La Rete potrebbe presto diventare un luogo più sicuro e affidabile per chi vi naviga, perché ai giganti del web potrebbe essere presto negato l’accesso ai dati sensibili degli utenti per l’invio di pubblicità mirate. Chiariamo, per dati sensibili si intendono le informazioni riguardo l’origine razziale o etnica, l’orientamento sessuale, le condizioni di salute, il credo religioso, politico o filosofico degli utenti, di cui le internet company si appropriano ogni giorno per fini (anche) commerciali.

Il merito di questa iniziativa va, ancora una volta, all’Unione Europea: il 20 gennaio scorso, il Parlamento europeo ha approvato, con 530 voti favorevoli, 78 contrari e 80 assenze la bozza di un disegno di legge, chiamato Digital Services Act, che mette il freno alle attività invasive delle piattaforme online e ridisegna il rapporto tra piattaforme tech e utenti. Una sorta di “costituzione digitale” che punta a ridimensionare lo strapotere dei colossi del web, in primo luogo quelli riuniti sotto il grande cappello di GAFAM, acronimo di Google, Amazon, Facebook (adesso Meta), Apple e Microsoft.

A circa vent’anni dall’introduzione della direttiva sul commercio elettronico, l’ultima legislazione europea dedicata a questo tema, è giunta quindi l’ora di iniettare nuova linfa nell’ecosistema digitale odierno per accrescerne la trasparenza e la sicurezza.

Prima di chiarire cosa cambierà con il provvedimento, facciamo un piccolo passo indietro.

Il mondo digitale offre sconfinate opportunità, ma nasconde anche numerose insidie. Navigando in Rete, gli utenti consegnano – più o meno consapevolmente – una smisurata mole di dati personali direttamente nelle mani delle aziende tech, i principali interlocutori con cui dialogano quando sono online.

Accedendo a Internet, ci “limitiamo” a interpellare i motori di cerca e a visualizzare pagine web, pubblicità e il nostro contraltare virtuale impresso nelle piattaforme social; in realtà, dall’altro lato dello schermo, nascosti silenziosamente nella penombra, come un Grande Fratello orwelliano i colossi del web prendono nota su ogni nostra azione per diversi scopi, tra cui l’invio di pubblicità mirate. Buona parte del loro giro d’affari si fonda infatti sulla targetizzazione degli utenti per indirizzare gli annunci pubblicitari in modo mirato, un processo che sfrutta chiaramente i loro dati personali, che diventano così asset strategici ed economici.

Google monitora ogni nostra ricerca, Amazon conosce gusti, abitudini d’acquisto e potenziali nuove spese di chi lo utilizza, i social network hanno gli strumenti per ricostruire il puzzle della nostra vita grazie alla quantità sconfinata di dati che possiedono. Questo processo, nato da quello che in data science prende il nome di “datification“, costituisce una sorta di compromesso per noi utenti: scegliendo di usufruire dei servizi messi a nostra disposizione dai giganti del tech, spesso gratuiti, accettiamo al contempo di consegnare nelle loro mani i dati che immettiamo quotidianamente utilizzandoli.

Di casi di violazione dei dati personali per mano dei colossi del tech, purtroppo, ne sono piene le testate e i futuri libri di storia: basti pensare che nel 2021 sono state 365 al giorno le segnalazioni di violazione di dati personali in Europea, un dato in crescita del 7,5% rispetto all’anno precedente, per un totale di 130mila casi di “data breach” in un solo anno (e solo nel Vecchio Continente). Tra i casi più eclatanti come non menzionare lo scandalo di Cambridge Analytica, che ha coinvolto Facebook e la società di data analysis, accusata di essersi impossessata dei dati personali di circa 90 milioni di account del social network senza il consenso degli utenti. Per non parlare dei numerosi polveroni che hanno travolto Google trascinandolo diverse volte in tribunale, per ultime le polemiche inerenti la localizzazione.

Non finisce di certo qui: oltre a fare razzia di dati, le piattaforme online possono anche essere utilizzate per la diffusione o lo scambio di contenuti, beni e servizi illeciti, trasformandosi in pericolosi vettori d’illegalità.

Il Digital Services Act (DSA) punta a contrastare, o meglio disciplinare, tutto questo. La proposta di legge rientra in un più ampio pacchetto di normative che comprende anche il suo complementare, il Digital Markets Act, e che rappresenta i pilastri della riforma dello spazio digitale annunciata nel 2020 dalla Commissione europea. Con la proposta, l’UE si candida a punto di riferimento per la legislazione della Rete, perseguendo gli obiettivi di sovranità digitale introdotti dalla Commissione di Ursula von der Leyen.

