Va innanzitutto chiarito che, sebbene ci piacerebbe avere il pieno controllo della nostra identità digitale, in realtà siamo ben lungi dal possederne perimetri e segreti.

Ciò che ognuno di noi decide di condividere è solo la superficie di un substrato vastissimo: quando decidiamo cosa e come condividere i nostri dati, stiamo solo al primo di tre stadi di "condivisione": mi spiego meglio.

Il primo strato è quello che possiamo controllare e consiste in quello che decidiamo di rendere visibile e che trasmettiamo di noi stessi attraverso app e social; sto parlando di foto, siti web visitati, "mi piace", test, informazioni personali, amici.

Il secondo strato è invece dedotto da analisi comportamentali: sono i metadati che, incrociando i tuoi spostamenti, le tue abitudini e le tue compagnie, deducono la tua vita personale e professionale, i tuoi gusti, i tuoi passatempi.

Il terzo strato è l'incrocio dei primi due, ed è fuori da ogni controllo, in quanto i tuoi dati vengono analizzati da algoritmi e confrontati con i dati di altri utenti per significative correlazioni statistiche. Questo livello trae conclusioni non solo su ciò che facciamo, ma su chi siamo, basandosi sul nostro comportamento e sui metadati. Ne emergono, pertanto, ossessioni, malattie, punti deboli, QI, stato psicometrico, dipendenze, cioè tutto quello che avremmo paura a rivelare persino ad un amico o ad un fidanzato, e che potrebbe anche non corrispondere minimamente alla realtà!

A noi utenti potrebbe non piacere o potremmo non riconoscerci nei profili che sono stati creati per noi.

Per riguadagnare il pieno controllo sui nostri profili, si potrebbero convincere coloro che fanno la profilazione a cambiare il loro approccio. Invece di nascondere questi dati, potrebbero diventare più trasparenti e invece di intuire e indovinare, potrebbero chiedere.

Questo è il percorso iniziato dal GDPR, sebbene ancora non sia arrivato cosi in profondità da darci ancora le armi necessarie per poter combattere ad armi pari gli algoritmi del marketing.

Forse l'occasione potrà venirci dall'entrata in vigore dell'"ePR", dal nuovo Regolamento privacy. Vediamo cos'è.

Anzitutto è stato stabilito, come nel caso di quello vigente, di creare non una Direttiva, ma un Regolamento, che non abbisogna di un decreto di attuazione e che è direttamente applicabile a tutti gli Stati Membri della UE. Tale Regolamento, quando sarà attuato, varrà come lex specialis rispetto all'attuale GDPR, lex generale; in sostanza derogherà per alcune parti all'attuale, che rimarrà vincolante per tutto il resto.

Quello che l'"ePR" andrà a regolamentare, saranno tutte le "buone maniere" per rispettare i dati personali, nei servizi di comunicazione elettronica, quali e-mail, messaggistica istantanea, o il voice-over-Ip, definiti servizi OTT, cioè over-the-top. La necessità di adeguare l'attuale legislazione al progresso tecnologico, e ai nuovi mezzi di comunicazione, ha incontrato qualche barriera, soprattutto da parte di quelle aziende di marketing, che su queste stesse tecniche fondano il proprio fatturato principale, e stiamo, logicamente parlando di milioni di euro. Per questo motivo, l'attuazione dei due Regolamenti, al principio, avrebbe dovuto avvenire quasi simultaneamente, ma in Commissione si sono proposte modifiche da apportare, che hanno fatto slittare la messa in atto, probabilmente, a quest'anno, il 2019.

C'è chi ritiene che i servizi OTT non siano equiparabili a quelli telco, cui fa riferimento il GDPR, e questo comporterà una "sonora" limitazione al trattamento dei dati, ragion per cui, i dati (nell'utilizzo degli OTT) non potranno più essere trattati per un legittimo interesse del titolare!

Stessa "morsa" di controllo potrebbe riguardare le cd "internet of things", cioè tutta la tecnologia automatica, che crea un flusso di informazioni e dati personali dalla cosa al fabbricante e/o manutentore, per ragioni di usabilità, aggiornamento e sicurezza. Limitare tale flusso renderebbe meno efficace la tecnologia in questione, meno appetibile, creando, pertanto, minori fatturati.

Ulteriore punto, all'ordine dell'ePR, sarebbero i cookies, cioè, al fine di frenare il prolificare di cookie banner a entrata sito, si potrebbe fornire agli utenti la chiave per gestire, in autonomia, i cookies di terze parti, tramite le impostazioni del browser.

Per capire esattamente la correlazione che potrebbe crearsi tra i due Regolamenti, basta leggere l'art. 95 del GDPR:

"Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell'Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE."

Sostanzialmente se il GDPR si basa sul principio del "Privacy by Default" (necessità di difendere e tutelare la vita privata), l'ePR potrebbe imporre la regola del "Privacy by Design"(si mira a proteggere i dati fin dalla progettazione degli strumenti che dovranno farne uso), creando sistemi muniti, obbligatoriamente, di crittografia end-to-end, non accessibile neppure ai Governi.

Il GDPR e la sua logica offrono agli utenti un buon punto di partenza per negoziare il nuovo bilanciamento di potere nel settore dei dati. Ma ciò che renderà possibili ulteriori transazioni in futuro è creare fiducia. Finché consideriamo nemici i colossi del marketing, o loro ci considerano una risorsa sfruttabile, non c'è spazio per una conversazione aperta.

È quindi giunto il momento di trattare gli utenti come giocatori attivi, non partecipanti passivi. Con il GDPR e le nuove società che sviluppano il proprio business in termini di fiducia e trasparenza, i nuovi modelli di marketing dei contenuti online, diventano realistici.

Il confronto potrà imboccare due strade alternative: o arrivare a un conflitto serrato, o cooperare per un futuro tecnologico all'insegna di rispetto e riservatezza, dove non si dirà agli utenti chi sono, ma si imparerà ad ascoltare quello che dicono.