Il diritto alla privacy digitale in Europa: GDPR, DMA e cosa significano per te

Privacy digitale in Europa: GDPR, DMA e il diritto a essere lasciati in pace

Ogni giorno, senza che la maggior parte delle persone se ne renda conto, viene costruito un profilo digitale dettagliatissimo di ciascuno di noi. Il sito che hai visitato alle 23 di domenica, la ricerca che hai fatto dopo aver visto quella pubblicità, la zona geografica in cui ti trovavi il martedì mattina, quanto tempo hai passato su quella pagina prima di chiuderla, il tipo di dispositivo che usi, la batteria che aveva in quel momento, la velocità della tua connessione: tutto questo e molto altro viene raccolto, aggregato, venduto e comprato in frazioni di secondo attraverso sistemi di real-time bidding che decidono quale pubblicità mostrarti basandosi su centinaia di attributi del tuo profilo. L'economia digitale moderna è, in larga misura, un'economia di sorveglianza. L'Europa ha deciso di regolarla.

Il tracciamento e la profilazione: come funziona davvero

Prima di capire la regolamentazione, è utile capire cosa regola. Il tracciamento online avviene attraverso meccanismi multipli, spesso sovrapposti:

Cookie di terze parti: Quando visiti un sito che include uno script di Google Analytics, un pixel di Meta o un tag di doubleclick, queste terze parti installano cookie nel tuo browser. La prossima volta che visiti un sito diverso con lo stesso script, il cookie viene letto e la terza parte sa che la stessa persona ha visitato entrambi i siti. Su milioni di siti, questo costruisce un profilo di navigazione straordinariamente dettagliato.

Browser fingerprinting: Il tuo browser espone decine di caratteristiche identificative: versione, plugin installati, risoluzione dello schermo, fuso orario, font installati, configurazione hardware riportata dalle API WebGL. La combinazione di questi elementi crea un "fingerprint" unico o quasi unico che permette di tracciare senza cookie.

Pixel di tracciamento: Immagini trasparenti 1x1 pixel nelle email che, quando l'email viene aperta, fanno una richiesta al server del mittente, rivelando quando è stata aperta, da quale IP, con quale dispositivo.

Login social: I pulsanti "Accedi con Google/Facebook" non sono solo comodi: permettono a queste piattaforme di sapere esattamente su quale sito ti sei autenticato e quando.

Il risultato di tutto questo è che le grandi piattaforme pubblicitarie sanno, con buona approssimazione, quanto guadagni (dalle ricerche che fai), quali problemi di salute potresti avere (dalle pagine che visiti), le tue opinioni politiche (dai siti di informazione che frequenti), la tua situazione sentimentale, le tue abitudini di acquisto, i tuoi luoghi di vita. Queste informazioni vengono usate per mostrare pubblicità "rilevante", ma anche per influenzare decisioni d'acquisto, scelte politiche, e sono potenzialmente accessibili a governi e altri attori.

Il GDPR: il 25 maggio 2018

Il General Data Protection Regulation (Regolamento Generale sulla Protezione dei Dati, GDPR) è entrato in vigore il 25 maggio 2018, dopo due anni di periodo transitorio dalla sua approvazione nel 2016. Ha sostituito la Direttiva 95/46/CE, che risaliva al 1995 — un'era Internet completamente diversa — ed è diventato il framework di riferimento per la protezione dei dati personali più influente al mondo.

Il GDPR si applica a qualsiasi organizzazione che tratta dati personali di residenti nell'Unione Europea, indipendentemente da dove quell'organizzazione ha sede. Questo è il principio dell'effetto extraterritoriale: anche un'azienda americana, giapponese o cinese che offre servizi a utenti europei è soggetta al GDPR.

I principi fondamentali del GDPR

Il GDPR si fonda su sei principi del trattamento dei dati personali (Art. 5):

• Liceità, correttezza e trasparenza: I dati devono essere trattati in modo legale, equo e trasparente. L'interessato deve sapere come vengono usati i propri dati.
• Limitazione delle finalità: I dati raccolti per un scopo non possono essere usati per uno scopo diverso senza nuova base giuridica.
• Minimizzazione dei dati: Si devono raccogliere solo i dati strettamente necessari per la finalità dichiarata. Non si può raccogliere "per ogni evenienza".
• Esattezza: I dati devono essere accurati e aggiornati.
• Limitazione della conservazione: I dati non possono essere conservati più a lungo del necessario.
• Integrità e riservatezza: I dati devono essere protetti con misure tecniche e organizzative appropriate.

Per trattare legalmente i dati personali, deve esistere una delle sei basi giuridiche previste dall'Art. 6: consenso esplicito dell'interessato, esecuzione di un contratto, obbligo legale, interessi vitali, compito di interesse pubblico, o legittimo interesse del titolare del trattamento (quest'ultimo spesso usato in modo controverso dalle aziende).

