Premessa obbligatoria: Johnny Ryan è l’attuale Chief Policy & Industry Relations Officer di Brave, il browser che sta cercando di farsi largo nell’affollato mercato dei navigatori, popolato da Crome, Firefox ed Edge e da molti altri (quelli per Apple fanno corsa a sé) puntando proprio sulla garanzia di protezione della privacy, minacciata dai colossi digitali che delle preferenze online di ciascuno di noi fanno un mercato (di cui ben si conoscono le dimensioni).
Quindi la posizione espressa da Ryan può essere influenzata dagli interessi – legittimi ma individuali – del suo attuale datore di lavoro, anche se la carriera professionale predente di Ryan tenderebbe ad annullare questo rischio.
Ryan è celebre infatti per aver lanciato l’allarme su come funziona la pubblicità digitale – in particolare il RTB (Real Time Bidding) – che hanno portato a un’indagine completa del settore, a opera dell’ICO (Information Commissioner’s Office) che ha rivelato il fondamento di molte delle preoccupazioni sollevate.
I problemi principali erano le categorie di contenuti, registrate anche se si riferivano a dati che dovrebbero essere raccolti solo con il permesso specifico dell’utente, ad esempio i siti che si occupano di sessualità, salute e opinioni politiche, e le lacune presenti nella Privacy by Design di troppi siti che dovrebbe impedire ai sistemi RTB di ottenere troppe informazioni di identificazione personale, visualizzandole a coloro che sono autorizzati a vederle.
Lo scorso giugno, l’ICO ha concesso all’industria sei mesi per affrontare questi problemi. All’inizio del 2020, ha dichiarato che i lavori stavano procedendo per far fronte alle sfide sulla privacy sollevate.
Oggi, tuttavia, solo tre mesi dopo, Ryan, in un articolo a firma di Sean Hargrave, afferma che il GDPR è a rischio di fallire non tanto perché i watchdog della privacy si sono addormentati sul lavoro, ma piuttosto perché i governi – con la notevole esclusione della Germania – non li hanno dotati dei budget, delle competenze e degli strumenti tecnici indispensabili per implementare la legge.
Il nuovo Report di Brave è riassunto qui (dove può anche essere scaricato) e l’affermazione principale è chiara: i budget sono aumentati fino a che il GDPR è diventato legge, ma dalla sua introduzione, due anni fa, ha iniziato a ridursi.
Se l’incremento prima che la legge fosse diventata esecutiva sia stato sufficiente per consentire alle organizzazioni sulla privacy dell’UE di affrontare la sfida è un argomento aperto alla discussione. Ciò che il Report afferma è che in questo momento troppo pochi hanno ricevuto i finanziamenti necessari per investire negli strumenti tecnologici e nelle competenze per far rispettare il regolamento europeo.
Ad esempio, il maggior operatore dell’UE sulla privacy dei dati, l’ICO, attivo nel Regno Unito, ha visto raddoppiare il proprio budget nel giro di un paio d’anni fino al GDPR. Tuttavia, i suoi ricercatori affermano che dei 680 dipendenti, solo il 3% è concentrato su indagini tecniche.
In effetti, la ricerca continua affermando che delle 28 organizzazioni di controllo dell’UE, solo cinque hanno più di 10 specialisti tecnologici. Quasi uno su tre, di quelli attrezzati per svolgere indagini tecnologiche sulle violazioni del GDPR, lavora in un solo paese, la Germania.
La Commissione europea, è la logica conclusione, dovrebbe indagare sui membri dell’UE per non aver rispettatole norme sul GDPR, che impongono a tutti i governi di dotare chi si occupa della Data Privacy delle risorse umane e finanziarie necessarie per far rispettare il Regolamento GDPR.
Difficile disporre di dati quantitativi esaurienti al riguardo, ma l’impressione generale è che, al di fuori della ingenti multe inflitte alle multinazionali (generalmente statunitensi) per i data breach, denunciati il più delle volte dalle multinazionali stesse, non sembra esserci stata la massa di azioni, che – ai sensi delle Enforcement Law – sarebbe stato lecito attendersi.
Massimo Bolchi