🇮🇹Come Il GDPR Protegge il Sig.Rossi Quando Naviga Sul Web?
A Cosa Serve Nella Pratica Il GDPR?
Questa breve riflessione deriva da una parte dall’utilizzo pratico e quotidiano del WEB, da fisso e da mobile e, dall’altra, dal dismettere i panni del dilettante (nel accezione del termine ben definita da Francesco Cossiga e Nassim Nicholas Taleb in tempi e contesti diversi) con interesse in diritti digitali per vestire il ruolo di normale utilizzatore (Rossi è anche il mio cognome, così l’immedesimazione è facilitata).
Tratto il GDPR perché è con ciò che qui in Europa abbiamo a che fare: normativa simile, nella forma e nelle conseguenze, è presente in altre parti del mondo, per esempio in California con un modello che progressivamente si sta espandendo in gran parte degli US; mi limito nelle osservazioni al solo contesto del ‘coockies web tracking’: questo sia per brevità, sia perché esso è molto evidente, sia perché tutto il resto presenta una situazione, come accennerò alla fine, molto peggiore.
Pertanto da un po’ di tempo il sig.Rossi apre un (grosso modo)qualsiasi sito e, in conseguenza del GDPR, si ritrova un popup che in funzione della tipologia di device:
- occupa da 1/5 a 4/5 dello schermo;
- chiede il consenso affinché il sito che si sta visitando tracci, tramite cookie, il comportamento e le caratteristiche di navigazione all’interno del sito stesso;
- in alternativa al consenso, il popup può venire chiuso o si chiude autonomamente (continuando la navigazione) o indica la possibile gestione dei coockie traccianti.
Se si ha del tempo da perdere ci si può addentrare nella gestione. In questo caso le soluzioni proposte sono diverse e, di solito, esse appartengono alla seguente lista:
- scelta dei coockie per cui si accetta che la propria navigazione sia sottoposta a tracking;
- elenco dei data-broker a cui scegliere di affidare il tracking della navigazione;
- papiro contenente le policy di privacy del sito con accettazione finale;
- combinazione dei precedenti.
Naturalmente esistono specifiche app (CMP, Consent Management Platforms) che forniscono ai gestori dei siti l’intero framework tecnico affinché quanto richiesto dal GDPR sia implementato e ottimizzato con la minima spesa nel codice del sito stesso.
Io sono un ‘privacy-cialtrone’ e siccome vado in rete all’ 80% per esigenze lavorative, e navigo per il 70% della mia giornata lavorativa e per il 30% di quella non lavorativa, i popup per me sono solo un fastidio e li chiudo tutti, subito e nella maniera più veloce che mi è possibile.
Questo comportamento lo adotto perché il tempo che dedico alla navigazione è finalizzato al mio lavoro, e/o al mio diletto, non a rimarcare reiterate scelte relative alla mia privacy digitale: con una governance così come quella in essere o faccio l’uno o faccio l’altro.
Siccome non mi sembra di essere il solo a poter essere profilato come ‘privacy-cialtrone’, vorrei sapere a cosa serve nei fatti, nella realtà quotidiana, una norma alla quale, per proteggermi efficientemente (nell’utilizzo di un servizio) da comportamenti che ritengo per me dannosi, devo dedicare alla sua applicazione un tempo almeno pari all’utilizzo del servizio stesso (se non di più).
Attenzione: non sto mettendo in discussione la norma in se ma, bensì, la sua applicazione pratica.
Supponiamo di avere una quantità di tempo da buttare via tale da permettermi di traslare alla categoria dei ‘privacy-ligio’. Quindi per ciascun sito visitato compilo diligentemente le mie preferenze relative alla privacy, oltre a rendermi edotto e accettare le diverse policy. Vorrei sapere chi controlla che le mie preferenze siano rispettate da chi gestisce il sito. L’authority preposta, almeno in Italia, no e non mi sembra che negli altri paesi vada meglio: nessuno possiede mezzi tecnici (e tantomeno una quantità di personale tale) per effettuare controlli, neppure a campione.
Al controllo, per quanto sommario, ci ha pensato qualcun altro e i risultati si possono leggere qui. Quindi a essere ligi il tempo sprecato sarebbe il doppio: il tempo del fare e l’inutilità dello stesso.
Attenzione: non sto neanche questa volta mettendo in discussione la norma nel suo costrutto teorico ma la parte necessaria affinché essa sia rispettata, e cioè i controlli.
Andiamo avanti. I cookie non sono le uniche metodologie di tracciamento: molto comuni e molto usate, come letteratura insegna, sono anche i fingerprint dei browser e i pixel nelle email. Vorrei sapere come il GDPR consente di proteggere le mie preferenze a fronte di queste due tipologie di tracciamento. In questo caso la questione non è essere cialtroni o ligi perché la normativa non prevede nulla in merito e i due sistemi possono essere, nella teoria e nella pratica, utilizzati dai gestori dei siti senza alcuna limitazione e senza alcun controllo.
Attenzione: anche in questo caso la struttura normativa è indenne, fatto salvo il fatto che essa è superata, inefficiente, a fronte dalla realtà tecnologica che dovrebbe normare, quindi inutile.
In verità sono uno pseudo-cialtrone. Adotto delle tecnologie per la navigazione che (spero) almeno parzialmente mi proteggano dallo scempio senza conseguenze che la normativa attuale permette di fare delle mie preferenze e dati personali mentre utilizzo la rete. Tuttavia queste tecnologie, che sono alla portata di tutti:
- non sono da tutti applicabili, se non altro per la conoscenza dei problemi a cui esse tentano di ovviare;
- limitano la navigazione in internet, in quanto sono conosciute anche a coloro contro i quali sono escogitate che, ovviamente, mettono in atto contromisure tali da annullarle, attraverso la non usufruibilità dei loro siti e servizi;
- sono nella maggior parte dei casi frutto di iniziative no-profit private, dedicate alla tutela, anche nella pratica, dei diritti digitali con i conseguenti limiti di budget per la ricerca e sviluppo.
A corollario la non trascurabile questione per cui il cittadino, l’utente, è costretto a difendersi da solo perché lo stato non è in grado di farlo.
Il problema è quindi che da una parte ci sono le ‘teste-pensanti’ che hanno ideato una normativa, sicuramente importante nei contenuti, che nei fatti è non applicabile e non applicata. Gli ottimi principi a cui essa si rifà, e le altrettante ottime finalità, si sono rivelate fin da subito inutili a fronte della tecnologia in essere (e che doveva essere normata) e del suo progredire. La mancanza di flessibilità adattiva all’innovazione sta facendo il resto.
Le ‘teste-pensanti’, e soprattutto la ristretta cerchia dei loro adepti, hanno la curiosa tendenza all’auto-referenziazione (nei social, nei convegni, nelle accademie, negli organi governativi e sovra-governativi preposti) che innesca una spirale perversa basata esclusivamente sui principi che, vuoi per ignoranza vuoi per convenienza, gli avvita sempre più su loro stessi e gli allontana definitivamente dalla quotidianità vissuta dalle persone.
Dall’altra parte ci sono i data-broker che se la ridono (e contano i soldi) e gli utenti comuni, la cui privacy digitale continua a non esistere, adesso anche con la benedizione del GDPR.
Il peggio, ancora da venire ma prossimo al debutto, riguarderà la normativa su AI (intelligenza artificiale): i presupposti, le teste, la metodologia e gli adepti sono sempre i medesimi.
