Effetto GDPR: ecco cosa è accaduto nel web dopo il 25 maggio

Gli effetti del GDPR non hanno tardato a farsi sentire. A meno di una settimana dalla piena attuazione del GDPR, un cittadino austriaco ha puntato formalmente il dito contro Facebook e Google, ma non si tratta di un caso isolato. Il “consenso forzato” è stato veramente attuato dalle big tech, come Codacons e NYOB asseriscono?

Effetto GDPR: ecco cosa sta accadendo nel web dopo il 25 maggio

Indice

La denuncia di NYOB per “consenso

forzato”

Codacons con NYOB

Il parere “preoccupato” del GEPD

Come difendersi dal GDPR bloccando gli utenti in Europa

Effetto GDPR

 

 

In questo articolo approfondiremo gli effetti indotti dall’attuazione del GDPR, il Regolamento 2016/679 entrato in vigore nell’aprile del 2016, diventato pienamente attuativo in tutti i territori UE a partire da venerdì 25 maggio 2018. Eppure, ad oggi, secondo un rapporto di Capgemini, solo il 48% delle imprese italiane si dichiara “ampiamente o completamente conforme”.

A tal proposito, il prossimo 14 settembre si terrà il corso LA PRIVACY AL TEMPO DEL GDPR organizzato da Digital for Academy, volto a fare chiarezza sia sugli aspetti teorici più complessi sia su quelli pratici e spiccatamente prioritari per raggiungere la piena conformità al GDPR. 

 

 

A poche ore dall’abrogazione definitiva della Direttiva Privacy UE di venerdì 25 maggio, l’avvocato e attivista Max Schrems ha fatto parlare di sé classificandosi come il primo cittadino europeo ad esercitare il diritto di intentare causa per una violazione relativa alle norme e ai principi del GDPR.

La sua denuncia non è rimasta isolata: a pochi giorni dall’attuazione della nuova normativa, l’associazione italiana CODACONS ha deciso analogamente di denunciare al Garante italiano le medesime, presunte, violazioni di Facebook e Google.

Infine, nei giorni seguenti sono partite dal web numerose segnalazioni da parte di utenti residenti in Europa per l’impossibilità di poter accedere ad alcune testate giornalistiche statunitensi che devono ancora adeguare il proprio sito al Regolamento Generale sulla Protezione dei Dati.

In questo articolo analizzeremo alcuni eventi scatenati dall’attuazione del GDPR, ossia:

  1. le motivazioni che hanno spinto l’ormai celebre avvocato Max Schrems a sporgere denuncia contro i colossi statunitensi;
  2. i casi di denuncia più interessanti e consequenziali all’evoluzione normativa sulla protezione dei dati in Europa;
  3. perché alcune imprese d’oltreoceano abbiano deciso bloccare l’accesso al proprio sito web agli utenti europei, in seguito all’attuazione del Regolamento Generale sulla Protezione dei Dati.

 

La denuncia di NYOB per “consenso forzato”

Max Schrems, il giovane avvocato austriaco leader dell’Ong NYOB – My Privacy is none of your Business, a meno di due ore dalla data di attuazione del GDPR fece causa contro Facebook – da tempo nel mirino dell’organizzazione no-profit – e Google. L’accusa mossa da Schrems era quella di aver bloccato gli account degli utenti che rifiutavano di accettare l’informativa privacy sul trattamento dei dati, aggiornata per adempiere pienamente alle norme e ai principi del GDPR. Perciò, per continuare a usare Facebook, gli utenti avrebbero dovuto per forza dare nuovamente il proprio consenso esplicito alla società di Mark Zuckerberg altrimenti, addio a profilo, foto e amici.

Intentando causa contro Facebook, il leader di NYOB citò anche le altre società di Zuckerberg che avevano attuato la stessa politica di aut-aut ai propri utenti, ossia Whats App e Instagram, totalizzando quattro istanze formali indirizzate a quattro autorità di controllo europee:

  1. il Garante Privacy francese: CNIL, per Google (Android);
  2. il Garante belga: DPA, per Instagram;
  3. l’Autorità di Amburgo in Germania, per WhatsApp;
  4. il Garante Austriaco: DSB, per Facebook.