I diritti degli interessati

Il GDPR conferisce agli individui diritti concreti sui propri dati personali:

• Diritto di accesso (Art. 15): Puoi chiedere a qualsiasi organizzazione che tratta i tuoi dati di ricevere una copia di tutti i dati che ha su di te, le finalità del trattamento, i destinatari, i tempi di conservazione.
• Diritto di rettifica (Art. 16): Puoi correggere dati inesatti.
• Diritto alla cancellazione / "diritto all'oblio" (Art. 17): Puoi richiedere la cancellazione dei tuoi dati quando non sono più necessari per la finalità originale, quando revochi il consenso, quando hai esercitato il diritto di opposizione.
• Diritto alla portabilità (Art. 20): Puoi ricevere i tuoi dati in formato strutturato e leggibile da macchina (es. JSON, CSV) per trasferirli a un altro servizio. Questo diritto è fondamentale per evitare il lock-in delle piattaforme.
• Diritto di opposizione (Art. 21): Puoi opporti al trattamento dei tuoi dati per finalità di marketing diretto, senza dover fornire giustificazioni.
• Diritti relativi al processo decisionale automatizzato (Art. 22): Hai il diritto di non essere soggetto a decisioni basate esclusivamente su trattamento automatizzato (inclusa la profilazione) che producono effetti giuridici significativi.

Le sanzioni: quando i numeri fanno notizia

La vera novità del GDPR rispetto alla normativa precedente erano le sanzioni: fino al 4% del fatturato annuo globale o 20 milioni di euro (il maggiore dei due). Non il fatturato europeo: quello globale. Per Meta, Google, Amazon, questi numeri sono miliardari.

Le sanzioni più importanti irrogate al 2024:

• Meta (Instagram): 1.2 miliardi di euro nel 2023 dalla DPC irlandese per il trasferimento illegale di dati di utenti europei verso USA senza adeguate garanzie. La più alta sanzione GDPR nella storia.
• Amazon: 746 milioni di euro nel 2021 dalla CNPD lussemburghese per violazioni del sistema di targeting pubblicitario.
• WhatsApp (Meta): 225 milioni di euro nel 2021 dalla DPC irlandese per mancanza di trasparenza nel trattamento dei dati.
• Google LLC: 50 milioni di euro nel 2019 dalla CNIL francese per mancanza di informative chiare.
• TikTok: 345 milioni di euro nel 2023 dalla DPC irlandese per il trattamento dei dati dei minori.

Va notato che molte delle sanzioni più grandi verso le Big Tech americane sono state irrogate dalla DPC (Data Protection Commission) irlandese, dove queste aziende hanno la propria sede europea. Questo ha creato critiche: l'Irlanda, dipendente economicamente da questi giganti tech, è accusata di enforcement troppo lento. Il meccanismo GDPR prevede però la cooperazione tra le Autorità di controllo di tutti gli stati membri per le violazioni transfrontaliere.

Il DPO: Data Protection Officer

Il GDPR obbliga alcune organizzazioni a nominare un DPO (Data Protection Officer): una figura professionale con conoscenze specialistiche in materia di protezione dei dati, che supervisiona il rispetto del GDPR all'interno dell'organizzazione. L'obbligo si applica alle pubbliche amministrazioni, alle organizzazioni che trattano dati su larga scala, e a quelle che trattano dati "sensibili" (salute, religione, orientamento sessuale, ecc.) su larga scala.

Il DPO deve essere indipendente, non ricevere istruzioni su come svolgere il proprio compito, e poter riferire direttamente al vertice dell'organizzazione. Può essere un dipendente o un consulente esterno.

Cookie e dark pattern: la realtà dietro il "consenso"

Uno dei lasciti più visibili e controversi del GDPR è il proliferare dei cookie banner. In teoria, il GDPR richiede un consenso libero, specifico, informato e inequivocabile per il trattamento dei dati basato sul consenso. In pratica, molti siti hanno implementato sistemi progettati per ottenere il consenso attraverso dark pattern: interfacce deliberatamente progettate per orientare l'utente verso scelte che favoriscono il raccoglitore di dati.

I dark pattern più comuni nei cookie banner:

• Pulsante "Accetta tutto" visibile e colorato, pulsante "Rifiuta" nascosto o assente.
• "Rifiuta" che richiede di navigare through decine di toggle one by one per categoria e fornitore.
• Finestre di dialogo che si aprono in cascata rendendo il rifiuto tedioso.
• Testi confusori che rendono difficile capire cosa si sta accettando.

Il CJEU (Corte di Giustizia dell'Unione Europea) e varie autorità di controllo hanno chiarito che il consenso ottenuto attraverso dark pattern non è un consenso valido ai sensi del GDPR. L'EDPB (European Data Protection Board) ha pubblicato linee guida specifiche sui dark pattern. Nonostante questo, la pratica rimane diffusa.

Il Digital Markets Act: regolare i gatekeeper

Il Digital Markets Act (DMA), entrato in vigore nel novembre 2022 (con obblighi applicabili dai marzo 2024), è un regolamento diverso dal GDPR: non riguarda specificamente la privacy ma la concorrenza digitale equa. Tuttavia ha implicazioni profonde per la privacy degli utenti.

