Privacy policy su internet: punto di svolta o... fregatura?
Facciamo il punto sulla nuova Google policy e la Data Privacy Framework
Un po’ in sordina, forse perché siamo in piena estate e per molti è tempo di vacanze, o forse perché l’argomento è delicato e non di semplice comprensione, nei primi dieci giorni di luglio ci sono stati due eventi importanti, due cambiamenti alle “regole del web” che, secondo noi, andrebbero maggiormente attenzionati. Con questo contributo divulgativo proveremo, in tal senso, a fare la nostra parte.
Le date in questione sono il 1° e il 10 luglio. Ma andiamo con ordine.
1 luglio 2023
Partiamo dal 1° luglio, giorno in cui Google ha improvvisamente modificato le proprie “privacy policy” facendole entrare in vigore proprio dal 10 luglio.
Si tratta di una novità davvero importante perché con questa nuova policy Google fa una dichiarazione cruciale che potrebbe condizionare non poco il web negli anni a venire. Afferma che le informazioni pubblicamente disponibili con cui entra in contatto attraverso tutti i suoi servizi possono essere utilizzate per sviluppare nuovi prodotti e tecnologie, in particolare per addestrare i suoi sistemi di intelligenza artificiale.
In sostanza utilizzerà, anzi già utilizza (nel momento in cui scriviamo questo articolo abbiamo superato il 10 luglio) il “data scraping”, processo che consiste nel raccogliere in modo automatico informazioni dalle pagine web trasformandole in un formato strutturato, con lo scopo di eseguire attività di machine learning per Google Bard (da pochissimo rilasciato anche in Italia, ne abbiamo parlato anche noi in questo social post), Cloud AI e Google Translate.
Qual è allora il problema? Sebbene tutto ciò porterà, da un lato, sicuramente a un miglioramento della customer satisfation dei suoi utenti, i quali troveranno ciò che cercano o di cui necessitano ancor prima e meglio, dall’altro lato renderà più difficoltosa e problematica la monetizzazione da parte dei creator, ossia coloro che le informazioni da cui l’AI di Google attinge le creano, spesso investendo tanto tempo e fatica, ogni giorno.
Nonostante la nuova policy si riferisca alle informazioni pubblicamente disponibili, non dice come Google intenda evitare che materiali protetti da copyright finiscano all’interno del suo sistema di machine learning. Al momento pare infatti che non esista un modo per dire agli “spider di Google” – software che scandagliano la rete alla ricerca di pagine web da indicizzare – quali di queste pagine il titolare dei diritti NON desidera che vengano usate da Google per addestrare la sua AI (diversamente da quelle che si desidera non far elencare nelle SERP, per le quali è previsto l’uso del file robot.txt nella web root).
Preso atto di questo problema, che potrebbe mettere in forte imbarazzo chi produce contenuti (si pensi a un blog come il nostro che, ipoteticamente, alla domanda su Bard: “La nuova policy di Google del 1° luglio 2023 tutela i creator?” potrebbe fornire una risposta negativa senza però veder riconoscita alcuna citazione, quindi remunerazione), sarà interessante vedere come questo approccio si svilupperà in futuro con le varie norme globali come il GDPR, la normativa che protegge i cittadini della UE dall’uso improprio dei loro dati senza un esplicito consenso.
E forse è un caso (o forse no?) che proprio il 10 luglio, seconda data su cui vogliamo soffermarci con questo articolo, sia un’altra giornata chiave di questo mese.
10 luglio 2023
Già, perché proprio il 10 luglio la Commissione Europea ha finalmente adottato un’importante decisione circa l’adeguatezza del quadro normativo UE-USA in materia di data privacy. In sostanza questo giorno segna l’arrivo del tanto sospirato accordo grazie al quale le aziende statunitensi potranno ricevere in modo sicuro i dati personali dei cittadini europei attraverso l’implementazione di garanzie vincolanti.
Inoltre è stato istituito un Tribunale per il riesame al fine di proteggerli in caso di dispute, a cui si aggiungono revisioni periodiche in collaborazione con le autorità competenti.
Come si legge sul sito di Iubenda, tra i fornitori di ESSE I e tra i maggiori player che forniscono soluzioni per rendere siti e applicazioni conformi alla legge (Iubenda, oltretutto, lo fa in più lingue e legislazioni), negli ultimi tre anni l’utilizzo di Google Analytics e di altri servizi che implicano il trasferimento di dati personali negli Stati Uniti era stato vietato creando incertezze sulle norme e problemi di conformità per gli utenti, poiché mancava un quadro normativo specifico per regolare tali trasferimenti.
La recente decisione ha finalmente fatto chiarezza sulle modalità di trasferimento dei dati. In pratica dal 10 luglio i fornitori di servizi con sede negli Stati Uniti, quindi anche Google, possono riprendere il flusso dei dati personali ma – attenzione! – prima dovranno ottenere una certificazione conforme al DPF UE-USA.
Sembra quindi esserci una base legale per il trasferimento dei dati da Europa a USA e procedure chiare per i fornitori di servizi che garantiscano la conformità alle norme sulla privacy dell’UE.
Al momento gira una domanda gettonatissima tra gli addetti ai lavori: "si può ritornare a usare Google Analytics senza rischi?".
La risposta di Iubenda: se i fornitori di servizi interessati completeranno a monte il processo di autocertificazione, gli amministratori dei siti potranno riprendere l’uso di questi strumenti.
Per Google Analytics sembrerebbe che tale processo sia in corso, non resta quindi che attendere ulteriori sviluppi.
Il dubbio permane
Com’è possibile che Google abbia dichiarato di usare i dati forniti dai creator per la sua AI senza alcuna possibilità di vietarlo?
A noi sembra una violazione delle più elementari norme etiche in fatto di privacy. E a te?
Facci sapere che ne pensi scrivendoci o, se preferisci, interagendo con noi sul social post di questo articolo.