È il momento di passare dalla trasparenza di nome a quella di fatto
Nei giorni scorsi la Corte Suprema del Massachusetts, negli Stati Uniti, ha messo nero su bianco un principio tanto semplice quanto dirompente: Uber non può opporre ai propri utenti le obbligazioni presenti nelle proprie condizioni generali di contratto semplicemente perché ha dato loro la possibilità di accedervi attraverso un apposito link nell’ambito del processo di registrazione ai propri servizi.
I Giudici americani, nell’arrivare a questa conclusione, scrivono, senza tanti giri di parole che Uber non può non sapere che sono solo una manciata irrisoria gli utenti che, effettivamente, in sede di registrazione al servizio accedono alle condizioni generali di contratto rese disponibili attraverso il link e che potrebbe agevolmente fare molto di più per garantire l’effettiva conoscenza di tali condizioni da parte degli utenti prima della loro accettazione.
La decisione – che non ha niente a che vedere con la privacy ed è resa in applicazione di un Ordinamento straniero – rappresenta, però, un’occasione ghiotta per affrontare una questione, probabilmente, troppo a lungo sottovalutata: quella della trasparenza effettiva dell’informativa sui trattamenti di dati personali che il titolare del trattamento è tenuto a dare all’interessato per garantire a quest’ultimo una reale consapevolezza circa il trattamento che lo riguarda.
Sin qui, infatti, ci si è concentrati più di frequente sul contenuto dell’informativa che sulle modalità di somministrazione o, per dirla con le norme del GDPR, più sull’adempimento degli obblighi di cui agli articoli 13 e 14 che su quelli, non meno importanti, di cui all’articolo 12 che, appunto, al primo comma prevede che “Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 … relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
La constatazione, facile, immediata e sotto gli occhi di tutti è che, con poche eccezioni, le informative sulla privacy, allo stato, con poche eccezioni, non sono coincise, non sono scritte con un linguaggio semplice e chiaro men che meno a portata di minore anche quando il servizio è indirizzato proprio ai minori e, soprattutto, non sono somministrate all’interessato con misure idonee a garantire a quest’ultimo un effettivo consapevolezza del contenuto.
La lunghezza delle informative, il linguaggio utilizzato e il design delle interfacce attraverso le quali sono proposte, in effetti, consentono – quando non, addirittura, suggeriscono - all’interessato di ignorare le informazioni in esse contenute e procedere il più speditamente possibile verso la registrazione al servizio o il perfezionamento del contratto.
Si tratta di un approccio che, naturalmente, non può considerarsi sufficiente a adempiere agli obblighi di cui all’articolo 12 del GDPR che, come si è detto, esige evidentemente che il trattamento sia ispirato a canoni sostanziali e non semplicemente formali di trasparenza e consapevolezza.
(Nella foto: Guido Scorza, componente del Collegio dell'Autorità Garante per la protezione dei dati personali)
Tale modus operandi, peraltro, è tanto più grave se si considera che, molto spesso, tale gap di trasparenza si registra da parte di soggetti dotati, nella loro dimensione commerciale, di capacità tecnologiche e comunicative fuori dall’ordinario, circostanza quest’ultima che fa apparire inverosimile che qualora intendessero sincerarsi effettivamente – come il GDPR esige – che gli interessati acquisiscano conoscenza del contenuto delle informative, potrebbero trovare difficile conseguire il risultato.
Sin qui tale stato di cose ha prodotto effetti paradossali giacché le informative sul trattamento dei dati personali si sono, nella sostanza, trasformate da strumenti di garanzia per gli interessati in strumenti di garanzia per i titolari del trattamento che si sono, spesso, sentiti autorizzati a porre in essere trattamenti anche molto invasivi, sul presupposto di aver dato un’ampia informativa agli interessati, a prescindere dalla circostanza che, probabilmente, questi ultimi non l’avrebbero mai letta.
E ciò nonostante sia fuor di dubbio che tanto i principi di trasparenza e consapevolezza quanto quelli di accountability e privacy by design avrebbero imposto ben altro impegno in relazione proprio alle modalità di somministrazione dell’informativa.
Ora, a oltre due anni dalla prima applicazione del GDPR è, probabilmente, arrivato il momento di passare da una verifica prevalentemente formale di conformità delle informative alle previsioni degli articoli 13 e 14 a una verifica sostanziale di conformità delle medesime informative ai principi di trasparenza e consapevolezza e, più in particolare, alle disposizioni di cui all’articolo 12.
Si tratta, peraltro, di un focus divenuto indispensabile anche per evitare che sui mercati si verifichino intollerabili asimmetrie tra chi rispetta, anche nella sostanza, le regole e chi si limita a un loro rispetto formale.