L’espressione “i nodi vengono al pettine” si è ripetuta molte volte a proposito della regolamentazione delle attività dei colossi della Rete, senza però che seguissero fatti realmente coerenti e concludenti. Questa volta il clima sembra davvero cambiato. Si sta stringendo sempre più il cerchio attorno al business e alle attività, spesso torbide e opache, dei giganti del web, anche a seguito dello scandalo Cambridge Analytica, che ha messo a nudo la fortissima vulnerabilità dei sistemi di protezione dei nostri diritti in Rete, in particolare della privacy.
Sul banco degli imputati, come si sa da settimane, c’è il primo social per numero di iscritti al mondo, vale a dire Facebook, finito nel mirino per lo scandalo dell’utilizzo dei dati di quasi 90 milioni di utenti (e se fossero infinitamente di più?) da parte di Cambridge Analytica, società di consulenza britannica attiva nel marketing digitale, che combina il data mining, l’intermediazione e l’analisi dei dati con la comunicazione strategica per la campagna elettorale. L’anello debole della catena di trasmissione e diffusione di quei dati sarebbero le app come Messenger e i loro meccanismi di promiscuità e condivisione, spesso in grado di rendere possibile la lettura, a un pubblico sterminato, dei post in bacheca e dei messaggi scambiati in chat private con altri utenti.
La battaglia dell’Europa e degli Stati Uniti
Il danno alla privacy degli utenti, stante la travolgente e incontrollata marea di traffico di dati riservati, è irreparabile e forse non ancora del tutto quantificabile. L’Europa l’ha compreso e infatti ha ingaggiato una battaglia a tutto campo contro Facebook, con un prevedibile effetto domino anche su altri social e anche sui motori di ricerca come Google, che pure da anni mostra un consapevole atteggiamento più collaborativo con le autorità di regolazione e di vigilanza dei diversi Stati.
Ieri per la seconda volta in due giorni, Mark Zuckerberg, Ceo di Facebook, si è sottoposto alle audizioni del Parlamento americano. Dopo una seduta fiume di 5 ore con i senatori della commissione congiunta Giustizia e Commercio, Zuckerberg ha dovuto affrontare anche i parlamentari della commissione Energia e Commercio della Camera dei Rappresentanti. <Tra i dati violati da Cambridge Analytica c’erano anche i suoi?>, ha chiesto la democratica della California, Anna Eshoo. Secca la sua risposta: <Sì>. Zuckerberg ha ribadito la volontà di andare fino in fondo dopo lo scandalo di Cambridge Analytica e di fare in modo che nessun altro possa appropriarsi dei dati degli utenti. Ma le sue sono apparse “lacrime di coccodrillo”, tanto più che lo scandalo non può dirsi assolutamente chiuso e che le perplessità permangono, anche alla luce di alcune affermazioni fatte dallo stesso Zuckerberg. <In generale noi raccogliamo anche i dati di persone che non sono iscritte a Facebook per ragioni di sicurezza>, ha detto. Ma è possibile che non esistano parametri per esplicitare con chiarezza quali siano queste ragioni di sicurezza e che tipo di dati vengano raccolti? Bisognerà, dunque, fare ulteriori approfondimenti sull’effettiva diffusione di quei dati e sulle violazioni commesse.
Peraltro le audizioni dei giorni scorsi hanno dimostrato ancora una volta la profonda diversità di approccio al problema tra Europa e Usa. Dall’altra parte dell’oceano la consapevolezza dei rischi per gli utenti appare insufficiente e in ogni caso tardiva, come ha velatamente lasciato intender il commissario Ue alla Giustizia, Vera Jourova. <Quando ho sentito le risposte di Zuckerberg al Senato americano, mi sono solo venute molte altre domande da fargli>, ha dichiarato, ribadendo l’invito al Ceo di Facebook a presentarsi al Parlamento Ue per rispondere anche ai dubbi dei cittadini europei.
Ma di fatti nuovi ce ne sono, nonostante l’apparente ingovernabilità della situazione. Anzitutto Zuckerberg ha ammesso l’inevitabilità di porre delle regole all’economia di internet, stante l’attuale deficit di verificabilità degli utilizzi che con certe app si possono fare di dati riservati. In secondo luogo, lo stesso amministratore delegato di Facebook ha aperto alla possibilità che il social diventi anche a pagamento, magari con la possibilità di differenziare utenze gratuite e non, al fine di assicurare una maggiore qualità e credibilità delle informazioni che quella piattaforma ospita.
