Economia

Innovazione

Esportazione dati personali: privacy a rischio

Origine, implicazioni e possibili soluzioni della questione che coinvolge direttamente i paesi dell’Unione europea e gli Stati Uniti
  • Data 15 set 2022
  • Tempo di lettura
    5 min
Print
Esportazione dati personali: privacy a rischio

Si tratta di una vicenda che prende le mosse ormai oltre un decennio fa ed è tornata fortemente agli onori della cronaca lo scorso 23 giugno. Stiamo parlando del provvedimento del Garante della privacy italiano che, dopo aver confermato concettualmente le decisioni prese prima di lui da altri garanti europei, ha comunicato la non conformità con il Gdpr della configurazione di Google Analytics del sito di news Caffeina Magazine. Questo sulla scorta del fatto che dal 2020, con la sentenza Schrems II, non sono più possibili i trasferimenti di dati dagli stati membri dell’Unione europea agli Stati Uniti d’America. Perché? Il framework normativo attualmente presente negli Usa non è allineato con le molto più stringenti normative privacy presenti in Europa: in sostanza, la Nsa (National security agency), con un president act, può accedere ai dati di cittadini non-americani anche senza la necessità di un permesso da parte di un giudice.

Ora, se riflettiamo sul fatto che i dati degli utenti di mezzo mondo risiedono in grossa parte su server americani, gestiti da società americane – lo sono quasi tutte le attuali big tech – si può facilmente comprendere la portata epocale del problema sollevato: un vero “vaso di Pandora digitale”, scoperchiato e ora difficile da sigillare nuovamente. L’iter per risolvere la questione prevede, come auspicato dall’avvocato Guido Scorza del collegio del Garante nazionale, un primo passo composto da un executive order del presidente Biden, che darà il La per la firma di un nuovo accordo, si spera più risolutivo, trasparente e completo del precedente Privacy Shield. Ma come è nato questo problema di non compliance inter-country a livello privacy? Ripercorriamo le tappe dell’origine della vicenda. 

Schrems, Facebook, Noyb e le decisioni dei garanti
Nel 2010, Maximilian Schrems, un giovane laureato in giurisprudenza austriaco, si reca presso l’Università di Santa Clara, negli Usa, per seguire un master. Qui incontra un giovane executive di Facebook, Ed Palmieri, che lì tiene una lezione sul tema della privacy: lo speech di Palmieri fa scattare un campanello d’allarme nella testa di Maximilian, che si rende subito conto delle gravi mancanze del colosso social a livello di gestione dei dati personali dei propri utenti. Parte una sentenza “unofficial”, che possiamo definire Schrems 0: l’avvocato accusa Facebook sulla base di una serie di illeciti realizzati sui propri dati personali, quelli dell’account social di Maximilian stesso. Nel 2012, Richard Allan, al tempo il capo della policy europea di Facebook, comprende che l’intuizione di Maximilian è rischiosa: convoca Schrems e gli propone un lavoro, ma lui rifiuta. Nel 2013 ha inizio Schrems I: la prima vera causa sul tema del trasferimento dei dati Ue-Usa. Questa lunga causa afferma che serve un divieto di esportazione di informazioni personali, fino ad allora normato da un accordo internazionale chiamato Safe Harbor.

Safe Harbor: per l’Ue non è valido
Nel 2015 la Corte di giustizia dell’Unione europea stabilisce l’invalidità del Safe Harbor, dando sostanzialmente ragione a Schrems I. Questi sono anche gli anni di Edward Snowden e dello scandalo emerso grazie alle sue rilevazioni sul tema. Già nel 2016, però, entra in vigore il Privacy Shield, nuovo patto governativo che regola la privacy inter-country, ricostituendo un accordo “tampone” tra Ue e Usa, al fine di non bloccare l’economia e lo sviluppo tecnologico, lasciando di fatto ai Servizi segreti americani la facoltà di accesso illimitato ai dati. Nel 2018, la privacy torna a porsi al centro, con l’entrata in vigore in Europa del Gdpr. Nel 2020, con la causa chiamata Schrems II, anche il Privacy Shield viene a cadere, in quanto considerato non compatibile con il Gdpr dalla Corte di giustizia dell’Ue. Contestualmente, l’organizzazione non profit europea con sede a Vienna, Noyb, di cui Schrems è una delle menti, presenta 101 reclami a 30 garanti della privacy, accusando grandi società di non rispettare la riservatezza degli utenti.