Il DMA identifica come "gatekeeper" le grandi piattaforme digitali che fungono da "collo di bottiglia" tra le imprese e i consumatori: Alphabet (Google, YouTube), Amazon, Apple, Booking.com, ByteDance (TikTok), Meta (Facebook, Instagram, WhatsApp). Queste aziende, per i loro servizi designati (search, social network, app store, ecc.), devono rispettare obblighi specifici:

• Interoperabilità: WhatsApp deve permettere la comunicazione con altri servizi di messaggistica (come Signal o Telegram). Gli utenti non devono essere costretti a usare solo prodotti dello stesso gatekeeper.
• Sideloading su iOS: Apple deve permettere l'installazione di app da store alternativi all'App Store su iOS nell'UE. Questo rompe il monopolio di Apple sull'accesso al proprio ecosistema.
• Portabilità dei dati: I gatekeeper devono facilitare la portabilità dei dati degli utenti verso piattaforme concorrenti in tempo reale.
• No self-preferencing: Google non può favorire i propri servizi nei risultati di ricerca rispetto a quelli dei concorrenti.
• No combinazione dati senza consenso: I gatekeeper non possono combinare i dati raccolti su piattaforme diverse (es. Facebook + Instagram + WhatsApp) senza consenso esplicito.

Il Digital Services Act e l'AI Act

Il Digital Services Act (DSA), applicabile dal febbraio 2024 per le grandi piattaforme, stabilisce obblighi di trasparenza, rimozione dei contenuti illegali e protezione degli utenti per le piattaforme online. Vieta la pubblicità basata su dati sensibili (salute, religione, orientamento sessuale) e la pubblicità targettizzata verso i minori.

L'AI Act dell'UE, approvato nel 2024, è il primo regolamento globale sull'intelligenza artificiale. Classifica i sistemi AI per livello di rischio: proibisce le pratiche ad alto rischio (manipolazione subliminale, social scoring, sistemi biometrici real-time in spazi pubblici), regola strettamente le applicazioni ad alto rischio (AI in decisioni di credito, selezione del personale, sistemi biometrici), e prevede requisiti di trasparenza per i sistemi di AI generativa.

Privacy sullo smartphone: pratiche raccomandate

Per gli utenti che vogliono ridurre la propria esposizione al tracciamento:

• Browser: Firefox con uBlock Origin e Firefox Multi-Account Containers è la combinazione più efficace su desktop. Su mobile, Firefox con uBlock Origin o Brave Browser.
• Motore di ricerca: DuckDuckGo, Startpage (Google anonimizzato), Kagi (a pagamento, nessuna pubblicità).
• DNS cifrato: Configurare il dispositivo per usare DNS-over-HTTPS con provider come Cloudflare 1.1.1.1, Quad9, o NextDNS (personalizzabile).
• VPN: Una VPN di fiducia (Mullvad, ProtonVPN) maschera l'IP dall'ISP e da siti web, ma non elimina il tracciamento via cookie/fingerprinting.
• Email: Proton Mail (svizzero), Tutanota (tedesco) per email cifrate. SimpleLogin o AnonAddy per alias email usa-e-getta.
• Messenger: Signal per le comunicazioni private. Usa sempre la verifica del Safety Number con i propri contatti.
• Permessi delle app: Revisionare regolarmente i permessi concessi alle app. La maggior parte delle app non ha bisogno di accesso alla posizione, ai contatti o al microfono per funzionare.

Il confronto USA-Europa: due approcci al capitalismo digitale

L'approccio europeo alla privacy digitale è fondamentalmente diverso da quello americano. Negli USA non esiste una legge federale equivalente al GDPR: la privacy è vista principalmente come una questione contrattuale tra azienda e utente, con la FTC (Federal Trade Commission) che interviene nei casi più gravi di violazione delle promesse fatte agli utenti nelle privacy policy.

Alcuni stati americani hanno adottato leggi proprie (California con CCPA/CPRA, Colorado, Virginia, Connecticut), ma rimangono meno stringenti del GDPR e con enforcement variabile. L'approccio americano riflette una tradizione di minore intervento regolatorio nel mercato e una maggiore fiducia nella capacità delle aziende di autoregolarsi.

L'approccio europeo, radicato nel concetto di privacy come diritto fondamentale (Art. 7 e 8 della Carta dei Diritti Fondamentali dell'UE, diritto al rispetto della vita privata e alla protezione dei dati personali), è strutturalmente più interventista. La tensione tra questi approcci si manifesta nei ripetuti scontri sul trasferimento di dati transatlantico: il Privacy Shield (dichiarato invalido dalla Corte di Giustizia UE nel 2020 con il caso Schrems II) e l'attuale Data Privacy Framework (approvato nel 2023, già contestato legalmente da Schrems e dai gruppi per la privacy).

Il "Brussels Effect" — la tendenza delle regolamentazioni europee a diventare di fatto standard globali perché le aziende multinazionali preferiscono uniformare i propri sistemi al requisito più stringente — ha già portato molte aziende globali ad applicare principi simili al GDPR anche fuori dall'Europa. La competizione regolatoria sta lentamente spingendo verso standard di privacy più alti anche in contesti dove non sono legalmente obbligatori.