Privacy, la stretta sugli spioni di dati

Più garanzie e più semplicità per districarsi nel labirinto di informative ed email che ci spiegano come vengono usati i nostri dati personali. Quel patrimonio di informazioni che siamo tenuti a fornire non solo online, quando ci iscriviamo a un social network o a una newsletter, ma anche ad esempio quando compiliamo il modulo per la carta fedeltà del supermercato. Da oggi entra infatti in vigore il Gdpr, che sta per General Data Protection Regulation, il nuovo regolamento europeo in tema di privacy che in Italia sostituirà il codice emanato nel 2003. E l'esordio avviene proprio nel giorno in cui scoppia l'ennesimo scandalo sul tema: una startup americana, Six4Three, ha incolpato Facebook di aver sviluppato un «metodo malevolo e fraudolento» per ottenere dati dagli iscritti e l'ha accusata di fare il doppio gioco, chiedendo scusa per casi come Cambridge Analytica e intanto sfruttando per prima le informazioni degli utenti.

Il Gdpr si pone come obiettivo quello di rendere più difficili abusi del genere, almeno per tutte le persone che risiedono all'interno dell'Unione europea. Tutele che in realtà in Italia diventeranno effettive con qualche giorno di ritardo, dato che il decreto di adeguamento deve essere ancora approvato dal Parlamento. Saranno tenuti a rispettarlo sia le società pubbliche sia quelle private, che dovranno garantire agli utenti la possibilità di conoscere in modo chiaro gli scopi, i tempi e i modi del trattamento dei loro dati. Ciascuno potrà comunque revocare il consenso e far sì che le proprie informazioni vengano eliminate.

Tra le novità più importanti c'è anche quella dell'età minima per fornire autonomamente il consenso al trattamento dei dati: sotto i 16 anni (ma i singoli Stati possono abbassarla fino ai 13: il Garante per la privacy italiano l'ha fissata a 14) serve il «sì» di un genitore o tutore. Un modo per proteggere maggiormente i minori online, soprattutto sui social network, ma facilmente aggirabile: su Facebook, ad esempio, basta indicare una data di nascita fasulla per potersi iscrivere ugualmente. E per evitare altri casi come Cambridge Analytica, in caso di violazioni il Gdpr prevede l'obbligo per i titolari dei dati di informare i diretti interessati e l'autorità di controllo entro 72 ore dal momento in cui se ne viene a conoscenza (ma solo se la violazione può rappresentare un rischio per l'utente). In ogni caso, da oggi, le aziende e le piattaforme che avranno commesso abusi rischiano sanzioni fino a 20 milioni di euro o pari al 4% del fatturato, nei casi più gravi.

Non tutti, però, sembrano farsi trovare pronti. Ieri il Garante per la privacy europeo, Giovanni Buttarelli, ha avvertito: parecchie aziende, soprattutto quelle medio-piccole, non sono ancora attrezzate per rispettare il nuovo regolamento. E «ritardatari» sono anche alcuni siti che offrono servizi e giochi online, che hanno momentaneamente bloccato gli utenti del Vecchio continente per non incorrere nelle multe.

Ma il Garante europeo ha anche lanciato un allarme sulle finte consulenze in materia: «Stiamo assistendo a un fenomeno che non vorrei definire di sciacallaggio o di strozzinaggio, ma che è preoccupante - ha detto Buttarelli all'agenzia di stampa Agi - Si vendono tante consulenze come passepartout per mettersi al riparo dalle nuove norme, ma spesso sono superficiali, fasulle».