Banner Pubblicitario
07 Dicembre 2024 / 03:18
Dati personali, l’Europa mette le briglie alle Big Tech

 
Sicurezza

Dati personali, l’Europa mette le briglie alle Big Tech

di Massimo Cerofolini - 20 Aprile 2022
Dal maggiore controllo del consenso sulle informazioni che lasciamo online alle norme per favorire la concorrenza tra le grandi piattaforme e le piccole e medie imprese. Dal 2023 scatta la rivoluzione voluta da Bruxelles con il Dma e il Dsa. Intervista a Isabella De Michelis, cda del Fondo innovazione Cdp e ideatrice dell’app per gestire in modo semplice ed efficace la nostra privacy
Il cellulare? Lo compreremo vuoto e saremo noi a dover caricare le app una a una. I messaggi? Potremo usare WhatsApp per inviarli a qualcuno che li riceverà su Messanger o su Telegram. I dati personali? Non li cederemo più cliccando senza leggere le infinite clausole, ma li gestiremo attraverso strumenti che ce ne ridaranno il pieno controllo, anche per contrattare sconti e condizioni vantaggiose. Sono solo alcune delle novità appena approvate da Parlamento e Consiglio europeo nel Digital Markets act (Dma), la normativa che di fatto imbriglia le pratiche disinvolte dei giganti di internet come Google, Facebook, Amazon o Apple.
Per capire meglio i contenuti di questa disciplina, che in molti definiscono già storica, abbiamo sentito una grande esperta, che è di casa a Bruxelles dove i suoi pareri sono molto ascoltati: Isabella De Michelis. Romana, ma con residenza a Lisbona e uffici sparsi tra Irlanda e Svizzera, sposata e madre di un adolescente, fa parte del Cda del Fondo innovazione di Cassa depositi e prestiti e ha creato un’app, ErnieApp, che gestisce i dati degli utenti su internet, permettendo di negare o fornire il consenso al loro uso in modo semplice, responsabile e redditizio.

Dottoressa De Michelis, qual è l’obiettivo che l’Europa si propone con il Dma?

È quello di porre fine al far west. Anche se la febbre dell’oro è stata una cosa bellissima e dirompente, alla fine dell’Ottocento ci si è resi conto che troppa innovazione e poche regole rischiavano di creare più problemi che vantaggi. E si è detto basta. Oggi l’Europa fa lo stesso. L’obiettivo per i prossimi anni è quello rimettere l’utente al centro dei diritti del digitale. Si tratta di una sfida enorme, che prenderà ufficialmente le mosse dal 2023. Ma cambierà nel profondo le regole del gioco. Il Digital markets act, insomma, è lo strumento con il quale questi diritti degli utenti sono stati scritti in modo talmente sicuro e solido da non poter più essere elusi. In altre parole, oggi tutti noi abbiamo una costituzione digitale che prima non esisteva.

Spesso noi cittadini non ci rendiamo neanche conto del commercio che le grandi compagnie della rete fanno sui nostri comportamenti: cediamo di continuo dati anche in modo inconsapevole. È su questo che si interviene?

C’è una regola generale da tenere a mente: sia che i servizi siano gratuiti sia che siano a pagamento, noi utenti siamo sempre profilati. Profilandoci, le grandi compagnie guadagnano e ottengono da noi informazioni, non solo di grande valore, ma qualche volta estremamente confidenziali e molto sensibili. Più i dati sono forniti senza consapevolezza e maggiori sono i guadagni per le società che trovano infiniti modi per indurci a fare delle cose senza che noi ce ne rendiamo neppure conto.

Quindi non solo i giganti del web ci conoscono sempre più, ma poi ci orientano e ci spingono verso i consumi in maniera spesso inconscia.

È esattamente questo che la Commissione europea ha voluto porre come limite invalicabile. L’utente deve scegliere in modo chiaro quando essere profilato, sia sui contenuti, sia sulle ricerche, sia sulle informazioni che fornisce. E ciò perché ora ha il diritto di sottrarsi a questo monitoraggio. E sottraendosi può acquisire un potere negoziale, perché chiaramente la piattaforma ha bisogno dei dati. Solo che prima la piattaforma li prelevava in automatico.

