La bozza di regolamento circola dal 2017, ma non si trova un accordo. Nel mirino il consenso attivo e la battaglia alla profilazione degli utenti online
Se il codice della strada fosse stato scritto all’epoca di calessi e carrozze a cavallo, tutti sentiremmo l’urgenza di aggiornarlo al traffico dei giorni nostri, fatto di automobili, furgoni, moto e motorini. E lo stesso, fuor di metafora, sta succedendo con la regole dell’Unione europea per la protezione delle comunicazioni elettroniche. La direttiva oggi in vigore risale a un 2002. Ossia a un mondo in cui l’iPhone era ancora nella mente di Steve Jobs, Facebook di là da venire (Mark Zuckerberg ha fondato la società con gli altri compagni di college nel 2004) e Amazon raggiungeva il primo attivo dopo otto anni di vendite online.
Eppure la bozza del regolamento ePrivacy, che deve aggiornare le norme emesse diciassette anni fa, langue dal 2017, dopo che la Commissione europea ha licenziato la sua proposta il 10 gennaio. Il pacchetto di legge vaga di scrivania in scrivania, strattonato dagli interessi di governi, aziende e lobby. L’ePrivacy tocca nervi scoperti: la profilazione degli utenti in internet attraverso cookie e sistemi di tracciamento, lo sviluppo della domotica e del 5G, il marketing e la pubblicità online. Per questo rischia di essere azzoppata alla fine della lenta marcia, perché non è scontato che il testo, ora all’esame degli Stati membri riuniti nel Consiglio dell’Unione europea, riescano a trovare un accordo.
Cos’è il regolamento ePrivacy
Il pacchetto di norme su comunicazioni elettroniche e trattamento dei dati avrebbe dovuto ricevere il via libera insieme al Gdpr (il Regolamento generale europeo sulla protezione dei dati), entrato in vigore il 25 maggio 2018. Le due leggi sono legate. Se il Gdpr ha messo uno scudo ai dati personali, il regolamento ePrivacy dovrà alzare le barriere specifiche sull’attività digitale. Quindi su metadati, informazioni che ci scambiamo con gli strumenti di comunicazione elettronica (dall’email alle chat) e profilazione online attraverso i cookie, ovvero quei file che memorizzano le abitudini di un utente sul web, fornendo al marketing gli indizi per tracciare un identikit del consumatore e servirgli pubblicità e offerte su misura.
Il pacchetto ePrivacy interviene su spam, web marketing online e uso dei metadati. Ma anche sull’internet delle cose, domotica e il 5G, visto che vuole inquadrare lo scambio dati tra macchine (machine 2 machine). Sempre più dati, d’altro canto, riguarderanno l’interazione con i dispositivi intelligenti e con gli algoritmi che dovranno elaborare una risposta ai bisogni dell’utente. E nella bozza, in corsa, sono entrate anche misure per combattere l’abuso di minori online, la pedopornografia e il terrorismo.
La battaglia dei “biscottini”
I cookie sono uno dei temi più discussi. Già il Gdpr ha acceso un faro, ma il regolamento ePrivacy punta a dare un giro di vite, specie nella bozza licenziata dalla commissione per libertà civili, giustizia e affari interni (Libe) del Parlamento europeo. Cosa prevede? Che, esclusi alcuni cookie tecnici di cui i fornitori di servizi digitali possono avvalersi senza il consenso dell’utente, per tutti gli altri serva un ok esplicito e attivo.
Detta così, il rischio è che l’utenti si ritrovi non più a cliccare su un bottone per accettare tutti i cookie impiantati sul sito che sta visitando, come succede ora, ma su tanti bottoni, uno per ciascun “biscottino”. Non solo: i siti dovrebbero offrire un servizio “alla cieca”, ovvero anche senza che i cookie opzionali siano selezionati, dando per assunto il niet in blocco dell’utente.
