Premessa e promessa: non sarà un fastidioso contenuto alla “Ve lo spiego io”, o qualcosa di più cringe.
Per chi segue la scuola TL,DR eccovi la privacy policy: https://vitruvian.asc27.com/privacy.
Buona lettura e vi evitate il wot che seguirà per documentare l’esperienza utente della privacy policy di Vitruvian. Che è in inglese ma grazie alla moderna tecnologia dei browser si può tradurre anche in italiano.
Iniziamo quello che sembra – e che forse è – un dissing da parte di un professionista della privacy che per l’ennesima volta vede la startup innovativa spendersi in ricerca, comunicazione, marketing, promozione…e infine si presenta agli utenti con una privacy policy che ha quel sapore di già letto, già visto e sembra un po’ messa lì nonostante la punchline iniziale del “we care about your privacy” o, come in questo caso:
Leggendola ho avuto il dubbio: ma siamo sicuri che sia quella giusta? E quindi ho voluto fare una controprova chiedendo direttamente a Vitruvian…
Bene ma non benissimo. Chiediamo in modo un po’ più diretto.
Ok, tutto meravigliosamente scintillante. Anzi: molto confortevole.
Purtroppo, la privacy policy è proprio quella del link indicato.
Ultima prova, si sa mai…
…bon, vònde. (trad. dal friulano: bene, basta).
Ci fidiamo che la privacy policy è quella di che si raggiunge dalla landing page di Vitruvian.
Quali dati vengono raccolti? L’occhio mi cade inevitabilmente qui:
in cui c’è un minimalismo comunque conforme al considerando 61 GDPR nel poter indicare i dati da fonte accessibile al pubblico (“Qualora non sia possibile comunicare all’interessato l’origine dei dati personali, perché sono state utilizzate varie fonti, dovrebbe essere fornita un’informazione di carattere generale.”), che bene o male è in armonia con l’ambito di comunicazione dei dati.
Definito, ma non dettagliato.
Che fa sorridere ma anche pensare, come direbbero i meme.
Fra la marmellata di basi giuridiche e la riduzione dei trasferimenti
Nell’indicare le basi giuridiche è fornita una marmellata (o misticanza, se amate il salato) delle stesse. Manca inoltre l’indicazione delle condizioni (indicate dall’art. 9 par. 2 GDPR) per cui sono svolte attività di trattamento dei dati di categorie particolari (quindi: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona).
Le basi legali sono messe in questo modo:
a cui corrisponde il testo inglese:
L’indicazione generica di più basi giuridiche il loro mescolamento come fosse una marmellata è un’altra pessima abitudine diffusa nella redazione delle privacy policy.
Alcune delle finalità dichiarate non trovano corrispondenza con le basi giuridiche indicate, mentre non sembrano indicati trattamenti che richiedono il consenso. Eppure c’è fra le basi giuridiche.
Per l’appunto: marmellata.
Sempre restando nell’ambito dell’analogia culinaria per i trasferimenti verso paesi terzi o organizzazioni internazionali invece riscontriamo un’altra prassi. Quella della riduzione.
In pratica si dice solo che i dati saranno trasferiti ma si sfuma in relazione al dove e al come.
Peccato però che la norma – come confermano le linee guida WP260 relative alla trasparenza – richieda che tali Paesi vengano indicati. Lo scopo è quello di rendere l’interessato pienamente consapevole dei meccanismi di trasferimento impiegati.
Tutto questo mi ricorda qualcosa
Allora: la forma concisa, trasparente, intelligibile e facilmente accessibile, e il linguaggio semplice e chiaro che sono requisiti richiesti dall’art. 12 GDPR anche oggi la facciamo domani. Nonostante però i dati vengano raccolti ed impiegati oggi.
Ragionando così sul tempo, vado un po’ indietro con il pensiero e c’è qualcosa che non mi torna. Provo quel senso di déjà vu che non è il glitch di Matrix ma mi lascia abbastanza confuso come Gandalf a Moria.
Mi viene in mente di dare un’occhiata alla privacy policy di OpenAI. Mi metto anche sulla TARDIS della Wayback Machine.
Diciamo che anche qui, nel tempo, si sono avvicendate quelle formulette di stile della privacy policy che però non soddisfano la trasparenza informativa degli utenti. Piuttosto, sono a corredo di quello che appare essere un compitino fatto tanto per fare.
Ricorre l’amara sensazione di un sottotesto drammatico del coro che recita: qui si deve fare innovazione, non possiamo certo star dietro alla privacy.
Endiadi illusoria eppure persistente.
Come il vaso di petunie, mi viene solo da dire: “Oh no, un’altra volta!”.
Peccato.
