E’ quantomeno dal noto “caso Snowden” scoppiato nel 2013 che il grande pubblico ha preso coscienza di quanto invasiva possa essere l’attività di sorveglianza di apparati governativi e di quale utilizzo, spesso ai limiti della legalità, da questi possa essere effettuato di dati personali degli utenti.

Proprio su questo piano si pone il modello sviluppato, a partire dal 2010, dalla Electronic Frontier Foundation – E.F.F. (organizzazione internazionale non-profit che opera in difesa delle libertà civili nel mondo digitale) che ha come obiettivo precipuo quello analizzare e valutare la capacità delle organizzazioni che svolgono trattamenti (in realtà al momento l’indagine è limitata alle più importanti aziende internazionali del mondo dell’IT) di proteggere i dati degli utenti dalle “intrusioni” effettuate, in particolare, dalle autorità governative.

Il target d’inchiesta è già esplicito nella denominazione data al lavoro Who has your back – Online Service Providers’ Privacy and Transparency Practices Regarding Government Access to User Data, ma nelle note accompagnatorie è la stessa EFF ad evidenziare come l’esigenza di monitorare simili attività governative abbia avuto un forte impulso in seguito ai noti fatti del caso Snowden/NSA che hanno svelato l’esistenza di programmi di sorveglianza di massa del governo statunitense e britannico, e come da allora il fenomeno non si sia affatto attenuato, tenuto conto, ad esempio, che nel solo anno 2016 il Governo degli Stati Uniti ha rivolto a Facebook circa 49.868 richieste di informazioni su dati di iscritti e circa 27.850 a Google relative ai dati di utilizzo del motore di ricerca da parte degli utenti.

Le considerazioni conclusive svolte da EFF lasciano margine a valutazioni positive e, nel caso proseguisse il trend che pare essersi avviato, lasciano ben sperare per il futuro. In particolare, si è riscontrato un chiaro incremento del grado di attenzione posto dalle aziende monitorate in ordine alla tutela della sfera personale degli utenti e, in special modo, alla protezione dei dati dall’attività conoscitiva di apparati governativi posta in assenza di ogni requisito di legittimità.

Le rilevazioni effettuate hanno posto il focus su alcuni indicatori della capacità, in generale, dei Titolari di trattamento di porsi ad argine di attività lesive degli interessati, verificando quanti tra i player oggetto di analisi:

  • prevedano che gli utenti siano informati delle richieste di dati avanzate da organismi governativi;
  • adottino best practices riconosciute nel settore di riferimento;
  • abbiano sviluppato pratiche mirate ad impedire la cessione incontrollata di dati a terzi, ad esempio attraverso tools implementate da propri sviluppatori;
  • si attengano a specifiche linee guida rese pubbliche;
  • pongano attività di contrasto e opposizione alle richieste di NSL (le National Security Letter identificano le richieste di informazioni per la sicurezza nazionale) e ai gag orders (“ordini di bavaglio”: cioè l’imposizione del divieto di riferire delle richieste governative di accesso ai dati) non sempre riconosciuti come legittimi.

Rispetto agli scenari configuratisi negli anni scorsi, è confortante poter prendere atto del fatto che organizzazioni e/o servizi come Adobe, Dropbox, Pinterest, Uber o WordPress abbiano mostrato reale e concreta attenzione alla tematica trattata, raggiungendo il massimo della valutazione positiva su ognuno dei singoli aspetti esaminati.

Per converso, non si può ignorare come alcuni provider di servizi mainstream a livello globale, titolari di trattamenti operati su vasta scala, siano ancora in ritardo e lontani dall’aver adottato quelle misure mirate a garantire maggiore tutela agli utenti contro attività lesive di diritti fondamentali poste in essere da organizzazioni governative.

Ad esempio non risulta che Airbnb abbia implementato alcun sistema di avviso agli utenti in caso di richieste governative dei dati, come pure non risulta si sia dotata (procedura in primis adottata da Twitter) di specifica regolamentazione atta ad impedire che i propri sviluppatori di API possano creare tools che si prestino a possibili attività sorveglianza governativa. Amazon e Whatsapp, in aggiunta, non hanno ancora adottato pratiche per garantire resistenza e se del caso opposizione a richieste con NSL e gag orders.

Il quadro complessivo restituito dalla Electronic Frontier Foundation è chiaro: nonostante i segnali incoraggianti, non è ancora sufficientemente diffusa la consapevolezza del fatto che la piena tutela dei dati personali è il traguardo intermedio imprescindibile perché possa giungersi ad una compiuta difesa delle libertà civili in rete.