Il modo con cui le big tech estraggono valore dai nostri comportamenti avviene spesso anche a prescindere da azioni tutto sommato controllabili, come scrivere messaggi e post o navigare su certi siti. Forniamo informazioni preziose anche semplicemente tenendo il cellulare in tasca…

Il tuo cellulare sa anche a che ora vai a dormire perché lo poggi sempre in un determinato punto. E come un soldatino lo segnala alla piattaforma perché la mattina dopo ti deve fare la notifica: a quel punto, una volta sveglio, sei di nuovo un possibile target. Se dormi – a meno che non abbia un dispositivo indossabile - non lo sei, ma da quanto dormi decidono se mandarti pubblicità misurate su eventuali disturbi del sonno.

Queste norme riguardano le grandi compagnie, identificate con una serie di criteri su fatturato, capitalizzazione e numero di utenti, che includono un po’ tutti i nomi della nostra vita online: Facebook, Google, Amazon, Netflix, Apple, ma anche Alibaba o Booking. Non ci sono però le piccole e medie aziende italiane. Che significa, che hanno carta bianca sui nostri dati?

No, perché il Digital markets act si applica alle grandi piattaforme chiamate gate-keeper, ossia quelle che si trovano in una posizione di mercato tale da poterlo influenzare. Però l’altro strumento varato dall’Unione europea, il Digital services act, è disegnato per proteggere i consumatori. Quindi non significa che le piccole e medie aziende possano abusare dei nostri dati.

Questo lo vediamo più avanti. Restiamo sul Dma. La cosa che sorprende è l’entità delle pene in caso di violazioni.

Sono molto severe perché oscillano tra il 10 e il 20 per cento del giro d’affari mondiale, con una soglia minima del 4. E se consideriamo che una Google fattura sui cento miliardi di dollari l’anno, significa che stavolta le sanzioni possono davvero fare male.

Finora l’Europa ha un po’ rincorso le sanzioni e quasi tutte le grandi compagnie del web sono state condannate con maxi-multe a posteriori per comportamenti illeciti. Anche se ci volevano anni per portare a termine i processi. Questa volta però il meccanismo è capovolto.

Sì, la regola adesso è ex ante. Ripeto: è come se avessimo scritto la costituzione e nessuno può più far finta che non ci sia.

Andiamo a vedere i contenuti. Il primo punto riguarda il consenso sull’uso dei nostri dati. Oggi lo diamo senza pensarci troppo, con un clic distratto pur di navigare, ma di fatto consegnando la nostra vita a chi poi ne fa commercio con la pubblicità.  Come cambiano le cose ora?

Il consenso diventa il dato che ha più valore in assoluto. Già la normativa europea del Gdpr sulla privacy permetteva di dare un consenso informato su una serie di trasparenze che devono essere disponibili. Sul digitale, oltre alla privacy, ci sono però tantissimi altri dati utili per fini commerciali. Così l’Unione europea ha pensato di estendere quell’obbligo del consenso anche a questi altri dati. Quindi, non solo nome, cognome e indirizzo Ip o di posta elettronica, ma anche tutta quella serie di informazioni che escono dal nostro telefonino, dall’orologio o dalla tv connessa, perché sono tutti indicatori della nostra persona. In pratica il nostro consenso esplicito diventa il cancello d’ingresso sul digitale. E la chiave ce l’abbiamo noi. Se diamo il consenso le piattaforme possono entrare e guadagnano, altrimenti restano fuori e guadagnano meno o per nulla.

Questo però si scontra con quel misto di fretta e pigrizia che ci scoraggia a studiare selettivamente a chi dare o meno il nostro consenso ogni volta che ci muoviamo online. Come superare questo ostacolo?

Ho creato ErnieApp proprio per questo, per facilitare la gestione dei dati degli utenti. Quanto è faticoso darlo il consenso e quanto è difficile comprenderne le conseguenze? Per questo abbiamo ideato un aggregatore che mostra in un’unica pagina gli account da installare. Obiettivo, acquisire la visibilità sulle singole impostazioni di privacy. Così si scopre che alcuni servizi ne hanno molte, altri poche, alcune sono facili, altre difficili. Noi le semplifichiamo tutte con un colpo d’occhio immediato, come quando si prende un’auto a noleggio o si compra un biglietto aereo. Anziché cercarle una a una su centinaia di diversi siti, mettiamo le varie opzioni in fila evidenziando le differenze. Dare i consensi e poterli comparare tra le varie aziende diventa cioè il fulcro del potere decisionale degli utenti.

