Chi vincerà la guerra della privacy?

Tra i tanti paradossi che caratterizzano il mondo nel tempo della Quarta rivoluzione industriale, perennemente in bilico tra utopia e distopia, ce n’è uno che stupisce più di altri: quello riguardante i dati che noi utenti produciamo continuamente usando i nostri device. Saranno pure il petrolio del nuovo millennio ma noi non siamo i petrolieri, perché i dati li regaliamo, dimenticandoci quanto questa cessione ci renda vulnerabili davanti a chi li sa raccogliere, lavorare e raffinare. I player con maggiore potere, i cosiddetti Big Tech, sono tutti americani o asiatici. Forse anche per questo, l’Unione europea, vaso di coccio tra vasi di ferro, ha varato una delle legislazioni più stringenti in materia di trattamento dei dati personali e difesa della privacy, il Regolamento generale per la protezione dei dati (Gdpr). Ed è guardando al lavoro delle authority nazionali previste dal regolamento che si può capire se e quanto il Gdpr è stato efficace.

Secondo il Rapporto statistico 2019 di Federprivacy, in Europa l’anno scorso sono state emesse 190 multe per un totale di 410.027.099 euro. Con 30 sanzioni comminate, il garante italiano è stato quello più attivo ma, apparentemente, anche uno dei più teneri, visto che ha fatto multe per 4.341.990 euro, contro i 51 milioni di euro inflitti dalla Cnil francese con sei sanzioni (una delle quali però contro Google), i quasi 15 milioni con 13 multe irrogate dal BfDI tedesco o i 18 milioni di euro chiesti dal Datenschutzbehörde ad Austrian Post, rea di aver profilato 3 milioni di cittadini con indirizzo, abitudini e probabile orientamento politico. In realtà, le due sberle rifilate nei mesi scorsi dall’authority italiana a Eni Gas e Luce (11,5 milioni di euro per trattamento illecito dei dati personali per attività di telemarketing e attivazioni non richiesta di contratti) e a Tim (27,8 milioni per abuso di telemarketing) dicono che anche in Italia le cose stanno cambiando.

C’è stato un periodo di transizione, durante il quale si è dato tempo a imprese e pubbliche amministrazione di adeguarsi. Speranza vana, pare. Alla fine dell’anno scorso, meno del 30% delle aziende italiane risultavano in regola. Secondo una ricerca presentata a inizio febbraio dall’Osservatorio Innovation&Security del Politecnico di Milano, il 75% della spesa nel campo della sicurezza informatica è attribuibile alle grandi imprese. Le pmi, che rappresentano la quasi totalità del tessuto produttivo nazionale, sono state spaventate dalla complessità della normativa e dai costi di adeguamento, probabilmente sovrastimati, visto che Confesercenti aveva parlato di una spesa da 2 miliardi di euro. Ma la ragione di questo ritardo è anche dovuta al proliferare di sedicenti esperti che hanno offerto i loro servizi, facendo perdere tempo e soldi a molte aziende che si sono trovate con una pila di documenti ma con nessuna azione concreta, nemmeno la nomina di un Data Protection Officer.

Più in generale, però, l’impressione è che si stia assistendo a una partita truccata. Secondo un dossier della società di sicurezza informatica DLA Piper dello scorso gennaio, dal maggio 2018 al dicembre 2019 sono stati registrati 160 mila data breach, numero davanti al quale le 190 multe delle autorità europee scompaiono, soprattutto se si considera che solo un 9% delle medesime sanzionava questa tipologia di infrazione. Il Gdpr è stato un passo molto importante, ma siamo ancora lontani dalla piena protezione di privacy e dati personali dei cittadini europei, perché si tratta di una lotta impari. Solo per fare un esempio, l’Information Commissioner’s Office britannico, che nel 2019 ha stangato British Airways e la catena alberghiera Marriott con due multe da 204 e 110 milioni di euro rispettivamente, ha un budget di 2 milioni di sterline e deve vedersela con multinazionali che quella cifra la possono spendere in un’ora. Le risorse sono ancora limitate e le authority nazionali si trovano spesso a svuotare il mare con un secchiello. Sempre che ne abbiano davvero voglia.

Infatti, non è passata inosservata l’inattività delle autorità irlandesi e lussemburghesi, che pure avrebbero molti dossier sui quali lavorare. In Irlanda hanno le loro sedi europee Facebook, Google, Microsoft e Twitter, in Lussemburgo c’è Amazon. Sono decine gli esposti presentati in Europa contro questi colossi, ma per ora di sanzioni non se ne sono viste. Ma poi le multe servono davvero a qualcosa? A quasi due anni dall’entrata in vigore della normativa europea, si hanno abbastanza elementi per dubitare della loro efficacia come deterrente. Non sembrano funzionare molto con le pubbliche amministrazioni, ma nemmeno con le pmi, che hanno fatturati quasi irrisori. Soprattutto sono un’arma spuntata anche con le Big tech, come dimostra la megamulta da 5 miliardi di dollari inflitta a Facebook dalla Federal Trade Commission americana per lo scandalo Cambridge Analytica, che ha appena scalfito il colosso di Menlo Park. Quella per la difesa dei propri dati e della propria privacy è una battaglia campale che è solo agli inizi. Strumenti e risorse devono essere ancora affinati e trovati. Affidarsi a un garante può aver senso, ma forse dovremmo essere noi utenti a rivedere alcune nostre abitudini e a esser più consapevoli di quanto stiamo regalando in cambio di una app.