Trattamenti di dati sensibili e intrattenimento per adulti: quando la privacy diventa un «hot topic»
L’applicazione della data protection nell’ambito delle attività svolte per i servizi di intrattenimento a tema sessuale destinati ad un pubblico adulto è un argomento particolarmente importante e richiama in modo emblematico l’attuazione di quel bilanciamento dei diritti in gioco fra la libera circolazione dei dati e protezione delle persone fisiche, che sono oggetto e finalità del GDPR stesso. All’interno del mondo digitale è di comune esperienza trovare delle frizioni fra iniziativa economica privata e tutele da dover garantire agli interessati, soprattutto in ragione della natura dei dati trattati, del contesto e dell’ambito dei trattamenti svolti, delle finalità perseguite, nonché dei rischi che possono incombere su diritti e libertà delle persone fisiche.
(Nella foto: Stefano Gazzella, Consulente Privacy&ICT Law, sarà speaker al Privacy Day Forum 2024)
Nell’ampio catalogo di questi servizi, i dati coinvolti sono sempre di natura sensibile se non di categorie particolari qualora siano idonei ad esprimere o consentano di dedurre informazioni relative alla vita sessuale o all’orientamento sessuale di una persona. Informazioni che sono molto appetibili per condurre attività di profilazione e così essere in grado di personalizzare i contenuti e l’attività di marketing, ma che trovano i propri limiti d’impiego nell’art. 22 GDPR.
Ad ogni modo, il valore di queste combinazioni di dati personali diventa piuttosto rilevante sia da un punto di vista contrattuale nelle attività lecite, sia da un punto di vista decisamente meno lecito eppure parimenti significativo. Il rischio correlato a violazioni di dati personali di questo tipo è infatti generalmente elevato, e il considerando n. 51 GDPR invoca l’esigenza di provvedere ad una specifica protezione dei dati personali che «per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.». Le prime conseguenze che è facile immaginare, ad esempio, possono consistere nell’imbarazzo, nel subire discriminazioni e finanche essere esposti ad estorsioni e ricatti.
Comuni denominatori da considerare - È chiaro che in questo ambito le responsabilità in capo al titolare del trattamento per progettare, svolgere e controllare le proprie attività assumono una particolare rilevanza e non possono affatto essere trascurate. Anzi, tutte le misure adottate devono trovare puntuale rendicontazione nella progettazione, negli adempimenti e nelle garanzie, in ossequio al principio di accountability.
Premesso quanto già considerato in ordine a sensibilità e rischi, c’è anche un problema di liceità nel momento in cui occorre che si realizzi una delle condizioni di cui all’art. 9 par. 2 GDPR. Nell’offerta di servizi che prevedono attività di trattamento fondate sulla base di un contratto, la maggior parte delle volte tale condizione è il consenso esplicito. Il quale deve però essere garantito da parte del titolare del trattamento in ogni sua caratteristica essenziale (inequivocabilità, libertà, specificità, informazione, verificabilità, revocabilità) affinché possa essere validamente espresso, soprattutto all’interno di un rapporto contrattuale. E già questa è un’operazione tutt’altro che di poco conto. Mentre per le attività fondate sul legittimo interesse, oltre allo svolgimento di una LIA so dovrà contemplare anche l’elemento del consenso esplicito qualora siano trattati dati di categorie particolari.
La trasparenza come sempre svolge un ruolo fondamentale, dal momento che le corrette informazioni rese all’utente (o acquirente) di un servizio di intrattenimento possono consentire un esercizio libero della scelta sul conferire o meno i propri dati (in quanto c’è un rapporto contrattuale) o di prestare consensi ulteriori per attività non necessarie all’esecuzione del contratto. Il che comporta l’esigenza di svolgere un ragionamento che superi i contenuti formali ma che invece tenga conto delle tutele sostanziali da accordare all’interessato. Come avvenuto nel caso dei chiarimenti richiesti dal Garante Privacy a PornHub, è la privacy policy a fornire evidenza di alcune tutele sostanziali accordate agli interessati.
Dopodiché, anche l’aspetto della sicurezza comporta delle questioni relative alle misure da applicare che non sono mai di poco conto. Stante la natura nonché l’appetibilità di questa tipologia di dati per cybercriminali, infatti, una corretta postura è senz’altro necessaria e deve anche valutare una riduzione dei dati (dei flussi e dei sistemi) impiegati che vada ben oltre l’aspetto della minimizzazione dei dati. Lo scopo in tale senso è quello di ridurre al minimo l’impatto nell’ipotesi realizzata di violazione e al venire meno di ogni layer di protezione approntato.