Ma questo potere di decisione alla fine in che si traduce?

Allora, regola numero 1: fino a ieri se io negavo il consenso la piattaforma mi toglieva l’accesso al servizio. Adesso è vietato. Quindi posso utilizzare gli stessi servizi, siti, app, messaggistica, chat, anche se ho rifiutato di cedere i miei dati. Regola numero 2: se i nostri dati non sono profilati rendono molto meno. Esempio: su Google una persona non profilata vale circa 2 dollari al mese, se invece ha dato il suo consenso alla profilazione il suo prezzo sale a 260. Abbiamo un tesoretto nelle nostre mani.

Quindi possiamo far pesare il nostro valore. In che modo, concretamente?

Unendoci. In un certo senso è come diventare un sindacato dei consumatori. Sul digitale bisogna essere tanti. ErnieApp può essere un esempio: solo in Italia abbiamo avuto oltre centomila download e la nostra comunità sta crescendo in maniera organica e importante. È un’applicazione gratuita, non ci guadagniamo nulla, ed è una delle tante app con finalità analoghe disponibili agli utenti, come altre presenti in Inghilterra, Francia e Germania. Il meccanismo che si ingenera è quello di creare intermediari degli interessi degli utenti, perché questi possono essere aggregati, ceduti o rivenduti. L’Unione europea ha previsto nelle sue norme la possibilità di cedere i dati. Ma perché questo abbia ricadute reali è necessario che questi dati siano prima aggregati: e quindi il consenso diventa la condizione principale dell’aggregazione. Peraltro è una straordinaria occasione per le banche di giocare un ruolo attivo, a favore dei propri utenti, in questo ribilanciamento dei pesi.

Altro aspetto della normativa è la cosiddetta interoperabilità dei messaggistica: come oggi possiamo chiamare qualcuno con un operatore telefonico diverso dal nostro o inviare messaggi anche a soggetti con mail diverse dalla nostra, potremo spedire un messaggio da WhatsApp a qualcuno che lo vedrà su Signal o su Telegram. Cosa accadrà di fatto?

Con il sistema attuale gli utenti della messaggistica sono costretti a stare sempre nello stesso giardino. E le recensioni sono invalicabili. Per cui se una nuova società decidesse di entrare nel mercato con servizi più efficienti non riuscirebbe a farlo, perché attualmente è impossibile replicare il numero di utenti di un gigante come WhatsApp. Dal prossimo anno, con l’interoperabilità, le cose cambieranno.  

Andiamo avanti con il Digital markets act: compreremo il telefono vuoto. Non ci saranno cioè le app preinstallate come accade ora. Che significa?

Significa che c’è il diritto di scelta per il consumatore. Le app precaricate occupano tantissimo spazio e finora non si potevano togliere. Adesso dovranno essere cancellabili e potranno lasciare più spazio non solo per la nostra memoria ma anche per altre aziende che potranno entrare nel mercato e mettersi in concorrenza con gli operatori tradizionali.

E qui c’è da segnalare la protesta di Apple che teme rischi per la sicurezza informatica dei nostri cellulari, visto che non potrà più garantire la qualità delle app che oggi seleziona con criteri rigorosi.

Non ha tutti i torti, Apple, diciamo la verità. Il livello di sicurezza che fornisce col suo sistema operativo è per tutti, sviluppatori compresi, un motivo di tranquillità. Su questo occorre lavorarci sopra.

Ci sono poi le norme che tendono a favorire la concorrenza tra gli operatori. Oggi diamo per scontato che i protagonisti del digitale siano i soliti cinque-sei nomi. Il fatto è che, con l’assetto attuale, se un’impresa prova a entrare in questo campo così presidiato finisce per essere comprata o copiata. E questo impoverisce l’innovazione del sistema.

È proprio ciò che preoccupa di più l’Unione europea. Queste grandi società nascono con un business, accumulano una quantità spaventosa di utenti e di dati e poi da quel punto partono per fare un altro business, e poi un altro ancora. Quindi sono imbattibili. E non lasciano scampo alla concorrenza. Bruxelles ha deciso dunque di porre dei paletti e di provare a impedire le cosiddette killer acquisition, ossia comprare la startup quando è molto giovane per soffocarla in culla. Oppure di mettere un freno al cross profiling, vale a dire le applicazioni tipo quelle di Meta, che hanno dentro Facebook, WhatsApp e Instagram: se manca il consenso di ogni singolo utente per ogni singola piattaforma, non saranno più mescolabili al fine di acquisire i dati pubblicitari. E questo significa aver calmierato il potere di queste aziende.

