privacy (il Regolamento UE 679/16, meglio noto come GDPR). Tra i tanti tecnicismi del decreto, c'è un elemento che interessa gli adolescenti ed i loro genitori: è stata fissata a 14 anni (invece dei 16 come da Regolamento) l'età dalla quale i minori possono esprimere autonomanente il consenso per il trattamento dei loro dati personali nei servizi online. Poiché mi è capitato di leggere interpretazioni fuorvianti in passato, cercherò di fare chiarezza sul significato e le conseguenze di questa norma.

Il consenso è uno dei 6 presupposti su cui è possibile basare un trattamento lecito di dati personali; gli altri 5, dal punto di vista dei comuni cittadini, rappresentano tutti quei casi in cui il trattamento è indispensabile o comunque non lesivo dei nostri diritti. Quindi il consenso è l'unico caso in cui, sostanzialmente, abbiamo la possibilità di scegliere se accettare il trattamento o no. Nel mondo online è il presupposto più utilizzato, perché i servizi online (sembra incredibile, vero???) non sono indispensabili alla nostra vita. Poiché il consenso ha ovviamente un valore anche legale, sarebbe indispensabile la maggiore età per poterlo esprimere, ma in questo caso il legislatore ha tenuto in debito conto la realtà, cioè il fatto che i minori sono tra i maggiori utilizzatori di questi servizi, e quindi ha abbassato l'età per poter esprimere il consenso, prevedendo contemporaneamente alcune tutele aggiuntive, tra cui che la relativa informativa sul trattamento dei dati sia particolarmente chiara e concisa.

Cosa succede prima dei 14 anni? Semplicemente che è necessario il consenso (o l'autorizzazione) anche di chi esercità la responsabilità genitoriale. La norma prevede anche che il gestore del servizio verifichi l'età del minore e l'identità del genitore (evidentemente anche a Bruxelles hanno capito che accà nisciun è fess!).

Su quest'ultimo argomento voglio spendere altre due parole. Google ha trovato un metodo ingegnoso per verificare che il consenso accessorio dei genitori sia effettivo: richiede di utilizzare una carta di credito a nome del genitore su cui viene effettuata una pre-autorizzazione di un centesimo, che poi, dopo l'autorizzazione, viene restituito. Bene benissimo, se non fosse che (hoplà) Google ha ottenuto i dati di una carta di credito valida (non che faccia addebiti fraudolenti, intendiamoci!).

Il problema è che molti gestori, soprattutto extraeuropei (leggi: USA), se ne fregano e utilizzano un metodo molto più semplice: fissano nelle proprie condizioni di utilizzo l'età minima per iscriversi a 16 anni per tutti, così nessuna verifica è necessaria (la norma, infatti, per i maggiori di 16 anni non prevede verifiche di età). Tagliando di fatto fuori i minori proprio da tutti quei servizi che invece vanno tanto di moda, ma dall'altra parte confidando sul fatto che tanto il modo di iscriversi lo trovano lo stesso, come peraltro avvenuto finora, potendo così trattare dati personali di minori come se fossero maggiorenni.

Cari genitori, come vedete la legge non intende impedire le pratiche diventate ormai di uso quotidiano anche tra i giovanissimi, però è necessario che partecipiate alla vita online dei vostri figli, e non solo al momento dell'iscrizione al social: controllando loro, ovviamente, ma controllando anche come i diversi gestori di servizi utilizzano i vostri dati, e facendo di conseguenza le opportune scelte consapevoli. Lo ribadisco ancora una volta: utilizzare quella particolare chat "perché ce l'hanno tutti" è stupido, le alternative esistono e potete imporle, vedrete che piano piano diventeranno di uso comune; altrimenti, non cambierà mai nulla.

Privacy, la rivoluzione silenziosa

Manca solo un mese all'applicazione del Regolamento Europeo sulla Protezione dei Dati Personali, che andrà di fatto a sostituire le normative nazionali attuali (in Italia il Codice Privacy del 2003). Ne avevo parlato in un post circa 6 mesi fa, quando avevo appena iniziato ad occuparmi di questo tema (che ora sta diventando il mio lavoro), evidenziando le poche, anche se significative, novità dal punto di vista dei cittadini. Oggi, dopo mesi di studio, lo faccio di nuovo, con una prospettiva diversa: quella della vera rivoluzione che riguarda più coloro che lo devono mettere in pratica (aziende, associazioni, enti), che però avrà notevoli effetti sui tutelati, cioè tutti noi.

Rivoluzione, dicevamo: quella per cui si passa da un normale insieme di obblighi più o meno uguali per tutti, al principio di responsabilizzazione di chi tratta i nostri dati personali. Infatti, il senso ultimo del Regolamento si potrebbe riassumere in questo modo:

A te, azienda/associazione/ente che legittimamente li utilizzi, i dati personali vengono affidati dai legittimi proprietari, a condizione che tu li custodisca al meglio delle tue possibilità.

La pratica, senza entrare troppo nei dettagli, è che ogni titolare deve autonomamente decidere, entro i limiti dettati della norma, come trattare i dati personali che raccoglie e detiene. Ma ciò che ritengo più interessante è invece un altro aspetto: il legislatore cerca di imporre la visione per cui le persone che hanno i poteri decisionali nelle aziende devono immedesimarsi nelle persone di cui trattano i dati, valutandone le legittime aspettative, ed adoperandosi di conseguenza; anche in considerazione del fatto che chi in un contesto rappresenta colui che usa i dati personali, in altri è invece colui a cui appartengono. Spingendomi probabilmente oltre le reali intenzioni, è quasi come se venisse applicato all'uso dei dati personali l'insegnamento evangelico: non fare agli altri ciò che non vorresti fosse fatto a te.

Lo scopo è chiaramente l'effettiva tutela di quello che è considerato uno dei diritti fondamentali dell'uomo, tant'è vero che la norma non si applica solo ai cittadini europei, ma anche a coloro che temporaneamente ricadono sotto la giurisdizione europea; e contemporaneamente, si applica anche ai soggetti extra-UE che forniscono servizi ai cittadini europei, indipendentemente da dove essi si trovino fisicamente.

Quindi tutto bene? Sicuramente no. Chi normalmente dimostra di non avere rispetto dei diritti altrui non ne avrà nemmeno in questa occasione; in questo caso, si spera che siano le salatissime sanzioni previste a fare giustizia. La speranza, però, è che questo principio faccia breccia nelle persone oneste ed abbia l'effetto di motivare coloro che, pur nel pieno rispetto della legge, ritengono la protezione dei dati personali, così come altri temi, solo un altro adempimento burocratico a cui dare il minimo dell'importanza possibile.
Ancora una volta, non è la legge da sola a poter cambiare le cose: serve che il tema della privacy venga, prima di tutto, sentito da tutti come uno dei diritti irrinunciabili.

L'importanza del Regolamento viene anche dimostrata da come le grandi aziende del web stanno affrontando l'adeguamento (secondo alcuni con timore): le nuove privacy policy stanno iniziando a farsi vedere, ma per un'analisi dettagliata vi rimando ad un futuro post.

Un post è per sempre

Tempo di elezioni. Tempo di esternazioni. Uno strazio. Però anche tempo in cui è più probabile trovare materiale per riflettere sui post dei social. Sì, perché capita sovente in questi giorni di sentire ai TG di un qualche politico che prima scrive un post "infelice" su Facebook o Twitter (tipicamente) o altri social, e poi lo rimuove dopo le immancabili polemiche.

Proprio perché siamo sotto elezioni, il meccanismo viene esasperato: giornalisti e avversari politici controllano quasi in tempo reale i profili social dei leader e/o candidati, proprio in attesa di un post su cui costruire una notizia; se poi il contenuto del post si presta a essere interpretato in senso negativo (per chi lo ha scritto), è una vera manna dal cielo. Quindi, prima regola: appena vedi il post, salvalo! Non sia mai venga rimosso. Basta catturare lo schermo in una immagine ed il gioco è fatto. Tempo richiesto: pochi secondi. E se il post viene eliminato, ecco che spuntano come funghi gli screenshot a futura memoria. E il povero mentecatto politico si ritrova a dover spiegare, scusarsi, controaccusare... di lasciar perdere, ovviamente, non se ne parla proprio.

