La Federal Communications Commission ha approvato un nuovo, rigido regolamento volto a proteggere la privacy degli utenti di servizi broadband, nonostante la forte opposizione degli ISP.
Le nuove regole imporranno a questi ultimi regole più rigorose di quelle imposte ai siti web, come Google e Facebook, che sono regolamentati separatamente dalla Federal Trade Commission. La normativa, in sostanza, imporrà agli ISP – come Comcast, AT&T, Verizon – di ottenere il consenso (opt-in) degli utenti per poter condividere dati sensibili quali le informazioni di navigazione, la posizione geografica, il contenuto delle email di altre comunicazioni, e altre informazioni personali con gli inserzionisti e altre terze parti.
Allo stesso modo, i fornitori di servizi a banda larga e via cavo non potranno condividere o vendere per scopi commerciali o altri fini – come evidentemente hanno fatto finora – informazioni sanitarie o relative a minori.
Non servirà invece il consenso preventivo degli utenti per usare o condividere informazioni ‘non sensibili’ come l’indirizzo email o il piano tariffario: gli utenti potranno esercitare l’opzione di opt out per bloccare la condivisione anche di questi dati.
In base alle nuove norme, che dovrebbero entrare in vigore all’inizio del prossimo anno, i fornitori di servizi a banda larga dovranno quindi informare i clienti di qualsiasi informazione di loro proprietà stanno raccogliendo e aggiornarli ogni qualvolta vi siano delle modifiche.
La FCC è diventata responsabile delle normative sulla privacy in capo ai broadband provider lo scorso anno. Per quanto attiene invece alle web company come Google e Facebook, le questioni della privacy sono di competenza della Federal Trade Commission che ha adottato un approccio meno rigido. Il consenso preventivo, per i giganti del web, è necessario solo per le informazioni sanitarie o finanziarie.
Per il presidente della FCC, Tom Wheeler i fornitori d’accesso devono essere più controllati delle web company perché “raccolgono informazioni sul nostro conto ogni volta che andiamo online”. Ciò vuol dire tutto il traffico, ogni attività online in chiaro, quanto tempo stiamo online, quali siti visitiamo, quali app usiamo. Se si dispone di un dispositivo mobile – smartphone o tablet – il provider è in grado di monitorare la nostra posizione per tutta la giornata in tempo reale. Anche quando i dati vengono crittografati, il fornitore può mettere insieme una quantità significativa di informazioni sul nostro conto, comprese informazioni private, come una condizione medica cronica o eventuali problemi finanziari, sulla base di quello che cerchiamo online o dei siti che visitiamo.
Si tratta, ha detto Wheeler, di informazioni dei consumatori, ragion per cui “dovrebbero essere i consumatori a decidere come vengono usate, non un algoritmo”.
La nuova normativa introduce anche nuove regole per la notifica e la sicurezza dei dati, in base alle quali gli ISP devono informare i clienti su quali tipi di informazioni raccolgono, specificare come utilizzano e condividono le informazioni e identificare i soggetti con cui condividono i dati.
Gli ISP che desiderano utilizzare e condividere dati anonimi senza il consenso devono adottare misure per garantire che i dati non possano essere collegati a singoli utenti o dispositivi specifici e devono informare i clienti riguardo eventuali violazioni dei dati entro 30 giorni e la FCC entro sette giorni.