Si chiama DROP, acronimo di Delete Request and Opt-Out Platform ed è la soluzione tecno-giuridica identificata in California con il Delete Act per consegnare, finalmente, ai cittadini un controllo più effettivo sui propri dati personali e sottrarli a un mercato globale che ne fa ciò che vuole incurante della volontà degli interessati.
Come funziona Drop
L’idea è semplice. Un modulo online da compilare – simile a quello del nostro registro delle opposizioni per il contrasto al telemarketing – e attraverso il quale dire no a tutti i data broker rispetto alla raccolta, l’aggregazione e alla commercializzazione dei propri dati personali.
Niente più bisogno, quindi, di bussare alla porta dei singoli data broker e chiedere loro singolarmente di interrompere ogni eventuale trattamento dei dati personali, ma uno strumento centralizzato che almeno in teoria dovrebbe garantire lo stesso risultato verso tutti i data broker che operano nel Paese. Il sistema, in funzione dallo scorso primo gennaio, dovrebbe – se funzionasse – cominciare a limitare il trattamento dei dati personali di chi eserciterà l’opt-out a cominciare dal prossimo primo agosto.
Il Governo californiano, tuttavia, mette le mani avanti – come avremmo dovuto, forse, fare anche noi in Italia con il registro delle opposizioni dall’inizio – e non promette che DROP risolva definitivamente nessun problema: le cose probabilmente andranno meglio ma sfortunatamente il sistema ha dei limiti insuperabili. E si tratta, sostanzialmente, degli stessi limiti che affliggono, da anni, il registro delle opposizioni di casa nostra.
Leggi anche: Cari signori del web made in USA, la multa da 14 milioni a Cloudflare non è un attacco alla libertà di Internet
Il primo è che DROP funzionerà con i data broker onesti e cioè con quelli che decideranno di rispettare le regole, “agganciarsi” alla piattaforma, tener conto delle manifestazioni di volontà negativa degli interessati californiani. Però i data broker non sono tutti onesti e tutti virtuosi proprio come non lo sono i call center e gli imprenditori che fanno telemarketing a casa nostra. Facile, quindi, attendersi che le cose vadano esattamente come sono andate da noi. Con le speranze di milioni di interessati che vorrebbero veder i loro dati personali sottratti al mercato frustrate da frotte di disonesti che continueranno a trattarli incuranti delle nuove regole e di DROP.
Certo, proprio come da noi, per chi non rispetta le regole ci saranno le sanzioni ma, sfortunatamente, in California come in Italia, garantirne l’irrogazione diffusa sarà come provare a svuotare il mare con il secchiello perché furbetti e pirati sono sempre di più di vigilanti e garanti. E non ci saranno solo i disonesti a frustrare le speranze degli interessati. Ci saranno anche i data broker non stabiliti e non operanti direttamente in California che, pure, raccolgono, aggregano e vendono i dati, anche dei cittadini californiani. A loro, infatti, le nuove regole non si applicheranno. E, però, guai a abbandonarsi al disfattismo.
Leggi anche: Guido Scorza (Garante Privacy): «Vi racconto perché abbiamo ordinato il blocco di DeepSeek»
In DROP c’è tanto di buono e al quale vale la pena guardare. Innanzitutto, in generale, l’idea che le regole da sole non bastano più e vanno accompagnate da strumenti tecnologici capaci, almeno in potenza, di garantirne effettività. È sempre più tempo di passare dai codici al codice: scrivere la legge e tradurla in bit, in linee di codice, in strumenti tecnologici capaci di garantirne, per quanto possibile, effettività.
Ma non basta. Perché data broker a parte, l’idea alla base di DROP e cioè quella di consegnare agli interessati uno strumento effettivo di controllo, almeno potenziale, sul trattamento da parte di terzi dei propri dati personali, potrebbe, forse, trovare spazio anche nella riforma delle regole europee sulla protezione dei dati personali nella quale non sarebbe sbagliato pensare a strumenti – sul mercato ne esistono già diversi – che consentano agli interessati, attraverso interfacce semplici, trasparenti e usabili, di esercitare i loro diritti verso una pluralità di titolari del trattamento senza dover passare per le forche caudine interfacce, policy e form nascoste nelle piattaforme di questi ultimi.
Insomma, forse così come è auspicabile che le nuove regole semplifichino la vita agli imprenditori onesti – a cominciare dai piccoli e medi – che hanno legittimo bisogno di trattare dati personali per fare business, sarebbe auspicabile che la riforma semplificasse la vita anche agli interessati consentendo lodo di passare più facilmente dalle parole ai fatti, dai diritti al loro esercizio.