Lasciamo la politica, che ce la dovremo sorbire a sufficienza di qui alle elezioni, e torniamo a casi più calzanti nella nostra vita. Un messaggio scritto in un momento di stress; video o foto imbarazzanti; una battuta che urta le sensibilità altrui: a chi non è capitato? Il problema è che pentirsi non è più sufficiente: una volta che quel messaggio/foto/battuta (più in generale: dato) ha lasciato il dispositivo su cui noi l'abbiamo creato, per finire all'interno dei meandri del servizio (social o sito) verso cui l'abbiamo postato, il controllo è perso. Non lasciatevi ingannare dalla possibilità di cancellare: essa esiste, funziona pure (anche se spesso non è immediata: è scritto nelle privacy policy...), ma non è sufficiente. Chiunque veda il nostro dato prima della cancellazione ha la possibilità, in vari modi (come quello che citavo all'inizio), di crearsene una sua copia, e poi di farne quello che vuole; compreso ri-postarlo da qualche altra parte o inviarlo a chi vuole. Esiste anche un servizio di archiviazione, utilissimo sotto molti punti di vista, ma deleterio per il caso che stiamo esaminando: archive.org, che permette di salvare una copia di qualsiasi risorsa internet accessibile tramite URL in quel momento, rendendo di fatto qualsiasi modifica  o cancellazione successiva inutile.

E la privacy? Dal punto di vista normativo, esiste la possibilità (rafforzata dal Regolamento Europeo che sarà applicabile dal prossimo maggio) di richiedere ai gestori dei servizi la cancellazione di qualsiasi dato personale, indipendentemente dal consenso concesso nel passato (il cosiddetto Diritto all'oblio). Benissimo, ma i tempi sono inevitabilmente lunghi e soprattutto il potere applicativo della normativa si ferma poi inevitabilmente davanti ai conflitti di giurisdizione per tutti quei servizi che risiedono fisicamente e legalmente all'infuori dell'Unione Europea.

La sostanza è che ogni nostro dato che finisce su qualche servizio internet viene immediatamente copiato e rielaborato in mille forme, a nostra insaputa e quindi senza che possiamo controllarle, ed eliminarlo completamente diviene impossibile. Anche se per assurdo esistesse la capacità di eliminarlo da ogni servizio internet, potrebbe sempre succedere che qualche persona poco simpatica ne tenga una copia privata e la ripubblichi dopo un po' di tempo. Ancora una volta, la nostra intelligenza è l'arma più potente che abbiamo per evitare brutte esperienze. I primi gestori della nostra privacy siamo noi. Ovvero: pensiamoci dieci volte prima di postare qualcosa.

Se tutto questo non bastasse, voglio proporre una mia riflessione. Uno dei romanzi più belli di John Grisham (La giuria) racconta di una causa contro la lobby del tabacco, accusata di aver deliberatamente pubblicizzato uno stile di vita che includesse il fumo come elemento di distinzione sociale, in modo da invogliare i giovani ad iniziare a fumare e quindi garantirsi clienti di lungo corso, a scapito della salute. Bene, a me sembra che è successa una cosa simile quando sono apparsi i primi social e se ne è cominciata a vedere la potenzialità economica: i giovani sono stati deliberatamente attratti verso servizi tutt'altro che fondamentali facendo leva sulla condivisione, concetto di per sé assolutamente positivo ma in questo contesto riproposto con un significato diverso, che va proprio nella direzione opposta rispetto a quello della privacy. Il risultato è che ora ci ritroviamo a dover combattere una guerra contro questo atteggiamento, dovendo ri-educare i ragazzi al corretto uso dei social (e degli altri strumenti digitali, ovviamente), in un'ottica di auto-protezione delle informazioni personali.

