GDPR, ePrivacy e firma digitale

GDPR, ePrivacy e firma digitale

Secondo il GDPR e il nuovo Regolamento ePrivacy, ancora in approvazione, la Commissione europea ha in animo di proteggere i nostri dati e la nostra privacy. Ma questi legislatori conoscono internet?

Come molti di voi non sapranno, oltre al GDPR, entrato in vigore il 25 maggio 2018, è in arrivo un altro regolamento che dovrebbe chiamarsi ePrivacy. L’articolo 1 di questo nuovo regolamento, aggiornato al 13 aprile 2018, recita:

This Regulation lays down rules regarding the protection of fundamental rights and freedoms of natural and legal persons in the provision and use of electronic communications services, and in particular, the rights to respect for private life and communications and the protection of natural persons with regard to the processing of personal data.

L’ho riportato fedelmente, comprese le cancellazioni avvenute nelle successive letture della Commissione.
In breve questo Regolamento vuole metterci al sicuro dall’attuale gestione selvaggia dei nostri dati da parte del marketing internazionale. Nobile intento! Ma zero possibilità di riuscirci nei termini espressi nel Regolamento!
Vediamo perché.

No firma, no party!

Ammettiamo che io abbia la necessità di ottenere il tuo indirizzo email per venderti qualcosa. Per farlo uso una delle tante tecniche che, a fronte di un regalo o di uno sconto, mi consentono di ottenere i tuoi dati con tanto di autorizzazione alla loro gestione. Ammettiamo anche che la mia policy sulla privacy sia perfettamente scritta e che quindi tu sia perfettamente informato su come gestirò i tuoi dati. Perfetto!
A questo punto ipotizziamo che io subisca un controllo e che, durante tale controllo, mi venga richiesto di dimostrare che tu abbia effettivamente rilasciato il consenso utile alla gestione dei tuoi dati personali da parte mia. A ben pensarci è lo stesso identico tipo di controllo che potrebbe essere fatto in un ufficio: si richiede l’informativa sulla privacy firmata dai clienti gestiti dall’ufficio. Ma è proprio qui il problema. In un ufficio posso aprire un faldone e tirare fuori un bel pezzo di carta con tanto di firma autografa apposta in calce da parte del cliente. Ma online cosa tiro fuori? Online non esiste nessuna firma autografa né alcuna certezza che i dati da me posseduti siano stati effettivamente rilasciati previo consenso. Potrei averli inseriti tutti a manina, uno per uno o potrei averli acquistati da Facebook (visto che vende tutto a tutti). Come faccio a dimostrare (scientificamente e, quindi, legalmente) che quei dati me li hai forniti proprio tu e di tua spontanea volontà?
La risposta è banale: non posso! Non lo può fare nessuno!
Il motivo è ancora più banale: non posso mostrare ai controllori un pezzo di carta con la tua firma in calce.
In effetti nel mondo “online” ci sarebbe tale possibilità, si chiama firma digitale (forte!). Pertanto sembra esserci soltanto un modo per garantire la nostra “privacy”: distribuire una firma digitale a tutti i cittadini europei maggiorenni e imporre ai titolari dei dati, a fronte di un controllo, di mostrare il PDF (o quello che è) firmato digitalmente in cui l’utente/cliente fornisce le autorizzazioni richieste.

Informaticamente parlando, non mi pare proprio di intravedere altri modi per poter mettere in pratica quanto richiesto dal regolamento. E quindi mi chiedo: ma chi è che scrive questi regolamenti?