Un nuovo episodio di “A little privacy, please!” con gli Avvocati Luca Bolognini e Giorgio Trono per fare chiarezza su informative e policy inintelligibili
Spesso i testi che dovrebbero spiegarci come vengono trattati i nostri dati non sono molto intelligibili né trasparenti. Ma c’è di più. Essendo molto lunghi, per essere letti nela loro interezza questi testi necessiterebbero di un tempo non indifferente.
I nostri Sergio Aracu e Laura Liguori approfondiscono l’argomento della trasparenza, intelligibilità e accessibilità delle informative in questa nuova puntata di A little privacy, please!, in compagnia degli Avvocati Luca Bolognini e Giorgio Trono.
Laura Liguori dà il via all’episodio citando Giovanni Buttarelli, secondo cui già nel 2016 ci sarebbero voluti 26 giorni lavorativi per leggere le informative di tutte le app che utilizzavamo in media. Da allora, il problema non può che essere peggiorato. Di qui la scelta di una conversazione a quattro per capire come si è arrivati a questa situazione e se c’è un’uscita di emergenza.
Ascolta anche L’arte della privacy: newborn data e riservatezza domestica in chiave pop
Il primo degli ospiti a prendere la parola è Luca Bolognini, che racconta una delle esperienze di cui è stato promotore, nata proprio per reagire all’incomprensibilità del linguaggio della privacy: l’informativa a fumetti.
“Con l’Istituto Italiano per la Privacy e la Valorizzazione dei Dati abbiamo lanciato anni fa un motore di generazione gratuito per informative a fumetti”, spiega Bolognini. Alla base c’era un’idea semplice quanto radicale: inserendo le informazioni essenziali, il sistema produceva una sorta di storiella che sostituiva il classico testo in legalese. “È ancora disponibile ed è ancora tanto utilizzato, soprattutto dalle scuole”, aggiunge.
Più di recente, lo stesso Istituto ha sviluppato un tool gratuito basato sull’intelligenza artificiale – in evoluzione grazie a una collaborazione con OpenAI – che permette di farsi spiegare in modo sintetico informative e policy e di capire come esercitare i propri diritti verso uno specifico titolare del trattamento. Un esperimento concreto per provare a ridurre quel lavoro di lettura infinito evocato da Buttarelli.
Leggi anche: La cultura della protezione dei dati nelle attività del Garante della privacy
Bolognini lancia anche una provocazione: il problema non sono tanto le informative che realizziamo, quanto come sono state concepite a monte. Gli articoli 12, 13 e 14 del GDPR, infatti, costringono a riversare negli avvisi una quantità di informazioni tale da renderli ingestibili. Ne derivano testi davanti ai quali viene da chiedersi: stiamo parlando agli utenti o alle autorità di controllo?
Sergio Aracu porta l’esempio concreto di un’informativa a fumetti fatta stampare ed esposta negli uffici di un’azienda: bellissima, ma comunque grande quanto una parete intera. Anche limitandosi alle informazioni minime previste dall’articolo 13, infatti, il risultato resta un testo infinito, che sia a fumetti oppure no.
Entra in gioco a questo punto una distinzione cruciale, quella tra informativa (notice) e Privacy Policy. La prima dovrebbe contenere solo ciò che serve davvero all’utente per capire cosa sta accadendo ai suoi dati; la seconda può essere il documento enciclopedico. Oggi, invece, “trasformiamo l’informativa in una policy, allungando brodi infiniti che nessuno leggerà”, osserva Aracu.
Ascolta anche: Il diritto alla privacy degli ultimi
Giorgio Trono sposta il discorso sul piano delle soluzioni già disponibili, ricordando che altri Garanti in Europa hanno indicato buone pratiche rimaste in gran parte inimitate: informative stratificate (prima l’essenziale, poi gli approfondimenti), comunicazione just in time durante la navigazione, e soprattutto il coinvolgimento di designer accanto ai giuristi.
In Francia, per esempio, il Garante della privacy ha creato un vero e proprio laboratorio in cui lavorano insieme legali e designer. In Inghilterra l’ICO aveva pubblicato già qualche anno fa esempi concreti di informative a più livelli. L’obiettivo è semplice: dare alle persone le informazioni giuste, nel momento in cui sono necessarie e nel modo in cui riescono davvero a capirle.
Non è solo una questione di diritti, aggiunge Trono, perché la trasparenza conviene anche alle aziende. Le ricerche mostrano che quando un’organizzazione spiega chiaramente perché chiede i dati e che vantaggio ne trae l’utente, le persone sono più propense a concederli.
Ascolta anche: La privacy non è neutra
I nostri affrontano poi uno dei punti più controversi del GDPR, ovvero il riferimento alle icone come strumento di trasparenza. Cosa succede, però, quando un’icona non è universalmente riconosciuta?
“Se vi mostro le icone del Garante tedesco, nessuno sa dirmi cosa significano”, osserva Aracu. Trono concorda: senza uno standard condiviso, le icone rischiano di creare confusione anziché chiarezza. In California, racconta, un’icona imposta per segnalare la vendita dei dati è stata bocciata dopo test con centinaia di utenti ed è stata sostituita con una versione progettata scientificamente.
L’unico caso di successo resta quello dell’icona della videosorveglianza: un simbolo brutto, ma inequivocabile. “Funziona perché è semplice, una telecamera che ti guarda”, dice Bolognini. Ma negli scenari complessi di oggi – IoT, sensori, profilazioni invisibili – quella semplicità è irraggiungibile. Da qui la sua proposta: smettere di parlare di icone e iniziare a parlare di segnali. E, soprattutto, insegnare i fondamentali, i basics, della “circolazione stradale digitale”, fin dalla scuola.
Ascolta anche Age Verification: indispensabile avere regole condivise
La parte più interessante del confronto arriva quando si parla di accessibilità. Aracu racconta l’esperienza di un laboratorio fatto con persone non vedenti. Persino un fumetto, per quanto ben disegnato, non è uno strumento leggibile da uno screen reader. Lo stesso discorso vale per le icone. Le informative lunghissime che spesso decidiamo di non leggere, diventano per un non vedente file audio di 8-9 minuti che nessuno ha la pazienza di ascoltare.
“Una persona non vedente mi ha detto una volta ‘io firmo alla cieca’”, conferma Trono. In quell’occasione la platea aveva sorriso, ma più che di una battuta si trattava di una denuncia.
La trasparenza, se finisce con l’escludere qualcuno, smette di essere tale. La responsabilità non è solo del legislatore: anche giuristi e aziende devono iniziare a scrivere testi più brevi e più accessibili, magari facendoseli prima leggere da uno screen reader, perché un’informativa che nessuno riesce a capire è un fallimento democratico.
S. C.