I requisiti di compliance
Si arriva così ad oggi, al 2022, con le autorità che iniziano a pronunciarsi sulla questione, dando di fatto ragione a Schrems. In pratica, il Garante della privacy italiano può notificare alle aziende colte “in fallo”, che dovranno adeguare i propri sistemi e renderli compliant entro un periodo di tempo ritenuto congruo (ad oggi, ha concesso 90 giorni). Questo, quindi, non implica affatto, come erroneamente affermato da più parti sul web e sui social, che tutte le aziende hanno un tempo limite di 90 giorni per adeguarsi: soltanto coloro che sono stati formalmente richiamati hanno questa scadenza. Per tutte le altre società, però, si manifesta la necessità di prevenire il problema, utilizzando configurazioni e sistemi che siano in grado di garantire la privacy dei cittadini europei. E non si tratta solo dei sistemi di analytics e raccolta dati, come si può pensare a uno sguardo superficiale, ma la questione riguarda in pratica ogni tipo di piattaforma e property digitale, dalle app ai social, dai siti web agli strumenti di advertising. Volendo estremizzare in un’affermazione a effetto, potremmo dire che, con queste premesse, oggi è internet stesso ad essere “illegale”.

Cosa si intende per dato personale e quali sono gli impatti sul marketing
“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica ecc.” (fonte: “Cosa intendiamo per dati personali” dal Garante). In base alla definizione canonica, quindi, l’indirizzo Ip dell’utente – il fattore “incriminato” dell’illiceità di Google Analytics – è ritenuto un dato personale, insieme ad altri dati che, se combinati, permettono di riconoscere l’utente. Se l’indirizzo Ip non può essere esportato negli Usa, allora questo implica che qualunque piattaforma che archivi e gestisca l’Ip dell’utente sia oggi non-compliant. In questa logica, tutte le piattaforme di advertising e i loro tag/pixel non sono “legali” ed essendo queste di proprietà americana, è facile immaginare le conseguenze drammatiche per le imprese, in tema di promozione e marketing. In pratica, non sarà più possibile fare advertising come lo conosciamo oggi: niente più misurazioni puntuali né tracciamenti, niente più remarketing né monetizzazione, con impatti davvero notevoli sul fatturato delle aziende, trasversalmente per settore.

Trasferimento dati personali negli Usa: le 5 soluzioni per i marketing manager
Quali sono le possibili soluzioni per minimizzare il rischio di esportazione di dati personali verso gli Stati Uniti?
1 Google analytics 4, in accoppiata con Google tag manager server side, inizialmente accusato di essere la pietra dello scandalo, potrebbe in realtà fornire una buona soluzione tecnologica. In particolare, grazie a Google tag manager server side, è possibile predisporre una configurazione che garantirebbe l’anonimizzazione dell’Ip e il mascheramento di tutti quei segnali che permettono di identificare l’utente: una soluzione Gdpr compliant per la parte di analytics che non risolve il problema dell’advertising, ma future-proof e con un impatto economico basso.
2 Altra soluzione è l’installazione di strumenti alternativi a Ga, come Matomo o Piwik pro, che garantiscono lato analytics il totale non trasferimento di dati in Usa, ma naturalmente non risolvono il problema dei tag di advertising, con un impatto economico medio.
3 Terza soluzione tranchant è quella full-compliant, con la rimozione di ogni sistema che esporta dati: l’impatto economico molto alto la rende poco appealing per le imprese.
4 La strada migliore sarebbe una soluzione alla radice, di tipo istituzionale e politico, per non fare un gigantesco passo indietro tecnologico: il digital advertising europeo dovrebbe compattarsi in un’azione di lobbying, affinché l’Ue faccia pressione per avere un accordo con gli Usa che sia reale e tutelante per tutti, utenti e aziende.
5 Si auspica anche un progetto della Ue affinché le soluzioni di cloud computing europee possano crescere e fare quadrato, poiché il dato è il prossimo campo di battaglia.

ALTRI ARTICOLI di Economia