Le lacune e le tortuosità delle privacy policy spesso impongono, senza dubbio, ore di corsi di lettura avanzata per uscirne indenni ( ma veramente consapevoli?). Lunghe, poco chiare, spesso confusionarie per l’utente, le privacy policy oggi sembrano quasi porsi in netto contrasto con quella doverosa trasparenza imposta, invece, dal Regolamento GDPR a favore degli interessati al trattamento. C’è certamente da lavorare sull’intellegibilità delle informative ma, per un verso, non è facile e per altro verso non è detto che basti. E allora davvero può trovare applicazione in ambito privacy il brocardo anglosassone “less is more”? La parola alle disposizioni di legge.
“I tried to read all my app-privacy policies. It was 1million words. Let’s abolish reading privacy policies”. Questo il titolo, provocatorio, di un recente articolo di G.A. Fowler pubblicato sul Washington Post (consultabile qui). Secondo l’Autore, c’è una piccola grande bugia al centro del modo in cui utilizziamo ogni sito web, app e gadget digitale. Gli utenti cliccano sul classico “acconsento” al trattamento dei dati personali, sostenendo di (rectius mentendo sul) aver letto l’informativa sui dati e di accettare i relativi termini e le condizioni. In questo modo, dal punto di vista legale, le aziende possono dire che si è dato espresso consenso all’utilizzo dei dati forniti. In realtà, quasi nessuno legge le privacy policies né si sente in grado di maneggiarle con quella perizia tipica del lettore attento e appassionato all’argomento affrontato. Uno dei principali motivi alla base di questo fenomeno di “non-lettura” parrebbe la complessità delle informative e la loro “falsa” sinteticità espositiva.
Un simile fenomeno porta con sé, quindi, due corollari: le privacy policies sono troppo lunghe e, di conseguenza, l’utente evita di leggerle o comunque procede in tal senso con evidente superficialità.
Del resto, che le informative utilizzate da aziende private, enti pubblici, professionisti, siti web, motori di ricerca e piattaforme tech, siano spesso troppo lunghe, complesse e quindi non adeguate a rispondere alla loro funzione essenziale (i.e. quella di informare gli utenti sull’uso che verrà fatto dei loro dati personali e, di conseguenza, di metterli nella condizione di esprimere in maniera libera e consapevole l’eventuale consenso al trattamento, che si tratti di marketing, di profilazione commerciale o di comunicazione a terzi di determinate informazioni), costituisce problema noto anche nel contesto eurounitario. Non a caso, con la comunicazione del 13 giugno 2019, la Commissione UE ha evidenziato come aiutare gli europei a «riprendere il controllo dei loro dati personali» costituisca una delle principali priorità in materia, soprattutto con riferimento ad una più agevole lettura delle «troppo lunghe o troppo difficili da capire» informative privacy, ben distanti dai parametri di sinteticità e trasparenza predicati anche sul piano normativo. Proprio sul tema specifico, muovendo lo sguardo verso il fronte italiano, risuonano fragorose le parole del collegio del Garante Privacy, che ha confermato il fatto che nessuno ormai legge per davvero le informative privacy, specie dei titolari di grandi trattamenti della dimensione digitale, con la conseguenza che tali informative, ormai, finiscono regolarmente con il “rendere più forti i forti e più deboli i deboli” (si veda qui, qui e qui). Come tamponare allora l’emergenza “lettura”? Sul punto, viene certamente in rilievo il contest indetto dal Garante Privacy (il riferimento è all’appello c.d. “Informative Chiare”) per studiare soluzioni che – attraverso l’uso di icone, simboli o altre soluzioni grafiche – rendano le informative privacy più semplici, chiare e immediatamente comprensibili. L’idea alla base di tale iniziativa, ovviamente, non è di sostituire le informative privacy che – de natura – devono trattare in maniera tecnica e definita le modalità di trattamento dei dati nello specifico, ma di affiancare uno strumento in grado di definire le sezioni dell’informativa in maniera chiara e univoca e che la renda fruibile a tutti gli interessati al trattamento, semplificando gli elementi che, ai sensi degli articoli 13 e 14 del regolamento UE 679/2016 (GDPR), devono essere contenuti nell’informativa stessa. Del resto, si tratta di un approccio oggi molto enfatizzato in ogni settore del diritto, attraverso il ricorso alle tecniche del c.d. “legal design”, volto a veicolare i concetti giuridici in modo semplice e fruibile anche ai non addetti ai lavori.
Peraltro, detto contesto di “sensibilizzazione” verso l’adozione di informative privacy maggiormente intellegibili e sintetiche trova la sua giustificazione normativa all’interno dello stesso GDPR che si basa su alcuni principi fondamentali, enunciati al relativo art. 5 (si veda qui e qui), il cui rispetto, va da sé, è di primaria importanza se si intende davvero perseguire la massima tutela degli interessati. Per quanto qui di precipuo interesse, spiccano i seguenti principi:
- quello di “finalità”, cui deve essere informato il trattamento dei dati personali, la cui ratio è chiara: si tratta della preventiva consapevolezza degli utenti circa i possibili impeghi delle informazioni che li riguardano. Tali informazioni devono essere non solo concise, trasparenti, intelligibili e facilmente accessibili ma anche formulate con un linguaggio semplice e chiaro. Il principio de quo, quindi, perde, a ben vedere, ogni utilità pratica nel momento in cui l’utente non è messo nelle condizioni di comprendere nei fatti, attraverso l’utilizzo di policy prolisse e oscure, per quali finalità verranno utilizzati i dati forniti (al di là del singolo servizio autorizzato). Peraltro, pare appena il caso di rilevare che se l’utente non è in grado di comprendere, con lettura agevole, le modalità di utilizzo dei suoi dati personali, anche il consenso prestato risulterà, de facto, non valido, riducendosi lo stesso in un mero simulacro formale, privo di qualsiasi consistenza sostanziale;
- quello della “trasparenza” (pietra angolare nel rapporto tra UE e i cittadini, si veda anche qui) nei confronti degli interessati, spesso nei fatti frustrato, ove si consideri l’indiscriminata proliferazione di privacy policy incomprensibili anche agli addetti ai lavori. Nel sistema privacy, infatti, la trasparenza è un principio il cui pieno rispetto non solo garantisce la liceità e correttezza dei trattamenti ma, soprattutto, genera la fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi.
Emerge in controluce da tale breve disamina come la prova di aver ottenuto il consenso espresso dell’interessato, pure in una realtà digitale “complessa” e comunque priva – ad oggi – di policy illustrative chiare per l’utente, non sembra essere adeguata o comunque sufficiente ad assicurare una tutela effettiva ai dati personali. A tal fine assume invece maggior rilievo il ruolo delle aziende nella definizione di privacy policy fruibili e semplici (“user centred designed”) e dell’autorità di controllo nel diffondere la c.d. “cultura della privacy”, ossia una generalizzata maggior consapevolezza degli utenti rispetto al valore ed al trattamento dei propri dati personali.
Infine, è indubbio che un’informativa privacy ben fatta, in linea con le indicazioni del GDPR, contribuisce anche a tenere “in buona salute” i processi aziendali e le menti d’ogni età degli utenti globali, ciò sotto il vessillo della chiarezza linguistica, della coerenza, della leggibilità e dell’accessibilità delle informative privacy.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale