Al Chaos Communication Congress, esperti di vari settori si incontrano per parlare delle tematiche più attuali che riguardano la sicurezza informatica, la privacy e i diritti umani nell’era digitale. In agenda quest’anno , come c’era da aspettarsi, c’è stato anche il Regolamento europeo ePrivacy.
Ingo Dachwitz, editore del portale tedesco Netzpolitik.org, che si occupa di diritti digitali e privacy su Internet, nel suo intervento ha spiegato in cosa consiste questo regolamento, come cambierà il mondo di Internet e perché i rappresentanti di spicco dell’industria del Web pensano che avrà conseguenze catastrofiche.
Breve storia sul regolamento europeo per la protezione dei dati personali
Probabilmente avrete già sentito parlare del Regolamento ePrivacy; l’Unione Europea, infatti, ha condotto delle consultazioni pubbliche e il suo nome sta già comparendo tra i titoli dei giornali di tutta Europa. Facciamo un riepilogo di ciò che è successo fino a ora.
A partire dagli anni Novanta, Internet ha iniziato a crescere sempre di più e, di pari passo, il volume di dati sui suoi utenti. Le aziende hanno sviluppato nuovi modi per acquisire e processare i dati, che sono diventati uno strumento importante e di valore. Maggiore è il volume di dati sugli utenti posseduto da un’azienda (e più efficiente è il metodo di analisi), maggiore è la efficacia con cui queste aziende riescono a rivolgersi ai propri consumatori, vendendo prodotti mediante annunci pubblicitari mirati (creati proprio seguendo le indicazioni di questi dati).
La Commissione Europea si è interessata molto a tutto ciò che riguarda questo aspetto, in che modo vengono utilizzati questi dati e da chi. La situazione richiedeva chiaramente un qualche tipo di regolamentazione a un livello più generale rispetto a quanto fosse stato fatto fino a ora. Il primo passo in tal senso è stata la Direttiva sulla Protezione dei Dati personali, anche se la definizione di dati personali era comunque piuttosto vaga. Ventun anni dopo, ad aprile 2017, la Direttiva è stata sostituita dal Regolamento Generale sulla Protezione dei Dati (GDPR).
Il Regolamento ha l’obiettivo di definire con precisione cosa sono i dati e categorizzarli, così come unificare e rafforzare le regole di protezione per i dati dei cittadini dell’Unione Europea, che siano dati generici o che riguardino il livello intellettuale, culturale, economico o sociale. Tra i vari esempi ci sono gli indirizzi IP, i nomi dei clienti, i numeri di telefono, informazioni su fornitori e dipendenti e tanto altro.
Il nuovo Regolamento ePrivacy
Infine arriva il Regolamento ePrivacy, che entrerà in vigore a maggio 2018 e aggiunge maggiori disposizioni al GDPR. Segue la stessa linea del suo predecessore, la differenza principale è che l’ePrivacy divide i dati personali in due grandi categorie: i dati sui contenuti (messaggi di testo, immagini, lingue utilizzate etc) e i metadati (i “dati sui dati”, ovvero le informazioni che riguardano i file sui contenuti). Ad esempio, per quanto riguarda i siti Web, parliamo di parole chiave, cookie, file fingerprint etc. I metadati sono importanti per chiunque voglia definire un utente su Internet, rintracciare i suoi movimenti nel Web e analizzare i suoi comportamenti.
Il Regolamento ePrivacy si basa sul principio “Privacy by default” e che coinvolge tutti i tipi di dati degli utenti su Internet:
- Si possono raccogliere i dati avendo il consenso attivo dell’utente e devono essere cancellati o resi anonimi quando non sono più necessari per le comunicazioni (Articolo 6);
- Tutte le forme di tracking online devono essere adeguatamente controllate, iniziando con chiedere il consenso all’utente per questa operazione. Il tracking è vietato se non si ottiene l’autorizzazione dell’utente e non sono ammessi i cosiddetti “tracking walls” (bloccare l’accesso al contenuto di un sito se l’utente non acconsente al tracciamento- Articoli 7,8 e 9 );
- Il tracking offline (via Bluetooth o Wi-Fi) può essere utilizzato sono per scopi statistici, o solo dopo aver ottenuto consenso esplicito dell’utente (Articolo 8);
- I fornitori dei servizi di comunicazione devono proteggere i dati degli utenti mediante cifratura end-to-end e possono essere decifrati solo dall’utente stesso (Articolo 17);
I fornitori dei servizi di comunicazione non possono vietare l’uso di altri mezzi di protezione degli utenti dal tracking o dal targeting (parliamo, ad esempio, degli ad-blocker – Articolo 17).
Il campo di battaglia
Fin dalla proposta di Regolamento a gennaio 2017, nella società europea si è animato un grande dibattito in merito. I media più importanti in Europa e i rappresentanti delle aziende di Internet hanno espresso il parere concorde che questo Regolamento non solo non sarà di aiuto agli utenti, ma inficerà la produttività e la capacità d’uso di certi servizi.
Associazioni e lobby di categoria quali l’Interactive Advertising Bureau (IAB), DigitaliEurope, la European Association of Communications Agencies (EACA), la European Magazine Media Association (EMMA) e tante altre hanno avviato una campagna per contrastare il regolamento. Fanno parte di queste lobby grandi compagnie quali Amazon, Facebook, Google, Apple, Microsoft e le più grandi agenzie digitali, PR e di pubblicità europee. L’iniziativa si chiama “Like a Bad Movie” (come in un brutto film) e viene immaginato un mondo dove il Regolamento ePrivacy è già in vigore, sottolineando quanto la sua approvazione danneggerà gli utenti e Internet nel suo complesso. In particolare:
- Limitare gli introiti pubblicitari data driven comporterà meno giornalismo di alta qualità, con la diffusione di fonti d’informazioni meno affidabili e minore pluralità di opinione su Internet;
- Falliranno quelle utili app i cui modelli di business si basano sui ricavi pubblicitari data driven;
- Il Regolamento porterà più confusione tra gli utenti e non aiuto, obbligandoli a gestire le impostazioni riguardanti la privacy su ogni singolo dispositivo, ogni browser e ogni sito che visitano;
- Ci sarà sempre meno contenuto gratuito disponibile poiché i siti Internet non potranno più ottenere entrate dagli annunci pubblicitari data driven.
Il punto di vista generale delle associazioni di categoria è che il Regolamento minaccia i modelli di business data driven, fenomeno che cercano di evitare in tutti i modi. Su 41 incontri con associazioni di categoria che si sono tenuti con i commissari della UE durante il 2016 e riguardanti l’ePrivacy, 36 si sono tenuti per interessi aziendali. E comunque ci sono aspetti ancora da specificare e lasciati in bozza: ad esempio, la definizione di metadati è ancora piuttosto vaga ed è stata esclusa la proposta di garantire impostazioni e-privacy di default sui dispositivi.
La battagli continua; gli emendamenti al regolamento effettuati dal Parlamento Europeo il 23 ottobre 2017 sono ancora più restrittivi, limitando il raggio d’azione dei rappresentanti industriali. Le associazioni di categoria non si arrendono, c’è ancora tempo per pubblicare nuovi emendamenti in grado di cambiare completamente il documento.
Questo è ciò che sappiamo fino ad ora, terremo d’occhio la situazione e vi consigliamo di fare lo stesso. L’impatto globale del Regolamento sarà enorme visto che Internet in generale si fonda sui dati degli utenti. Se verrà adottato così com’è, il regolamento sarà il vero evento dell’anno, dalle conseguenze economiche più importanti dei Mondiali di calcio.