Io generalmente non perdo troppo tempo a verificare ogni volta tutta la pappardella sulla privacy che ogni sito ci appioppa. (Sì, anche le mie Notiziole hanno una pappardella sulla privacy, purtroppo è obbligatoria. Spero di averla preparata nella maniera meno intrusiva possibile, tanto non prendo nessun dato e i cookie servono solo al lettore se vuole commentare salvandosi i suoi dati). Diciamo che finché non mi vengono chiesti nome e altri dati, amen. So bene che incrociando tante fonti si può sapere troppo di me, ma l’alternativa è smettere direttamente di leggere. Anna invece controlla ogni volta cosa viene chiesto: mi è capitato così di scoprire che ormai la maggior parte dei siti mette come default la non accettazione dei dati… salvo quelli sul legittimo interesse. La cosa mi ha incuriosito, così mi sono messo a cercare qualcosa in più.
Innanzitutto, già la vecchia legge italiana sulla privacy aveva una zona grigia. Se per esempio non avevamo firmato alla banca il consenso al trattamento dei nostri dati per le operazioni di sportello, non potevamo in teoria nemmeno prelevare soldi al bancomat. Dopo un po’ di tentennamenti, si giunse al concetto di “consenso strumentale”. Se stai usando il bancomat per prelevare soldi, si suppone che tu stia dando il consenso per quella singola operazione, visto che altrimenti non potresti avere i soldi. Diciamo che probabilmente in fior di giurisprudenza la cosa sarebbe stata forse impugnabile, ma per una volta il buon senso aveva prevalso.
Stavolta invece la situazione mi pare meno chiara. Come spiegato qui, il GDPR elenca sei casi in cui possono essere trattati i dati personali: richieste contrattuali, obblighi legali, interessi vitali, pubblico interesse, consenso… e legittimo interesse. Le spiegazioni dei vari casi si trovano nei Considerando del regolamento GDPR; quelli che trattano il legittimo interesse sono i Considerando da 47 a 49. Il 49 parla di dati di traffico, il 48 del passaggio tra consociate, il 47 fa tutto un pippone che termina con “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.” E qui casca l’asino.
Ammetto di non aver seguito tutto l’iter di approvazione del regolamento GDPR, ma mi sa che questa frasetta sia stata infilata come cavallo di Troia. Di per sé, non significa nulla: quel “può” non dà nessun diritto e come spiega il sito itgovernance.eu citato sopra chiunque può fare un DSAR (data subject access request), e ottenere un record completo dei dati trattati e del motivo per cui sono stati raccolti. Peggio ancora: se noi non siamo d’accordo sul fatto che ci sia un legittimo interesse, è il gestore dei dati che deve dimostrare che è così. Certo, ci sono casi citati anche nel Regolamento che non danno dubbi: prevenzione di frodi, network security, verificare possibili azioni criminali o timori per la sicurezza pubblica. Ma non credo proprio che i consensi che ci sono chiesti rientrino in queste casistiche; lo fanno solo per venderti cose, confidando sul fatto che vedere la differenza tra “uso normale” e “legittimo interesse” ci faccia pensare che il secondo sia più o meno obbligatorio.
In definitiva, mi sa che abbia ragione Anna a togliere in modo certosino la spunta a tutti questi “usi legittimi”…
Qualche mese fa ho letto la “biografia” di Dante scritta da Alessandro Barbero, che si lamentava del fatto che nonostante ci siano molti documenti dell’epoca e che Dante era già molto apprezzato come poeta noi abbiamo pochissime notizie su di lui. Quella biografia parte da un secolo prima della nascita del poeta, per recuperare anche le poche notizie precedenti. Ma un quarto di secolo prima Giampaolo Dossena aveva già fatto lo stesso lavoro (Giampaolo Dossena, 
