Negli ultimi anni, la tutela dei dati personali online è diventata una delle questioni centrali nel dibattito pubblico europeo. Il Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018, ha introdotto diritti chiari e strumenti di tutela senza precedenti per i cittadini dell’Unione Europea. Eppure, le recenti denunce contro tre delle principali piattaforme digitali di origine cinese – TikTok, AliExpress e WeChat – sollevano forti preoccupazioni sulla reale applicazione di queste tutele: numerosi utenti si sono scontrati con la totale mancanza di trasparenza, la consegna di dati incompleti o addirittura il silenzio assoluto di fronte alle loro richieste di accesso.
Le accuse: cosa è successo
Associazioni per la tutela della privacy digitali, tra cui l’importante organizzazione noyb (“None of Your Business”), hanno presentato formali reclami alle autorità di protezione dei dati di Belgio, Grecia e Paesi Bassi contro TikTok, AliExpress e WeChat. Il cuore delle accuse è la sistematica violazione dell’articolo 15 del GDPR, che conferisce a ogni cittadino europeo il diritto fondamentale di sapere quali dati personali vengano raccolti, come vengano usati, a chi vengano comunicati e per quanto tempo siano conservati.
Nel dettaglio:
- TikTok avrebbe consegnato ai richiedenti file di dati grezzi, frammentati e spesso incomprensibili, privi di informazioni fondamentali come i destinatari dei dati o dettagli sulle modalità di trattamento.
- AliExpress si è limitata a fornire un unico file corrotto, accessibile una sola volta, ignorando altresì ogni richiesta successiva di chiarimenti o informazioni aggiuntive.
- WeChat ha scelto la strada del silenzio: secondo i reclami, non ha nemmeno risposto alle richieste di accesso inviate dagli utenti, oppure ha fornito generiche risposte standard senza consegnare i dati effettivi.
Al contrario, altre piattaforme dello stesso universo tecnologico – come SHEIN, Temu e Xiaomi – pur con ritardo, hanno fornito ai richiedenti dati personali in forma almeno minima e alcune spiegazioni aggiuntive.
GDPR: diritti chiari, regole rigide
L’articolo 15 del GDPR stabilisce che ogni cittadino europeo:
- Ha diritto a ricevere una copia completa, intellegibile e gratuita dei propri dati personali detenuti da qualsiasi azienda che operi nell’Unione.
- Deve sapere con precisione perché quei dati vengono raccolti, come sono trattati e da chi potrebbero essere visionati.
- Può chiedere chiarimenti, rettifiche, cancellazioni o limitazioni al trattamento degli stessi dati, secondo una tempistica rigorosa (risposta entro 1 mese dalla richiesta, salvo proroghe motivate).
In caso di mancata risposta o di risposte insoddisfacenti/incomplete, l’utente può rivolgersi all’autorità nazionale per la protezione dei dati personali, che può avviare indagini e infliggere sanzioni fino al 4% del fatturato mondiale annuo dell’azienda.
Le conseguenze e i rischi delle violazioni
Le pratiche evidenziate dai reclami dimostrano che l’opacità nella gestione dei dati personali è ancora profondamente radicata, specialmente tra alcune multinazionali tecnologiche asiatiche:
- Mancanza di trasparenza: L’impossibilità per gli utenti di avere pieno controllo sulle proprie informazioni mette a rischio la propria privacy e la sicurezza digitale.
- Potenziali trasferimenti illeciti di dati: Le indagini sono particolarmente severe su piattaforme che potrebbero trasferire dati verso la Cina, dove i livelli di tutela sono giudicati non adeguati dallo standard UE.
- Debolezza dell’autotutela individuale: Se anche aziende sottoposte a pressioni pubbliche non rispettano i diritti degli utenti, la fiducia nell’efficacia del GDPR rischia di essere erosa.
Cosa possono (e devono) fare gli utenti europei
Anche se le autorità e le associazioni per la privacy stanno agendo, i cittadini possono e devono giocare un ruolo attivo per difendere i propri diritti digitali. Ecco alcuni suggerimenti e consigli pratici:
1. Esercita il tuo diritto di accesso
- Richiedi regolarmente l’accesso ai tuoi dati presso tutti i principali servizi digitali che utilizzi, specialmente quelli extra-UE.
- Compila moduli o invia richieste dirette attraverso i canali ufficiali indicati dalla piattaforma (preferibilmente via email certificata o sistema dedicato).
- Conserva sempre copia delle richieste inviate e delle risposte ricevute.
2. Controlla e gestisci le impostazioni di privacy
- Rivedi periodicamente nelle impostazioni una panoramica sulle informazioni cedute, limitando al minimo i dati opzionali e le autorizzazioni non essenziali.
- Disattiva sincronizzazioni eccessive e limitare il tracciamento pubblicitario, laddove consentito.
- Ritira il consenso a trattamenti non necessari.
3. Adotta strumenti di tutela aggiuntivi
- Utilizza browser e software di navigazione che offrano maggiore protezione della privacy, riducendo il tracciamento.
- Installa estensioni che bloccano i cookie di terze parti e rilevano tentativi di raccolta dati non necessari.
- Considera l’uso di VPN affidabili per mascherare la tua posizione geografica.
4. Rivolgiti alle autorità competenti in caso di violazioni
- Se la piattaforma non risponde, fornisce dati incompleti, o non rispetta i tempi imposti dal GDPR, puoi e devi segnalare la violazione al tuo Garante nazionale per la privacy.
- Puoi utilizzare moduli online forniti dalle autorità, documentando tutte le comunicazioni avute con l’azienda.
- L’intervento delle autorità può portare all’apertura di indagini, a ordinanze correttive e (in caso di gravissime infrazioni) a pesanti sanzioni.
5. Informati ed educa chi ti è vicino
- Seguendo fonti affidabili, approfondisci i tuoi diritti digitali e sensibilizza amici, parenti e minori sull’importanza della privacy online.
- Partecipa a gruppi o associazioni locali che promuovono la tutela dei dati personali.
Quali sanzioni rischiano le piattaforme?
In base all’articolo 83 del GDPR, le sanzioni amministrative possono raggiungere il 4% del fatturato globale annuo dell’azienda. Nel caso di AliExpress, questa cifra potrebbe superare i 147 milioni di euro. Tuttavia, la reale efficacia delle sanzioni dipenderà dalla determinazione con cui le autorità di controllo applicheranno le misure e dalla cooperazione (o meno) con le istituzioni cinesi.
Una battaglia aperta per i diritti digitali
Il caso di TikTok, AliExpress e WeChat rappresenta solo la punta dell’iceberg: il controllo sui dati personali è ancora lontano dall’essere garantito, e la trasparenza promessa dalle grandi piattaforme rimane spesso un miraggio. Il GDPR costituisce un modello di eccellenza normativa a livello globale, ma la sua applicazione richiede vigilanza, attivismo e una maggiore consapevolezza diffusa.
Solo con una strategia combinata – richiesta attiva da parte degli utenti, intervento deciso delle autorità e sanzioni concrete – sarà possibile ottenere rispetto per i diritti digitali e garantire che ogni cittadino europeo possa davvero decidere a chi affidare i propri dati.