Qualcuno potrebbe chiedersi perché dobbiamo farlo; o, in altre parole, qual'è il valore della privacy. Un primo motivo, forse secondario come importanza, è semplicemente quello che i nostri dati personali permettono ad altri di arricchirsi (si dice che i dati personali sono l'oro del terzo millennio). Ma il motivo principale è che le informazioni che ci appartengono permettono agli altri di farci del male: lo dimostrano i casi di suicidio e cyberbullismo che le recenti cronache ci hanno raccontato.

Infine, dal punto di vista tecnico, ho una piccola proposta: perché non indirizzare gli studi sull'intelligenza artificiale anche verso la possibilità di trovare in rete tutte le copie, anche rielaborate, dei nostri dati, in modo da dare al diritto all'oblio un potere maggiore?

A maggio 2018 "cambia" la normativa privacy

Nel mondo commerciale informatico è periodo di gran fermento perché incombe una scadenza: a maggio prossimo entra in vigore il nuovo Regolamento dell'Unione Europea sulla protezione dei dati personali delle persone fisiche (che contestualmente abroga le normative precedenti degli stati membri), e un po' tutte le aziende devono adeguarsi alle nuove norme. Basta che fate una ricerca per GDPR (l'acronimo che identifica la nuova normativa, anche se ufficialmente è nota come 2016/679) e ve ne renderete conto. E forse vi renderete conto che tra i risultati difficilmente troverete qualcosa che spiega cosa cambia per i cittadini, invece che per le aziende. Poiché anch'io mi sto occupando della faccenda, ed avendo letto tutta la normativa, mi sento intitolato fare un po' il punto della situazione per il punto di vista del popolo.

Diciamo subito che rispetto alla normativa italiana vigente, per il cittadino cambia poco: i principi generali sono gli stessi. Però, avendoli letti, devo dire che, nella teoria, sono piuttosto buoni, nel senso che al privato cittadino sono garantiti diritti e libertà notevoli. In verità eccezioni a questi diritti e libertà non mancano, però mi sento di dire che hanno ragion d'essere: queste eccezioni tutelano gli interessi generali degli stati, la ricerca scientifica e medica, le finalità statistiche e di conservazione storica, le questioni giudiziarie, etc. La novità più rilevante è che la protezione europea si applicherà sostanzialmente anche quando i nostri dati finiscono in realtà fuori dai confini europei (esempi concreti? Google, Facebook, Apple, Microsoft, Instagram, Twitter...  praticamente il 99% dei nostri dati!).

Quindi? Tutto bene? Possiamo stare tranquilli? Beh, no, perché c'è il solito "però".

Il "però" in questione in realtà non è tra le novità, è un principio già presente da parecchi anni, ed è questo: tutte le protezioni della normativa si applicano a meno che non ci sia stato esplicito consenso a che i nostri dati venissero trattati in una data maniera. Per dirla in concreto: se un qualche call center vi perseguita al telefono per offrirvi imperdibili opportunità di risparmio, quasi certamente non sta violando nessuna norma, perché il vostro numero di telefono, insieme al consenso ad essere chiamati alle ore più improbabili, glielo avete dato voi accettando le condizioni (che non avete letto) per scaricare qualche nuova fantastica app o per la tessera punti del supermercato.

Ma poiché non ho scritto questo post per puntarvi il dito contro (ovviamente anch'io non sono senza peccato...), vediamo cosa possiamo fare grazie alla normativa.

In primis, tra i vari diritti riconosciuti agli "interessati" (cioè: i proprietari dei dati personali) c'è quello della revoca del consenso; ovviamente la revoca, e le sue conseguenze (quasi sicuramente la perdita del diritto ad usufruire del servizio), hanno effetto solo dal momento della revoca, in modo non retroattivo.

