European Consumer Organisation: i big del web non sono ancora “GDPR ready”.

Secondo il BEUC i big del web non sono ancora conformi al GDPR.

Il BEUC (Bureau Européen des Unions de Consommateurs), noto anche come European Consumer Organisation, si è occupato tra giugno e luglio di verificare il livello di conformità al GDPR dei big del web: quel che ne emerge, come suggerisce anche l’articolo del The Guardian, è la poca trasparenza e chiarezza delle policy adottate.

A poco più di un mese di distanza dall’entrata in vigore del GDPR, numerose policy sulla privacy potrebbero non rispettare gli standard previsti dalla legge. Ciò è preoccupante [ed è cruciale che] le [autorità competenti eseguano un controllo approfondito]

ha dichiarato Monique Goyens (direttore generale del BEUC). Tra i nomi inclusi nello studio dell’ONG spiccano nomi come Facebook, Twitter, Uber, AirBnB, Microsoft, Apple, Instagram, Google, Netflix e molti altri. Il team incaricato dall’ONG si è occupato di analizzare attentamente le policy delle compagnie evidenziando i passaggi più vaghi e criptici:

[ad esempio quando Google dice agli utenti “nei nostri servizi raccogliamo informazioni sulle tue attività che usiamo per fare cose come suggerirti un video YouTube che potrebbe piacerti”, [questa frase è stata etichettata come “poco chiara”] perché non specifica completamente per quali scopi sia utilizzata l’informazione.

E per quanto riguarda la compagnia di Jeff Bezos:

Amazon avvisa gli utenti che “il nostro business è in continua evoluzione così come le nostre policy sulla privacy”, un passaggio indicato come “autorizzazioni problematiche”, perché può dare alla compagnia il diritto di cambiare le policy sulla privacy senza chiedere il consenso [degli utenti].

Quanto sottolineato dal BEUC non sembra tuttavia una novità perché, già all’indomani del 25 maggio 2018 Facebook, Instagram, WhatsApp ed Android erano stati raggiunti dalle proteste formali inoltrate alle autorità competenti da un’altra organizzazione per i diritti dei consumatori, la Noyb:

le compagnie hanno costretto gli utenti ad accettare i nuovi termini di servizio, contravvenendo ai requisiti della legge [secondo cui] tale consenso deve essere liberamente concesso [dall’utente]. […] Facebook ha addirittura bloccato gli account degli utenti che non hanno dato il loro consenso. Alla fine gli utenti finali potevano solo scegliere tra la cancellazione dell’account o un clic sul bottone [accetto] – non è una scelta libera, mi ricorda piuttosto una procedura elettorale della Nord Corea

commentava il presidente della Noyb, Max Schremes, all’indomani dell’entrata in vigore del GDPR.

Le risposte dei diretti interessati

L’azione legale intrapresa dalla Noyb sembra al momento non avere avuto alcuna ripercussione (le compagnie rischiano pesanti sanzioni se si considera il 4% del fatturato annuale previsto dal GDPR) ma è probabile che la pratica sia ancora aperta. Le aziende chiamate in causa hanno precisato invece come la privacy degli utenti resti una delle loro priorità, unitamente alla volontà di rispettare le norme previste dalla regolamentazione UE:

  • Google ha sottolineato di occuparsi della questione privacy fin dalle fasi iniziali di ogni progetto e di aver reso più chiare e trasparenti le proprie policy negli ultimi 18 mesi.
  • Amazon ha evidenziato la creazione di una pagina ad hoc in cui mostra come accedere e gestire i dati personali, inclusi quelli affidati ad Alexa (assistente personale incluso in vari prodotti pensati per le “case intelligenti”).
  • Facebook ha dichiarato di essersi preparata per 18 mesi all’avvento del GDPR rendendo le opzioni relative alla privacy più semplici da consultare ed agevolando l’accesso, il download e la cancellazione delle informazioni. “Il nostro lavoro per migliore la privacy delle persone non è terminato il 25 maggio” ha affermato Erin Egan (chief privacy officer presso Facebook).

E’ evidente che a due mesi dall’entrata in vigore, il GDPR è considerabile tutt’altro che metabolizzato dall’industria – basti pensare ai problemi dell’ICANN. Come ipotizzato dagli addetti ai lavori, servirà anche l’intervento delle corti di giustizia europee per chiarire i punti meno chiari del GDPR.

Fonti: 1, 2.