L’evoluzione della rete, con lo sviluppo dei social network, ha trasformato l’uso di Internet da parte dei cittadini e ha posto nuovi problemi nell’ambito della tutela della privacy. La Commissione Europea ha deciso di aggiornare le regole relative alla protezione dei dati personali, che risale al 1995 con la Direttiva sulla Privacy, al fine di regolamentare le nuove forme di partecipazione al web.
I capisaldi della nuova normativa sono due: il diritto all’oblio e il consenso informato. Il primo riguarda il diritto dell’utente a poter cancellare completamente i propri dati personali, spesso da loro stessi inseriti, nei motori di ricerca e nei social network; il secondo è finalizzato a consegnare il potere sui propri dati personali agli utenti, tenendone sotto controllo la diffusione, ovvero conoscere chi tratta i suoi dati e a quale scopo. Nel dettaglio, la legge prevede che gli utenti siano informati in modo chiaro su quali tipi di dati siano in possesso delle aziende, quale sarà il loro utilizzo, per quanto tempo saranno conservati e se esiste la possibilità che questi vengano ceduti a soggetti di terze parti.
La norma inoltre comprende l’obbligo di notifica ai cittadini, entro il termine perentorio di 24 ore dall’avvenimento, di eventuali furti parziali o totali dei dati personali di cui l’azienda dispone.
Le aziende che non rispetteranno quanto previsto dalla normativa subiranno sanzioni significative, quantificabili in multe che ammontano all’1% dei profitti annui globali.
Il diritto all’oblio, ovvero a scomparire senza lasciare tracce, è invocato soprattutto quale difesa degli utenti più deboli, gli adolescenti e i giovanissimi, che inseriscono sulle pagine dei social network materiale di cui, più tardi possono pentirsi: è il caso del giovane che scrive su Facebook i suoi pensieri in libertà, e poi corre il rischio che il suo futuro datore di lavoro ne venga a conoscenza e rinunci ad assumerlo per questo. Oppure di chi pubblica immagini che ledono la sua reputazione, ed essendo queste condivise da terzi, non riesca più a rimuoverle, perdendone traccia. I social network sono diventati una miniera di informazioni fuori controllo dai legittimi proprietari, su cui i datori di lavoro possono svolgere fruttuose ricerche.
Come ha dichiarato Viviane Reding, commissario europeo della giustizia, nel corso della conferenza “The European Data Protection and Privacy”:
"Come ha già detto qualcuno “Dio perdona e dimentica ma il Web mai!”. Questo è il motivo per il quale “il diritto ad essere dimenticati” è così importante per me. Con una quantità sempre maggiore di dati che vagano per la rete – specialmente sui social network – le persone dovrebbero avere il diritto di poter rimuovere completamente i loro dati."
La modifica legislativa non va ad agire, invece, sugli archivi storici degli organi di informazione, sui dati medici e sugli archivi degli organi di giustizia.
I principali player di Internet, quali Google o Facebook, sono stati sviluppati negli Usa, paese dove le libertà di espressione e di iniziativa economica sono prevalenti rispetto a concetti percepiti come diritti fondamentali in Europa, quali la privacy. Ne consegue che la struttura stessa di tali strutture rendono praticamente impossibili le richieste che la Commissione Europea sta studiando. Si prenda ad esempio Facebook: ci si iscrive può cancellare il proprio profilo, ma tracce della sua esistenza rimangono comunque sui profili degli amici con i quali ha condiviso post, fotografie, su giochi on line e su applicazioni quali i quiz.
Cancellare tutto è praticamente impossibile, poiché si dovrebbe coinvolgere nell’operazione anche soggetti terzi (altri iscritti, aziende che gestiscono le applicazioni o i giochi su Facebook) e tutto ciò ha un costo che la gratuità di Facebook non consente di sostenere.
Analogamente, richiedere l’oblio a Google è altrettanto impossibile: come può il motore di ricerca "filtrare" i risultati escludendo talune informazioni perché sgradite al soggetto citato?
E’ il caso della richiesta avanzata dallo spagnolo Hugo Guidotti Russo, chirurgo plastico che nel 1991 fu coinvolto in un caso di "malasanità", riportato dagli organi di stampa. Oggi, egli vorrebbe che Google escludesse tali notizie dalle ricerche effettuate sul suo nome, ma l’azienda di Mountain View rifiuta di rispondere alla richiesta di rimozione espressa dalla Agencia Española de Protección de Datos (AEPD) in quanto sarebbe una censura sui suoi risultati, che riportano materiale legittimamente presente in rete (l’archivio storico dei quotidiani), e del quale pertanto non si può richiedere la cancellazione.
La situazione è stata così commentata da Peter Fleischer, Global Privacy Consuel di Google, che in un post pubblicato sul suo blog personale chiede che sia chiarito il concetto, definito "tutto europeo", di “diritto all’oblio”:
"Io rispetto il diritto dei giornalisti e di altri di scrivere articoli sull’argomenti, senza l’illusione che io debba avere un “diritto” in futuro di cancellare tutti i riferimenti al fatto. Anche se, empaticamente, vorrei che le persone potessero cancellare le cose brutte del loro passato, non cambia la mia convinzione che la storia deve essere ricordata, e non dimenticata, anche se è dolorosa. La cultura è memoria."
La nuova direttiva sarà trasformata in legge da ciascuno dei 27 Stati membri entro il 2015. L’esistenza di una normativa comune in merito alla tutela della privacy dovrebbe portare un risparmio complessivo di circa 2,3 mld di euro l’anno.
Non è solo la diffusione dei social network a preoccupare i legislatori europei, impegnandoli nella revisione della normativa sulla tutela della privacy: essa scaturisce dal proposito della Commissione Europea di rimuovere gli ostacoli all’adozione del Cloud Computing da parte delle Pmi, che sarebbero le prime a trarne notevoli vantaggi, ma che tuttavia si trovano in una situazione contrattuale di debolezza rispetto ai fornitori di servizi cloud.
Infatti la principale resistenza al trasferimento dei dati aziendali su un server remoto è il rischio di non poterne avere il pieno controllo e di poter subire il loro furto da pare di terzi. Rischi che le aziende non sanno come controllare, anche perché spesso il fornitore di servizi cloud è una grande azienda multinazionale non li informa nemmeno sul luogo fisico dove essi sono depositati.