Poi c'è il cosiddetto "diritto all'oblio", che dovrebbe permettere la cancellazione totale dei dati, sia dal titolare che li ha originariamente acquisiti, ma anche da tutti quelli a cui sono stati trasmessi. Però (daje!) dobbiamo fare i conti con la potenza e quindi l'ingovernabilità del web: pensare di far sparire tutte le le copie esistenti di una foto o un video imbarazzanti è pura utopia. Basta che qualcuno (un privato, non un'azienda) abbia scaricato una copia e poi la riproponga su qualche altro sito, social, o che ne so io... e addio oblio, senza che nessuna autorità possa farci nulla!

C'è anche la "portabilità" dei dati: è un concetto simile a quello per il numero di telefono quando passiamo da un operatore all'altro, in questo caso sembrerebbe voler consentire una roba tipo portare i propri dati da un servizio verso un altro, per esempio potremmo "spostare" una casella di posta elettronica da un provider ad un altro; pensando invece ad un social, sinceramente non capisco proprio come ciò possa accadere, se non altro perché ogni social ha le sue specificità e mal si adatta a prendere in carico dati "pensati" per un altro.
Altra importantissima questione riguarda il trattamento automatico, spesso noto come profilazione, nei casi che questo comporti una significativa conseguenza all'interessato (pensiamo per esempio alla concessione o meno di un prestito, o al calcolo del premio di un'assicurazione): ora (cioè, da maggio) sarà possibile opporsi a questi tipi di trattamento, oppure richiedere l'intervento umano.
Infine, nel caso malaugurato di compromissione dei dati personali, è fatto obbligo al titolare del trattamento di informare l'interessato, che può poi rivolgersi all'autorità giudiziaria per l'eventuale risarcimento del danno (le sanzioni pecuniarie sono state decisamente inasprite: per i casi limite può arrivare a 20 milioni di euro o il 4% del fatturato annuo!).

A parte i diritti, una novità che ritengo importante è come viene rivisto l'obbligo di fornire le informazioni relative al trattamento (la cosiddetta informativa): essa deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Speriamo che questo obbligo venga veramente rispettato, soprattutto nel suo condivisibilissimo spirito, però è tutto inutile se poi noi non facciamo la nostra parte: l'informativa va letta, capita e sulla base di essa dobbiamo effettuare la scelta libera e consapevole se concedere o no il nostro consenso, che è quello che lascia mano libera al titolare di fare tutto quello che vuole (basta che l'abbia scritto). Ci saranno, è inevitabile, delle informative che ci porranno davanti ad una sorta di ricatto: o il consenso, oppure niente servizio. Essere cittadini consapevoli e liberi significa avere il coraggio di saper dire No.
L'informativa deve anche contenere i contatti del titolare del trattamento (e, ove nominato, del responsabile della protezione) a cui è possibile fare le richieste riguardanti tutti i propri diritti.

Infine, voglio spendere 2 parole per la protezione di dati dei minori. Il regolamento prevede che il consenso sia valido a partire dai 16 anni; sotto questo limite, è necessario il consenso dei genitori. Ricordo anche che normalmente l'iscrizione ai social network, a parte quelli specificatamente dedicati ai bambini, è possibile solo a partire dai 13 anni, ma sento dire da più parti che questa regola (di buon senso, prima che formale) è deliberatamente ignorata da alcuni genitori.
A questo proposito, anche se usciamo dall'ambito del Regolamento in quanto siamo nell'ambito della vita privata, segnalo questa recente sentenza sul fatto che le foto dei figli possono essere pubblicate solo se entrambi i genitori sono d'accordo. Il che a maggior ragione contrasta con il diffuso malcostume di pubblicare foto che ritraggono anche figli di altri, senza chiedere nessun permesso. Non è inutile sottolineare che l'analfabetismo digitale è un problema soprattutto per gli adulti che hanno responsabilità educative!

Per chi volesse approfondire gli argomenti relativi alla privacy, segnalo il sito dell'Autorità Garante italiana, che trovo ottimo dal punto di vista dei contenuti (magari è un po' vintage nell'aspetto...).