Privacy by default anche per Google e Facebook?
A pochi giorni dall’inaugurazione in pompa magna del Global Cyber Security and Privacy Protection Transparency Center, gestito da Huawei e ubicato a Dongguan in Cina, e vista la discussione che sta avvenendo all’interno degli organi istituzionali del nostro Paese in merito al decreto-legge sull’Agenzia sulla cybersicurezza, ci indicano ancora una volta con chiarezza quanto il tema della privacy sia fondamentale quando si parla di cyber security.
(Nella foto: Pieguido Iezzi, co-fondatore e Ceo di Swascan)
La guerra per la privacy - Lo dimostra inoltre la disputa sul punto che sta vedendo recentemente protagonisti i due colossi tech Facebook e Apple. Secondo l’idea di molti, il nuovo sistema operativo di Apple (iOS) avrebbe contenuto di default una funzionalità che permetteva agli utenti di scegliere quali app potessero raccogliere e condividere loro informazioni personali. Il tema è quindi quello della “privacy by default” reso complesso dalle differenti normative a livello globale e dall’oggettiva difficoltà di farle rispettare in presenza di attori così rilevanti, attivi su scala planetaria.
Cos’è la privacy by default? - È un principio, concettuale e poi giuridico, per il quale “per impostazione predefinita (default, appunto) le imprese devono trattare i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.”
Nello specifico significa che le società che entrino in contatto o comunque si trovino a gestire dati personali di terzi (quali ad esempio quelli dei propri clienti o utenti) dovranno motivare chiaramente qualsiasi utilizzo di tali dati e orientare la propria azione ai principi citati più in alto.
Tale concetto è spesso affiancato, anche nel testo normativo europeo all’art. 15 del Regolamento europeo per la protezione dei dati personali, alla privacy by design.
Cos’è la privacy by design? - Concettualmente richiama e completa la privacy by default, ed è basata sui seguenti pilastri:
- prevenzione invece che correzione in corso d’opera, con un onere da parte delle aziende di valutare i rischi già in sede di progettazione, invece che farlo incidentalmente;
- privacy come impostazione di default (ad esempio in un modulo di iscrizione, in cui è richiesto l’inserimento dei propri dati, non possono essere richiesti obbligatoriamente dati definiti come facoltativi);
- privacy come elemento fondante del progetto (l’attività dell’azienda deve quindi tenere conto di tale concetto, applicando tecniche di cifratura o minimizzazione dei dati);
- niente compromessi ipocriti (secondo l’assunto che la tutela della privacy potrebbe provocare esperienze d’uso meno fluide o rischi per la sicurezza);
- sicurezza come elemento fondamentale di tutto il product cycle;
- trattamento dei dati trasparente e chiaramente visibile in tutti i suoi step (per verificare agevolmente l’eventuale presenza di violazioni).
- utente come elemento centrale.
Il fattore pigrizia - L’esperienza ci suggerisce che il concetto di “default” è fondamentale, dato che nella grande maggioranza dei casi è la pigrizia a determinare le scelte degli utenti.
Addentrandoci nel discorso, l’ultima versione del sistema operativo Apple presenta una funzionalità abbreviata in ATT, ovvero App Tracking Transparency (ATT) che si differenzia da altre app a tutela della privacy simili dato che costringe le applicazioni terze a chiedere specificamente il consenso agli utenti per ottenere la raccolta di dati su app e piattaforme per dispositivi Apple. Non esattamente la privacy by default che abbiamo delineato in precedenza, ma comunque una soluzione che tutela l’utente.
Questo naturalmente non fa felice Facebook che raccoglie proprio questi dati per offrire migliori prestazioni ai propri clienti, ovvero gli inserzionisti pubblicitari.
Il lato oscuro della raccolta dati - Il concetto di tutela della privacy sta proprio qui: dare alle persone il potere di scegliere quali e quanti dati fornire ai servizi e alle app. E le recenti modifiche apportate da Apple al proprio sistema operativo sembrano muoversi nella giusta direzione.
D’altro canto la questione sembra essere sempre ridotta alla prestazione del consenso o meno. Poco viene fatto per incentivare le persone e le aziende a porsi questioni fondamentali sulla ragionevolezza della raccolta dei dati, sulla proporzione (ricordiamo il concetto di “minimo necessario”) fra dati raccolti e obiettivo da raggiungere, e sull’intervallo di tempo in cui tali dati debbano essere conservati.
Ma l’ipocrisia di fondo c’è ed è evidente. Queste grandi compagnie che raccolgono e “lucrano” sui nostri dati, offrono in cambio un servizio. E a giudicare dai numeri, si tratta di un servizio che porta valore. Ecco perché è difficile immaginare un cambio di paradigma indolore, dal punto di vista economico. Come spesso accade, vale l’adagio: se un servizio utile ti viene offerto gratuitamente, il prodotto sei tu.
Quindi a fronte dell’impegno normativo dell’Unione Europea, vanno considerate anche le potenziali ricadute economiche di tali principi legislativi. Quanti ancora sarebbero pronti a tutelare la privacy dei propri dati posti davanti alla scelta fra “riservatezza” e abbonamento mensile a pagamento per l’uso di Google e Facebook?
Non abbassiamo la guardia!