Tutto questo può dunque essere applicato all’ampio novero delle attività di intrattenimento per adulti, dai sex toys al videosharing e alla creazione e condivisione di contenuti, andando così a declinare responsabilità ed obblighi cogenti. Provvediamo a fornire alcuni esempi piuttosto ricorrenti e di comune esperienza.
L’acquisto di sex toys, o la realizzazione “su misura” degli stessi, comporta l’esigenza di svolgere una DPIA sul processo di vendita e produzione. Parimenti sarà richiesta una DPIA per l’impiego di sex toys “smart” e la previsione di interconnessione con app e dispositivi, tenendo conto anche delle possibilità di condivisione di detti dati.
Per quanto riguarda i portali di intrattenimento, la navigazione degli stessi e il fingerprinting dell’utente per estrarre preferenze e proporre contenuti compatibili o categorie di interesse. L’esperienza dell’utente registrato o del visitatore deve essere attenzionata sotto molteplici aspetti quali ad esempio: le modalità di acquisizione dei consensi al fine di evitare dark pattern; l’impiego di cookie analitici; le modalità di trasmissione delle interazioni ad eventuali terze parti per finalità di analisi e profilazione.
Nella creazione di contenuti il creator stesso dovrà vedersi garantito un diritto di oblio, il quale però tiene conto dei Termini e Condizioni nonché della notorietà acquisita, per cui il fresh start (che è l’obiettivo mediato del right to be forgotten sin dagli albori) potrebbe essere condizionato da più fattori. Provocatoriamente si può anche affermare che lo sarà formalmente, dal decorrere del tempo ma sostanzialmente anche dal fatto che in generale internet non dimentica.
Inoltre, chi opera il caricamento dei contenuti è spesso soggetto a controlli per aver certezza della maggiore età, anche mediante raccolta di informazioni biometriche. Il che prevede attività di trattamento ulteriori (nel caso della biometria, soggette a loro volta alle condizioni di cui all’art. 9 par. 2 GDPR) e caratterizzate dall’essere particolarmente pervasive e persistenti.
Un ulteriore punto da affrontare riguarda invece gli interessati che non possono accedere tali contenuti, e dunque i minori e le misure che si devono applicare per escludere gli stessi. Ma se l’age gate non è sufficiente, anche il parental control altro non rappresenterà che una chimera. Dopotutto, esistono già dei sistemi di KYC (Know Your Customer), largamente impiegati per finalità di compliance a normative fiscali. Si deve considerare però che in carenza di un’educazione (sociale) adeguata all’impiego degli strumenti e all’accesso ai contenuti, ogni rimedio è prima o poi destinato inevitabilmente a fallire. E che se l’obbligo si rivela troppo costoso, come l’ID verification richiesta dalla normativa dell’Arkansas, può capitare che servizi come PornHub – come è accaduto – preferiscano applicare il geo-blocking degli accessi con esclusione di tutti gli IP. Il che certamente avrà aumentato per quel determinato Stato l’impiego di VPN, anche da parte di minori. Con buona pace di ogni efficacia.
Del doman (della privacy) non v’è certezza? Nel mondo digitale in cui si esprime e realizza la creator economy, in cui la monetizzazione dei dati personali è consentita e i modelli “pay-or-consent” sono in discussione, si assiste ad una tale ed accelerata evoluzione non solo tecnologica ma anche sociale che può facilmente fuggire dalle maglie delle normative di data protection qualora esse tentino d’inseguire, prevedere o imbrigliare un futuro che è di per sé liquido e mutevole e ben più accelerato di ogni intervento del legislatore. In pratica potremmo dire che del doman non v’è certezza. Ma questo è sempre stato un bene, perché tale incertezza ha consentito di stimolare proprio la creatività e l’innovazione.
Ragionare per principi e con la promozione di approcci responsabili (anche con interventi congiunti di autorità di controllo ed antitrust) può consentire però di ottenere comunque all’interno di ogni futuro possibile le tutele garantite da diritti fondamentali qual è quello alla protezione dei dati personali. Diritto che mai assumerà il ruolo di tiranno né tantomeno recederà immotivatamente, in quanto in una società moderna tali diritti sono in grado di convivere secondo proporzionalità e soprattutto porsi – alla pari della tecnologia – “al servizio dell’uomo” soprattutto con riguardo alle conseguenze che sono in grado di generare. Perché, dopotutto, questa è l’essenza stessa di un diritto. Altrimenti, rischia di essere inutile o cosmetico, se non addirittura nocivo.