Il terzo dato, forse il più rilevante sul piano internazionale, è che ancora una volta si dimostra la “superiorità” dell’Europa sugli Usa per ciò che attiene alla regolamentazione giuridica a tutela degli utenti. Già nel 2001, a seguito degli attentati alle Torri Gemelle, gli americani si scoprirono “nudi” e attaccabili per aver eccessivamente sottovalutato il tema della sicurezza della Rete e delle necessarie tutele degli utenti in Rete. Oggi sembra affiorare un rinnovata consapevolezza oltre Oceano del ritardo giuridico e regolamentare rispetto al Vecchio Continente, che il 25 maggio dà piena operatività al Nuovo Regolamento sulla privacy (Gdpr, General data protection regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. In altre parole, fra poco più di un mese, si andrà a regolare la distribuzione a fini commerciali di informazioni sui cittadini europei, a prescindere dalla sede legale dell’azienda che ne fa uso, che può essere interna o esterna alla Ue. Tra le modifiche più nette rispetto al passato ci sono l’obbligo di richiedere il consenso all’uso dei dati con un linguaggio “semplice e chiaro”, un grado molto più dettagliato di informazioni sui dati raccolti e sulla loro destinazione, e la portabilità dei dati, vale a dire più ampi margini di libertà per l’utente di ricevere e trasferire informazioni su altri social network e dispositivi. Inevitabili i riflessi sul business di qualsiasi azienda che vive sull’advertising digitale e sula vendita, più o meno esplicita, di informazioni raccolte: una profilazione meno estesa significa meno introiti pubblicitari, oltre a costringere le imprese a schierare nuovi legali per migliorare la compliance rispetto alle norme imposte. Grazie a queste regole, le autorità nazionali di protezione dei dati potranno infliggere multe fino al 4% del fatturato globale dei colossi della Rete che non rispetteranno le prescrizioni europee. Nel caso Facebook-Cambridge Analytica, spiegano a Bruxelles, le authority dovranno verificare se le pratiche illegali siano ancora in corso e nel caso partiranno subito con le sanzioni miliardarie.
Gli Usa su questi aspetti hanno tanta strada da fare per assicurare ai loro cittadini-utenti analoghe protezioni rispetto a quelle che il quadro giuridico europeo garantisce agli abitanti dei 28 Stati membri. Il rigore europeo è figlio di un consenso politico forte rispetto all’esigenza di proteggere la privacy dei dati, mentre negli Usa quel consenso politico è cresciuto soltanto dopo le ultime emergenze.
Le future mosse dell’Europa per le fake news
Ma al di là del Nuovo Regolamento, l’Europa ha già in serbo altri passi per disciplinare l’agire dei giganti della Rete, nel segno di una maggiore trasparenza. Il 25 aprile la Commissione europea approverà il piano anti-fake news, che costringerà Facebook e altri colossi a comunicare ai navigatori se i loro dati saranno usati a fini commerciali o politici. Gli utenti dovranno autorizzare questo utilizzo e se ritireranno il consenso i loro dati dovranno essere cancellati. I social saranno altresì obbligati a informare gli utenti di eventuali campagne politiche in corso, con relativa indicazione degli autori e dei committenti. Ma la Commissione europea chiederà alle aziende digitali di potenziare e rendere ancora più “efficienti” i loro algoritmi, affinchè possano scovare le fake news, smascherare i trolls e rimuovere i video che inneggiano alla violenza e all’odio.
Il modello europeo risulta dunque imperniato su un mix tra autoregolamentazione, disciplina legislativa vincolante e cultura digitale. Su quest’ultimo versante, la Commissione ha già depositato un emendamento alla nuova direttiva sul digitale, in votazione nei prossimi mesi al Parlamento europeo, per inserire l’obbligo dell’educazione digitale nelle scuole di tutto il continente, al fine di evitare che i giovani rimangano esposti anche a truffe o adescamenti online e di consentire loro di acquisire un vero atteggiamento critico rispetto ai contenuti dei social e della Rete.
Nonostante in Europa sia stato fatto molto di più che nel resto del mondo sul versante del contrasto agli abusi degli Over the top nei riguardi della privacy degli utenti, va detto che si tratta comunque di interventi tardivi, che si sarebbero potuti mettere in campo anni fa, considerati i volumi di traffico generati dal traffico degli utenti in Rete e i relativi introiti miliardari che essi garantiscono ai gestori delle piattaforme.
Inoltre, bisognerà comunque vigilare anche sulla piena applicazione del Regolamento, poiché il meccanismo del consenso informato si presta a molteplici equivochi applicativi, che la figura del Data protection officer (Dpo) e le altre novità del nuovo testo di legge europeo saranno chiamate a ridurre al minimo. Da ultimo, la sfida del diritto all’oblio e dell’effettiva applicazione dell’art.17 del Regolamento Ue. I titolari delle piattaforme social saranno in grado di dimostrare che la cancellazione di dati di ex iscritti avvenga con puntualità e che quindi ciascuno di noi, in qualunque momento, possa sentirsi sempre pienamente sovrano sulla sua vita privata digitale e sulle sue scelte di presenza in Rete?