“Loro sanno che si tratta di una violazione”, dichiarò a suo tempo l’avvocato al Financial Times. “E non cercano nemmeno di nasconderlo”. Secondo Schrems, questa pratica non è ammessa dal GDPR, pertanto, l’accesso al servizio non dovrebbe essere ostacolato se l’interessato del trattamento non ne accetta le condizioni o parte di esse. “Alla fine – affermò l’avvocato Schrems – l’unica scelta che hanno gli utenti è quella di cancellare il profilo o accettare le condizioni imposte”.

Nel caso in cui i due big tech dovessero perdere contro NYOB, rischierebbero sanzioni pari a:

  • 3,9 miliardi di Euro a Facebook;
  • 3,7 miliardi a Google;
  • per un totale di 7,4 miliardi di euro.

Max Schrems è stato il primo cittadino ad aver esercitato il diritto di intentare causa per una violazione alle norme e ai principi sulla protezione dei dati dopo la piena attuazione del GDPR, ma non è stato l’unico.

 

Codacons con NYOB

A quattro giorni dall’attuazione del GDPR, il 29 maggio, Codacons denunciò formalmente i due colossi americani e le società connesse ( sempre Android, Instagram, WhatsApp) chiedendo di aprire un’indagine per accertare eventuali violazioni del nuovo Regolamento Generale sulla protezione dei Dati personali.

 Gli enti nazionali che hanno ricevuto l’esposto sono stati i seguenti:

  1. Procura della Repubblica di Roma;
  2. Agcom;
  3. Garante per la Protezione dei Dati italiano: il Garante Privacy.

Spiegò Codacons, in una dichiarazione pubblicata il 28 maggio sul sito ufficiale – “…vogliamo sia accertato dalle autorità competenti se negli ultimi giorni Google e Facebook, nel chiedere il consenso all’uso dei dati personali, abbiano in qualche modo obbligato o forzato gli utenti ad accettare le condizioni poste dalle due società, pena l’impossibilità per i consumatori di usufruire dei loro servizi. In tal caso il Codacons, che ha costituito una apposita task force di avvocati ed esperti di privacy, al fine di verificare il rispetto del nuovo regolamento, avvierà in Italia una causa risarcitoria contro le due aziende.”

In quell’occasione, il fondatore di Codacons Carlo Rienzi affermò: “Stiamo valutando le informazioni rese dalle grandi società agli utenti e relative al consenso sull’uso dei dati personali, informazioni che appaiono in alcuni casi inadeguate o non sempre precise e che non mettono l’utente perfettamente a conoscenza delle nuove condizioni sulla privacy. In caso di violazione delle norme, chiederemo sanzioni milionarie per le aziende”.

 

Il parere “preoccupato” del GEPD

Il 26 maggio, il presidente del Garante Europeo per la Protezione dei Dati (GEPD)- e quindi, responsabile per l’applicazione delle norme e dei principi sulla protezione dei dati in tutti i territori dell’Unione Europea – dichiarò al Business Insider di essere preoccupato che le grandi aziende tecnologiche stiano “ricattando” gli utenti per accettare i nuovi termini introdotti dal GDPR.

Il presidente Buttarelli aveva infatti affermato che, per queste imprese: “è davvero molto facile e non impegnativo [scegliere] l’approccio in cui dici: ‘Questo è quello che dovresti accettare. Non c’è alternativa, altrimenti sei fuori dal servizio‘”. “Questo è un punto importante che dobbiamo analizzare: il trattamento dei dati dovrebbe essere equo e non solo collegato a una base legale, in modo che possa essere scelto liberamente da chi controlla quei dati …”

“Il consenso era e resterà uno dei requisiti per elaborare i dati personali, non necessariamente l’unico, ma quello principale. Secondo il GDPR, ove indispensabile, ove richiesto, il consenso dovrebbe essere più genuino, più trasparente, più specifico, più informato, più rispettoso“

La posizione di Buttarelli parrebbe in linea con quella di NYOB e di Codacons, anche se, durante tutta l’intervista, il responsabile del Garante europeo avrebbe evitato di indicare a quali imprese si stesse riferendo.

 

Come difendersi dal GDPR bloccando gli utenti in Europa

Alcuni siti d’informazione online che non si erano ancora adeguati al GDPR ovviarono al problema dell’adeguamento vietando direttamente gli accessi ai propri siti web in territorio UE.

Può sembrare drastica come soluzione ma, considerato il rischio economico e reputazionale al quale avrebbe potuto incorrere qualsiasi impresa operante in Europa o residente nell’UE nel caso in cui fosse risultata non conforme al GDPR, l’opzione di bloccare un sito non ancora compliant non pare affatto biasimevole.

Nel novero delle piattaforme oscurate sono incluse:

Le testate appena citate fanno capo a Lee Enterprises Media e Tronc, due gruppi editoriali leader di un impero mediatico costituito da 46 testate in 21 Paesi.

Sui siti all’epoca oscurati apparve un messaggio di avviso che informava dell’irraggiungibilità del sito per alcuni Stati europei: gli Stati dell’Unione, appunto.

I siti d’informazione più preparati come il Washington Post e il Time, conformemente col GDPR chiedettero agli utenti di prendere nota della nuova informativa sulla privacy e di dare il proprio consenso all’utilizzo dei cookies.

 

Effetto GDPR

La rivoluzione normativa che protegge i dati personali scatenata dal GDPR potrebbe mietere qualche vittima lungo il percorso di adeguamento, nonostante i tempi di adeguamento concessi dall’Unione Europea alle imprese private e alle PA coinvolte sia stato piuttosto ragionevole.

Lo stesso discorso vale anche per le imprese extraeuropee operanti nei territori UE, legalmente obbligate ad adeguarsi alle nuove norme del Regolamento UE; da qui la necessità da parte delle testate online di bloccare momentaneamente l’accesso ai propri siti web dall’Europa.

In quei giorni di fermento, in Italia il Garante Privacy avviò alcuni provvedimenti sanzionatori, tra cui quello verso la TIM ordinando alla nota società di telecomunicazioni il pagamento di due sanzioni amministrative pari a un importo complessivo di 960mila euro per violazioni alla normativa sulla protezione dei dati personali.

Anche Fastweb entrò nel mirino del Garante. A seguito di una serie di indagini, il Garante dichiarò che: “Fastweb dovrà […]interrompere le telefonate promozionali verso utenti che non hanno espresso il loro consenso o si sono opposti al trattamento dei loro dati per finalità di marketing. Questa la decisione presa dall’Autorità al termine di una serie di ispezioni avviate per verificare le molteplici segnalazioni di persone che lamentavano di essere state disturbate da call center che proponevano offerte commerciali indesiderate nell’interesse della società”.

 

Per fare chiarezza sul tema del GDPR e per comprendere a pieno come ottenere a tutti gli effetti la conformità al nuovo regolamento europeo, visita il sito di Digital for Academy e riservati un posto al corso LA PRIVACY AL TEMPO DEL GDPR

Tutti i trend del Marketing Digitale nel 2019

Digital marketing | 28 Maggio 2019

Pronti per leggere gli ultimi 6 trend che, secondo Forbes, faranno da driver nelle strategie di marketing digitale di quest'anno? Non vi resta che leggere questo articolo!

LEGGI TUTTO

Data Protection Day e Responsabilizzazione: la compliance al GDPR come manifesto di ‘consapevolezza’

Eventi | 4 Febbraio 2019

Queste prime settimane del 2019 anno visto il conseguimento di importanti traguardi sul fronte della Data Protection sia a livello internazionale che nazionale. Scopriamoli insieme in questo articolo di approfondimento!

LEGGI TUTTO

Google e Facebook di nuovo nel mirino dei Garanti Privacy europei

GDPR | 30 Gennaio 2019

Grandi novità per Google e Facebook sul tema della Data Protection. La lista dei punti chiave che hanno legano inscindibilmente il mese di Gennaio 2019 ai temi della Privacy è davvero lunga e ricca di accadimenti.

LEGGI TUTTO