Oggi se una persona cerca su Google un prodotto è probabile che tra le risposte ci siano merci dello Shopping gestito dal motore di ricerca. Così come se compriamo qualcosa da un negoziante presente su Amazon è possibile che il sito di Jeff Bezos intercetti le informazioni di questa vendita e le usi per avvantaggiare i propri prodotti negli acquisti successivi. Tutto questo, secondo le nuove norme, non sarà più possibile.

Questo viene proibito perché si vogliono aiutare le aziende più piccole a competere. Ma la vera ricaduta positiva è per gli utenti. Adesso sono i consumatori che rimangono all’oscuro di offerte più vantaggiose grazie a questi espedienti messi in atto dai padroni delle piattaforme.

Accanto al Digital markets act, come dicevamo prima, l’Europa ha messo sulla rampa di lancio un altro provvedimento destinato a un forte impatto sul mondo del web: il Digital services act, che affronta la responsabilità delle piattaforme digitali rispetto ai contenuti da loro pubblicati, a cominciare dalle fake news e dai discorsi violenti o carichi di odio. Cosa succederà?

La piattaforma è un veicolo di informazioni e queste sono sempre più spesso prodotte dai singoli utenti o da aziende. Verificare che questi contenuti non alimentino odio, discriminazioni e situazioni illegali è stato sempre un grande dibattito: la piattaforma è o non è responsabile? Oggi lo è diventata.

Le aziende tecnologiche non potranno più profilare i minori e le persone con vulnerabilità.

Questa regola ha un doppio valore: proteggere minori e soggetti vulnerabili perché sarebbero a rischio di profilazioni svalorizzanti. Giusto sottolinearlo. Ma di fatto oggi nessuno può essere più profilato se non ha dato il consenso. Non solo chi fa parte di categorie particolari e protette.

Le nuove norme obbligano poi le piattaforme a fornire contatti facilmente raggiungibili in caso di problemi e contestazioni, ad esempio quando una pagina dei social network viene bannata senza troppi riguardi dagli algoritmi.

Di fatto l’Unione europea ha immaginato regole molto simili a quelle delle società che tutti conosciamo e quindi ci sarà una rappresentanza legale a cui rivolgersi, un foro per dirimere le controversie, un supporto delle associazioni dei consumatori. La piattaforma non potrà più usare la scusa finora opposta di non avere una sede in Europa. Ora ce la deve avere.

Anche gli algoritmi con cui veniamo profilati dovranno essere più trasparenti.

Noi pensiamo che l’interesse delle piattaforme a profilarci sia legato all’invio di pubblicità mirate. In realtà non è così: il vero obiettivo degli algoritmi è spingerci a spendere di più. Usando alcune pratiche, ci fanno fare clic dove non vorremmo. E anche questo la Commissione europea lo vuole mettere al bando.
CUSTOM PAY_SDP 2024 Banner Medium
ALTRI ARTICOLI

 
Pagamenti

Simona Maschi: La natura ci insegna a interagire con la tecnologia

Il keynote speech della fondatrice del Copenhagen Institute of Interaction Design apre al Salone dei Pagamenti uno scenario visionario su come servizi...

 
Pagamenti

Patuelli (Presidente Abi): I pagamenti digitali? Un’opzione di libertà

Nella Sessione di apertura che dà avvio ai lavori della nona edizione del Salone dei Pagamenti, il Presidente dell’Abi, Antonio Patuelli, conferma...

 
Pagamenti

Pozzi (Banca Sella): "Cresciamo nei pagamenti puntando su innovazione tecnologica e relazione con il cliente"

In un mercato italiano che presenta ancora ampie potenzialità di crescita rispetto a quello europeo, Sella prosegue il suo sviluppo con un'offerta di...
Supervision, Risks & Profitability 2024
Supervision, Risks & Profitability è l’evento annuale promosso da ABI in collaborazione con DIPO dedicato...
Icona Facebook Icona Twitter Icona LinkedIn
Banche e Sicurezza 2024
Banche e Sicurezza è l’evento annuale promosso da ABI, in collaborazione con ABI Lab, CERTFin e OSSIF,...
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario