Da quando il GDPR (General Data Protection Regulation) è entrato in vigore nel 2018, i cittadini dell'Unione Europea hanno una maggiore protezione della privacy e dei dati. Tuttavia, la legge è tutt'altro che perfetta e le grandi aziende tecnologiche, gli avvocati del settore e i lobbisti si sono assicurati di utilizzare ogni strumento del loro arsenale per aggirare le disposizioni del GDPR (attraverso un'interpretazione errata) o per influenzare l'opinione pubblica sulla legge in modo che i consumatori non incolpino loro per le violazioni, ma il GDPR stesso. Negli ultimi anni, questo ha portato a una serie di idee sbagliate sulla protezione dei dati e sul GDPR in particolare. Pertanto, in onore della Giornata della protezione dei dati di quest'anno, noyb chiarisce 5 delle idee sbagliate più comuni.
1. Il GDPR obbliga le aziende a utilizzare i cookie banner
Questo non è corretto. Il GDPR non obbliga i siti web a utilizzare i cookie banner. Al contrario, le aziende devono ottenere il consenso esplicito dell'utente se vogliono tracciare i suoi movimenti online. In genere, ciò avviene per mostrarvi pubblicità personalizzate in base ai vostri interessi. Le aziende hanno scelto di chiedere il consenso con i cookie banner e spesso danno la colpa al GDPR.
Ma non è tutto: Per massimizzare le percentuali di consenso - e quindi i profitti - molti siti web utilizzano banner cookie intenzionalmente fuorvianti e ingannevoli che rendono (quasi) impossibile rifiutare o ritirare il consenso.
Quindi, la prossima volta che vedrete un banner di cookie, ricordate che non esistono a causa del GDPR, ma perché un'azienda vuole trarre profitto dai vostri dati personali.
2. Le aziende devono temere le sanzioni delle autorità di protezione dei dati
Purtroppo le autorità per la protezione dei dati (DPA) ricorrono a misure di applicazione rigorose solo in casi eccezionali. Un'analisi noyb dell'attività delle DPA tra il 2018 e il 2023 ha mostrato che solo l'1,3% dei casi si conclude con una multa. Il DPC irlandese, che è responsabile della maggior parte delle grandi aziende tecnologiche (Meta, Google, Apple, OpenAI, Microsoft e molte altre), emette addirittura multe solo nello 0,26% dei casi che gestisce. E anche se il DPC irlandese emette una multa, difficilmente difficilmente riscuote il denaro, come riportano i media.
Dai nostri quasi 900 casi sappiamo che i procedimenti si trascinano spesso per diversi anni, solo perché l'azienda viene lasciata andare con un avvertimento. In alcuni casi, l'autorità di protezione dei dati ha addirittura cambiato ruolo per consultare l'azienda che ha violato la legge sulla protezione dei dati. Ad esempio: Nel 2024, noyb ha portato in tribunale la DPA di Amburgo a causa di discrepanze in un caso Pay or Okay contro la rivista tedesca SPIEGEL. Durante il procedimento davanti all'autorità, il DPA di Amburgo era in stretto contatto con SPIEGEL. Invece di indagare e decidere in modo imparziale, ha anche incontrato più volte i rappresentanti dell'azienda, invitandoli nei suoi locali e fornendo un feedback sulle modifiche proposte per l'implementazione di Pay or Okay. Per i costi amministrativi della procedura, l'autorità di Amburgo ha addebitato a SPIEGEL 6.140 euro. Più economico di qualsiasi avvocato.
In definitiva, purtroppo è un'idea sbagliata che le aziende debbano temere gravi conseguenze da parte delle autorità di protezione dei dati per aver violato il diritto fondamentale alla protezione dei dati.
3. La pubblicità deve essere personalizzata, altrimenti nessuno la comprerebbe e l'industria pubblicitaria andrebbe in bancarotta!
L'affermazione dell'industria pubblicitaria secondo cui ha bisogno di tracciare l'utente su Internet e di affliggerlo con banner ingannevoli a forma di cookie per rimanere in attività è più che discutibile. In realtà, esistono molti modi alternativi per monetizzare un sito web, come la pubblicità contestuale, l'inserimento di prodotti, i contenuti a pagamento o i modelli freemium in cui alcuni contenuti sono disponibili solo a pagamento.
Anche gli studi scientifici sollevano dubbi sulla redditività - e quindi sulla necessità - dell'ad tracking, come sostenuto dall'industria pubblicitaria. Uno studio statunitense del 2019 dimostra, ad esempio, che l'utilizzo dei dati personali aumenta le entrate di un sito web solo del 4% circa. "Ciò corrisponde a un aumento medio di 0,00008 dollari per pubblicità", conclude lo studio.
Ma ci sono esempi ancora più estremi: L'emittente pubblica olandese NPO ha addirittura registrato un aumento delle entrate una volta abbandonata la pubblicità mirata.
Ciò dimostra che esistono soluzioni alternative alle aziende che vi tracciano su Internet.
4. Il GDPR interferisce con la libertà d'impresa
Non è così. La libertà d'impresa, come stabilito nella Carta dei diritti fondamentali dell'UE, afferma chiaramente che si ha la "libertà d'impresa nel rispetto del diritto dell'Unione e delle legislazioni e prassi nazionali".
Ciò significa che le aziende devono seguire la legge, indipendentemente dal fatto che si tratti di tassazione, protezione dell'ambiente o protezione dei dati e della privacy. Non esiste un diritto fondamentale di condurre un'attività commerciale che prevalga sugli obblighi legali di un'azienda, anche se molte aziende lo vorrebbero.
Inoltre, la libertà d'impresa significa che si può esercitare un'attività economica. Siete liberi di diventare farmacisti, per esempio, e non è necessario che uno dei vostri genitori sia stato farmacista. Naturalmente, anche un farmacista deve rispettare la legge. Lostesso vale per le grandi aziende tecnologiche e di altro tipo.
5. Le persone abusano del diritto di accesso e inondano le aziende di richieste di accesso
Nonostante il diritto di accesso previsto dall'articolo 15 del GDPR sia un elemento essenziale per mantenere almeno un po' di controllo sui propri dati personali nell'era digitale, alcune aziende si stanno opponendo, sostenendo che richiederebbe uno "sforzo sproporzionato". Tali affermazioni della lobby sono state persino inserite in un documento di posizione tedesco, in cui le richieste di accesso sono state descritte come sempre più "abusate".
Tuttavia, la realtà non supporta nemmeno questa affermazione. La legge contiene già delle salvaguardie per prevenire gli abusi: Ai sensi dell'articolo 12, paragrafo 5, del GDPR, le aziende possono addebitare una tariffa ragionevole o addirittura respingere le richieste se "sono manifestamente infondate o eccessive, in particolare a causa del loro carattere ripetitivo".
Inoltre, la stragrande maggioranza delle aziende che operano nell'UE non lavora con un'intensità di dati tale da ricevere molte richieste di accesso. Nell'ambito di un'indagine noyb (di prossima pubblicazione), il 73,3% dei responsabili della protezione dei dati (DPO) ha dichiarato che il diritto di accesso crea poco o nulla lavoro. Al contrario, le aziende più grandi spesso si limitano a ignorare le richieste di accesso dei consumatori o a trattenere parti delle informazioni a cui i cittadini hanno diritto per legge. Il broker pubblicitario Xandr (una sussidiaria di Microsoft), ad esempio, ha riportato un sorprendente tasso di risposta dello 0% alle richieste di accesso e cancellazione nel 2022.
Inoltre, la maggior parte delle grandi aziende tecnologiche ha ormai implementato una sorta di strumento di automazione che consente loro di soddisfare le richieste di accesso al GDPR su scala di massa, di solito tramite uno strumento "scarica le tue informazioni", ma non fornisce comunque tutti i dati.
In altre parole: le aziende hanno i mezzi per gestire le richieste di accesso senza un carico di lavoro significativo. Solo che non vogliono darvi accesso alle informazioni elaborate.
6. Un'idea sbagliata che ha comportato multe per miliardi di euro, noyb deve essere ricca!
Naturalmente, la noyb non riceve nessuna delle multe imposte dalle autorità di protezione dei dati. Quando un'autorità di protezione dei dati raccoglie multe, il denaro va al bilancio statale del Paese in cui ha sede l'autorità (o in Spagna direttamente all'autorità di protezione dei dati).
il lavoro di noyb per un futuro più rispettoso della privacy è possibile solo grazie ai nostri 5.400 membri sostenitori. Se anche voi volete contribuire alla nostra causa, potete saperne di più sulle nostre adesioni qui. Potete anche raggiungerci all'indirizzo info@noyb.eu se avete domande.
