È di pochi giorni fa la notizia che il Congresso americano ha approvato una norma che consente agli Internet service provider di vendere a terzi, compreso agenzie di marketing e agenzie governative, i dati di navigazione dei loro utenti, senza alcuna necessità di chiedere preventivamente il loro consenso.

In realtà il provvedimento non fa altro che cancellare le nuove regole della Federal Communications Commission (FCC), volute dalla precedente amministrazione, che avrebbero imposto, ma solo dalla fine del 2017, l’obbligo di chiedere il consenso (opt-in) per alcuni dati (es. cronologia di navigazione), mentre per altri (es. indirizzi mail) consentiva agli utenti di negare il consenso (opt-out). In sostanza il Congresso ha legittimato quanto si può fare già oggi.

Quindi, i fornitori di accesso alla rete, come Comcast, Verizon e At&t, potranno vendere i dati relativi alla cronologia delle ricerche, i dati di localizzazione, le App scaricate, e così via, in tal modo sarà possibile una profilazione decisamente più spinta dei gusti e delle preferenze degli utenti. Tale possibilità è già dei giganti del web, come Google e Facebook, che raccolgono e possono vendere i dati di navigazione, e non solo, degli utenti. Secondo l’amministrazione Trump la normativa della FCC avrebbe determinato una disparità tra le grandi aziende del web e i fornitori di accesso alla rete. La nuova norma in sostanza non fa che parificare la posizione delle grandi aziende del web e dei fornitori di accesso ad Internet, in tal modo bilanciando quello che, secondo l’industria, era ormai un campo sbilanciato a favore delle grandi aziende del web.

Ovviamente la nuova normativa riduce enormemente la tutela della privacy degli americani ed è espressione diretta di una nuova politica americana, che già si è palesata all'inizio dell’anno con un ordine esecutivo del Presidente Trump che ha fatto molto scalpore (esclude la tutela della privacy per i non-americani).

La mossa della nuova amministrazione è stata vista come un palese favore ai gestori di telefonia, che in tal modo potranno competere con le grandi aziende del web. In realtà, il controllo degli ISP è decisamente più invasivo di quello di aziende quali Google o Facebook. A differenza di queste ultime, che hanno un controllo parziale sui dati degli utenti, invece il fornitore di accesso alla rete vede tutta la cronologia di navigazione, e anche l’utilizzo di software di navigazione in incognito non serve a nulla. Inoltre, un utente può evitare di visitare determinati siti, può evitare di iscriversi a Facebook, può tenersi alla larga dai servizi Google, ma per sfuggire ai fornitori di accesso deve soltanto non accedere ad Internet. E non dimentichiamo che l’utente paga già un corrispettivo all'ISP per l'accesso alla rete, per cui non dovrebbe aspettarsi che il gestore di accesso voglia ricavare altri soldi dalla vendita dei suoi dati.

Per tutelarsi l'utente potrebbe usare una VPN, ma poi il fornitore della VPN potrebbe comunque vendere i dati di navigazione al fornitore di accesso alla rete, e ad altri. Altra possibilità è di usare il software TOR, che però soffre di vulnerabilità, ed e comunque è più complicato da usare.
Questa mossa determina un profondo sbilanciamento a favore dei gestori di telefonia e di comunicazione, che adesso saranno il perno centrale della pubblicità online.

Anche tra i parlamentari americani si sono avute forti critiche a questo provvedimento. Mike Capuano ha così commentato: «Give me one good reason why Comcast should know what my mother’s medical problems are» («Datemi una buona ragione perché Comcast debba sapere quali sono i problemi di salute di mia madre»). Nancy Pelosi ha aggiunto che la normativa impedisce all’FCC di tutelare i consumatori: «Americans learned last week that agents of Russian intelligence hacked into email accounts to obtain secrets on American companies, government officials and more. This resolution would not only end the requirement you take reasonable measures to protect consumers’ sensitive information, but prevents the FCC from enacting a similar requirement and leaves no other agency capable of protecting consumers».

La stessa FCC ha emesso un duro comunicato stigmatizzando il fatto che il provvedimento consentirà alle multinazionali di calpestare i diritti dei consumatori. La NCTA, la principale associazione dei gestori di telefonia e comunicazione, ha invece commentato positivamente il provvedimento, precisando di essere sempre tesa a una tutela effettiva della privacy degli utenti, laddove i provvedimenti dell’FCC erano fuorvianti (misguided).
Difficile capire come una maggiore diffusione di dati possa tutelare maggiormente la privacy degli utenti.

Il primo effetto del nuovo provvedimento non è tardato. A soli pochi giorni di distanza Verizon ha annunciato un motore di ricerca stile Google, che però invia tutti i dati a Verizon, ed è preinstallato su tutti gli smartphone venduti da Verizon.

La nuova normativa non impatta sugli europei, e riguarda solo gli americani, poiché la normativa europea, e in particolare il Regolamento Generale sulla protezione dei dati personali che, già approvato, entrerà in vigore nel maggio del 2018, prevede specifici obblighi di ottenere il consenso degli utenti prima della raccolta dei dati personali (compreso i dati di navigazione), normativa che si applica a tutti i trattamenti che abbiano ad oggetto dati degli europei (indipendentemente da dove ha sede l’azienda). Ed è in arrivo anche la riforma della Direttiva ePrivacy, che si occupa specificamente delle comunicazioni online.

La situazione europea, quindi, può dirsi decisamente più tutelante rispetto alle norme americane, richiedendo una specifica finalità per il trattamento, e il rispetto dei requisiti di necessità e non eccedenza dei dati trattati. Il Regolamento europeo introduce, inoltre, i principi di privacy by design e by default, che pongono l’utente al centro del sistema di protezione, imponendo l’obbligo di realizzare sistemi che siano progettati fin dall'inizio in modo da tutelare la privacy dell’utente, e l’obbligo di studiare un ciclo del prodotto o del servizio che sia sempre sicuro per i dati dell’utente stesso. Non solo una tutela formale ma soprattutto sostanziale e flessibile, in grado di adattarsi alle innovazioni tecnologiche. E, per finire, uno specifico obbligo di massima trasparenza verso l’utente, il quale deve sempre essere informato sui dati raccolti, sui trattamenti ai quali sono sottoposti (compreso eventuali trasferimenti all'estero) e sui diritti che può esercitare per una tutela effettiva dei propri dati. Il rispetto solo formale della normativa non è sufficiente se poi l’utente non è davvero tutelato.

Data la maggiore attenzione degli europei ai problemi di tutela dei dati personali non meraviglia che la norma americana abbia fatto più scalpore qui da noi che tra gli americani, ormai abituati ad una gestione dei loro dati estremamente invasiva. L’approccio americano è estremamente differente da quello europeo. Gli americani, quando iniziarono a sviluppare le loro norme in materia, consultarono prevalentemente le aziende, gli europei si affidarono, invece, alle Autorità di Garanzia. Al centro del sistema americano vi è l’autonomia dei privati e l’approccio è utilitaristico (cioè i dati sono di chi li usa), basato prevalentemente sull’autoregolamentazione, e settoriale. La privacy viene tutelata per lo più nell'ambito delle pratiche commerciali e le imprese hanno interesse a tutelarla in quanto violandola rischiano di perdere clienti. Tale approccio è più flessibile e adattabile, ma nel contempo determina una proliferazione delle norme settoriali e quindi una maggiore difficoltà per i cittadini di conoscere i propri diritti e farli valere. Infine, tende a far diventare la privacy un bene economico (infatti le grandi aziende Usa pubblicizzano la tutela della privacy come fosse una feature dei loro prodotti).

L’Europa, invece, ha un approccio generalista e centralizzato, laddove la privacy è un diritto fondamentale dell’individuo. Se i dati degli europei non sono messi a rischio da questa nuova norma, la nuova politica dell’amministrazione Trump, in materia di privacy, appare in forte contrasto con la politica europea. Dopo lo scandalo della sorveglianza di massa da parte dell’NSA, le promesse dell’amministrazione Obama avevano consentito di ricucire, almeno parzialmente, una fiducia tra le due sponde dell’oceano, portando alla stesura del Privacy Shield. Questa fiducia adesso appare sempre più incrinata. L’impostazione dell’amministrazione Trump è pacificamente contro ogni forma di tutela della privacy degli utenti.