Per questo il Parlamento vorrebbe affidare la responsabilità ai browser. In pratica l’utente imposta i cookie che è disposto ad accettare sul motore di ricerca e quest’ultimo li riverbera su tutti i siti che visita. Viceversa fa partire una navigazione a zero cookie (salvo quelli tecnici). “Il consumatore altrimenti sarebbe tenuto a cliccare ogni preferenza per ciascun cookie, spendendo ogni volta vari minuti. Il preset sarebbe una soluzione più funzionale”, spiegano a Wired da Altroconsumo, un’associazione di consumatori.
Lo scudo anti-cookie ha fatto drizzare i peli ai giganti della tecnologia, che sulla profilazione hanno costruito il successo del loro sistema di pubblicità, ma anche le aziende di marketing e quelle che beneficiano degli inserzionisti, come gli editori. Fonti a Bruxelles confermano il nervosismo delle web company. Dall’altro versante le associazioni dei consumatori sostengono regole più dure contro la sorveglianza informatica, come ha ribadito in una lettera l’organizzazione comunitaria che le rappresenta, Beuc.
Qualche voce non allineata c’è. È Qwant, motore di ricerca nato in Francia. “Non usiamo cookie o altre tecnologie di tracciamento, quindi qualsiasi legge che imponga un pre-set a zero-cookie non avrebbe alcun effetto sul nostro business”, spiega Guillaume Champeu, direttore etica e affari legali: “Qwant accoglierebbe con favore un regolamento che assicuri che browser e altri dispositivi non possano consentire alcuna forma di tracciamento delle abitudini senza un consenso preventivo”. Tifo giustificato, insomma: l’azienda pescherebbe un jolly dal mazzo se il regolamento europeo togliesse l’aiuto dei cookie ai giochi di concorrenti ben più strutturati e navigati, come Google. Wired ha domandato a Big G se teme ripercussioni sui propri affari in Europa, ma non ha ottenuto risposta.
Semaforo verde
Con un’ePrivacy “dura” il consenso passerebbe dall’opt-out all’opt-in. Ossia da una forma in cui bisogna “uscire” da un sistema di impostazioni predefinite che consentono una serie di tracciamenti a una in cui occorre decidere da zero cosa si è disposti ad accettare. Oggi vale il primo sistema. “In pendenza dell’attuale ePrivacy directive, l’approccio scelto da alcune autorità, tra cui quella italiana, è stato orientato al business: basta lo scroll down del sito per accettare i cookie all’inizio, ma l’utente può fare opt-out in ogni momento rispetto ai cookie di profilazione”, ricorda Massimiliano Masnada, partner per protezione dei dati e sicurezza informatica dello studio legale Hogan Lovells.
Di recente la Corte di giustizia dell’Unione europea ha sentenziato a sua volta che il consenso sui cookie deve essere specifico, apparentemente contrastando la suddetta interpretazione. “La scelta che verrà fatta dal regolamento ePrivacy, quindi”, aggiunge Masnada, “sarà necessaria a dirimere questo contrasto”. La nuova bozza bilancerebbe la situazione: da un lato richiama la definizione di consenso specifico contenuta nel Gdpr, che prevede anche comportamenti attivi, dall’altro prevede l’utilizzo dei set del proprio browser per esprimere il consenso. Per l’avvocato ciò che è certo è che il regolamento “avrà un’incidenza forse anche maggiore del Gdpr, perché ne saranno interessati non solo i piani di marketing delle società over the top (come Google, ndr), ma anche quelli di piccole aziende”.
Terreno di scontro
Ma ci sono altri punti che dividono. Uno, come fanno sapere fonti del Parlamento europeo vicine alla partita a Wired, è l’articolo sul contrasto all’abuso di minori. Una regola che le compagnie tecnologiche vogliono affondare. Tra queste, risulta a Wired, ci sarebbe Microsoft, che reputano troppo complesso ottemperare alla prevenzione degli abusi così com’è prescritto dal documento. A una richiesta di commento, l’azienda al momento non ha risposto. Gli stessi paesi sono indecisi se farla passare in questo pacchetto o varare una norma ad hoc. Ma se si scegliesse per il sì, alcuni governi chiedono regole sul crimine online, a cominciare dal terrorismo.
Terreno di scontro è anche l’uso dei dati da parte di dispositivi connessi e internet of things. “La prospettiva del 5G è di una maggior integrazione e raccolta di dati. Anche la domotica di casa genererà milioni di dati che, se analizzati in modo non corretto, possono fotografare quello che un utente fa”, osserva Marco Berliri, partner per diritto delle telecomunicazioni, media e nuove tecnologie per lo studio Hogan Lovells.
Siccome arriva due anni dopo il Gdpr, inoltre, il regolamento è stato usato come carrozzone su cui caricare tutte le partite rimaste aperte. Per esempio, alcuni Stati vogliono orientarlo per indebolire il ruolo del Garante europeo sulla privacy (la nomina del successore di Giovanni Buttarelli, morto in agosto, è attesa per settimana prossima) e riappropriarsi del potere di agire su tutti i casi denunciati sul proprio territorio. Al contrario, ora il Gdpr impone che capofila della pratica sia l’authority del paese dove ha sede il responsabile che ha i dati in gestione. Il garante irlandese, per esempio, ha chiesto più fondi al suo governo perché deve pronunciarsi sui casi che riguardano i giganti del web, come Facebook o Google, che hanno preso casa a Dublino.
L’economia dei dati
Le aziende del digitale guardano con sospetto alla misura. Anche perché il regolamento, a differenza di una direttiva, è subito operativo, ha valore in tutti i Paesi e non ha bisogno di una legge locale. Il timore è che sia minato dalle fondamenta il business della pubblicità digitale, che nel 2018, stando ai dati dell’associazione del settore, Iab, in Europa ha raggiunto 55,1 miliardi di euro, in crescita del 13,9% rispetto al 2018 (la crescita più veloce dal 2011). In Italia il Politecnico di Milano calcola che da internet passa ormai il 40% degli investimenti pubblicitari, secondo solo alla televisione, per una torta complessiva di 8,2 miliardi. E sul web, specifica Iab, circa la metà dei volumi dipende dal mercato delle ricerche online. Sapere chi è un utente, cosa preferisce e cosa potrebbe desiderare è perciò un vantaggio a cui le aziende del web non vogliono rinunciare.
L’anno scorso uno studio del Reuters Institute for the study in journalism con l’università di Oxford ha individuato un calo del 22% dei cookie di terze parti sui siti di informazione dopo l’entrata in vigore del Gdpr. Il regolamento, tuttavia, ha creato un indotto nell’industria della protezione dei dati. E imponendo a tutte le aziende extra-Ue di adeguarsi allo standard, se avessero voluto proseguire a fare affari con il vecchio continente, ha fissato l’asticella di tutela, a cui molti altri governi si sono ispirati per scrivere le loro regole sulla privacy.
Cancellerie al lavoro
Fonti a Bruxelles specificano a Wired che tra gli Stati non c’è aria di concordia. Si racconta che in questi giorni a Bruxelles le linee delle delegazioni siano roventi. La Finlandia, che ha la guida di turno del Consiglio Ue, vuole provare a tirare le fila di un documento passato sotto le presidenze di Malta, Estonia, Bulgaria, Austria e Romania. L’Italia, secondo questa ricostruzione, avrebbe un atteggiamento freddo sull’impianto del regolamento, così come Francia e Spagna. Mentre la Germania sarebbe più favorevole. In generale, tuttavia, nessun governo è del tutto pro-ePrivacy. Sia perché si temono ricadute economiche. Sia perché le cancellerie vogliono ficcare di più il naso in misure come quelle contro il terrorismo o l’abuso sui minori. Sia perché gruppi di interesse spingono perché la bozza naufraghi.
Venerdì 22 novembre è fissata la riunione del Comitato dei rappresentanti permanenti (Coreper), nel quale siedono i capi delle delegazioni degli Stati. Il verdetto determinerà quale sarà la bozza di cui discuteranno i ministri competenti in materia di telecomunicazioni, all’incontro in agenda il 3 dicembre, e se c’è speranza che il regolamento arrivi alla negoziazione finale tra Commissione, consiglio e parlamento (il cosiddetto trilogo). Altrimenti la strada è segnata: stracciare la bozza, riportando tutte le pedine alla casella di partenza. E le lancette dell’orologio indietro di diciassette anni.
Leggi anche