Dopo aver avuto il via libera dell’Europarlamento, la bozza del testo del DSA sarà discussa con i Governi degli Stati membri. Una volta terminati i negoziati interistituzionali (i cosiddetti “triloghi”), che hanno preso il via con un primo round di colloqui il 31 gennaio, ci sono buone possibilità che il provvedimento entri in vigore. I primi risultati, come come spiegato il commissario Ue al Mercato Interno, Thierry Breton, sarebbero previsti entro l’estate:

La Commissione, insieme al Parlamento e al Consiglio, porterà a termine questo importante testo per i nostri cittadini. Sono pienamente impegnato a raggiungere questo obiettivo entro l’estate.

L’obiettivo del DSA è quello di rendere Internet uno spazio più sicuro, regolamentato da una direttiva condivisa da tutti gli Stati membri che replichi il successo riscontrato dal regolamento europeo su privacy e dati, il GDPR (General Data Protection Regulation), che rimane il principale riferimento normativo per la protezione dei dati in UE. Con il DSA, l’Unione Europea prevede di imporre all’universo online le stesse misure affinché sia reso illegale quel che è tale anche offline, garantendo una tutela ancor più solida dei diritti e della privacy degli internauti.

Se il DSA dovesse diventare legge, gli utenti avrebbero maggiore controllo sui propri dati sensibili e sui contenuti che appaiono loro online. Sarebbe possibile rifiutare il consenso al trattamento dei propri dati in modo molto più semplice, veloce e lineare e, in caso di rifiuto, si avrebbe comunque la possibilità di accedere alla piattaforma tramite alternative eque e ragionevoli. Oltre a ciò, si assisterebbe a una semplificazione dei programmi di messaggistica istantanea e delle procedure di recesso dai servizi.

Alle piattaforme verrà inoltre chiesta maggiore trasparenza sugli algoritmi e la rinuncia all’utilizzo di tecniche ingannevoli per influenzare il comportamento di chi naviga. Il che significa veto assoluto dei cosiddetti “dark pattern”, trucchetti grafici che inducono gli utenti a dare il consenso al trattamento dei propri dati contro la propria volontà, tratti in inganno da tasti dai colori sgargianti per l’accettazione e grigi per il rifiuto. Giro di giro di vite anche per siti usati per la diffusione di materiale pornografico, a cui saranno imposti obblighi più stringenti.

Sotto la lente d’ingrandimento anche i contenuti illegali e violenti, il cui processo di rimozione avverrebbe in modo più rapido ed efficace grazie a un nuovo meccanismo di “notifica e azione”. In passato, l’Unione Europea aveva esortato a più riprese colossi come Google, Facebook e Twitter a rimuovere i contenuti illegali dal web più rapidamente, con la promessa di voler continuare a monitorare il loro operato e di intervenire con una nuova normativa qualora non avesse riscontrato miglioramenti. Evidentemente, quindi, i progressi fatti fino ad oggi sono stati pochi, o poco rilevanti. La normativa combatterebbe inoltre con maggiore incisività la disinformazione politica e sanitaria, introducendo nuove regole che disciplinino i contenuti e proteggano la libertà di espressione.

Un’altra novità riguarda la possibilità, per gli utenti, di chiedere un risarcimento per gli eventuali danni subìti con il mancato rispetto degli obblighi da parte delle piattaforme. Per queste ultime, potrebbero essere previste multe salate in caso di infrazione del regolamento (si parla addirittura del 10% del fatturato globale delle aziende stesse).

Non mancano, certamente, i detrattori della proposta di regolamento: alcuni sostengono sia scorretto regolare il mercato digitale in modo aprioristico, essendo lo stesso soggetto a cambiamenti repentini e frequenti; altri invece reputano eccessiva l’applicazione di una regolamentazione così massiccia al settore, che potrebbe rallentarne lo sviluppo.

Lievi discrepanze sono sorte anche all’interno del Consiglio stesso: come riporta Ansa, Stati come l’Italia, la Spagna, la Danimarca e la Polonia rivendicano maggior tutela della protezione degli utenti, mentre l’Irlanda e la Repubblica Ceca non appoggiano appieno le modifiche al testo originario apportate dal Parlamento europeo, tra cui il conferimento di maggior potere di supervisione sulle Big Tech a Bruxelles.

Al netto dei piccoli nodi ancora da sciogliere e dello scetticismo di una minoranza di utenti, è innegabile che il DSA (in tandem con il “fratello” DMA) porti con sé una ventata di democrazia digitale più che mai necessaria per smuovere un ecosistema – quello del web – paralizzato da un quadro normativo stagnante ormai da anni e dominato dal potere dei colossi a stelle e strisce.

Per l’UE è quindi giunta l’ora di far stabilire le regole del gioco ai suoi legislatori, e non più alle big tech.

[embedded content]