"Questo è un film interattivo in cui prenderai delle decisioni che alterano la storia. Durante la visione, in alcuni momenti compariranno delle opzioni nella parte bassa dello schermo. Per selezionarne una, toccala con il dito". Questo è l'avviso iniziale che riceve lo spettatore di Bandersnatch, nuovo episodio della serie televisiva Black Mirror, trasmesso dalla piattaforma di streaming online Netflix.
Bandersnatch è una delle molteplici estrinsecazioni del mondo della TV interattiva, realtà odierna in cui gli utenti si interfacciano con Smart TV sempre più all'avanguardia, assistenti personali digitali e sofisticate applicazioni. Nonostante i benefici derivanti dalla capacità pressoché illimitata di interazione con i propri dispositivi e le applicazioni e servizi di provider terzi, si devono tenere in considerazione i rischi derivanti da questa dialettica digitale, attinenti principalmente alla tutela dei dati personali dell'utente.
Le Smart Tv di ultima generazione sono dotate di numerose funzioni interattive, tra cui connessione ad internet, funzionalità di riconoscimento vocale e facciale, controllo del movimento, e procedura di creazione di un account personale per rendere l'esperienza di visione il più customizzata possibile. Stabilire dunque la connessione a Internet, e abilitare i predetti servizi, comporta l’inizio del flusso di dati dal dispositivo dell'utente, con conseguenti effetti per la propria privacy.
Attraverso tali funzionalità, i costruttori e operatori dei dispositivi raccolgono una ricca serie di dati, tra cui informazioni personali dell'utente, servizi e applicazioni presenti sul singolo dispositivo, localizzazione della TV, dati su utilizzo dei servizi e applicazioni online fornite dal produttore della Smart TV o da terze parti, dati biometrici e voce. In aggiunta, l'utilizzo delle funzionalità interattive rende possibile anche l'identificazione dell'utente.
Prima dell'entrata in vigore del Regolamento Europeo 679/2016 ("GDPR"), il Garante Privacy e altre autorità europee per la protezione dei dati (ad es. in Germania e nei Paesi Bassi) avevano già iniziato ad esaminare il tema, prevedendo i possibili rischi derivanti dall'uso dei dispositivi interattivi, e cercando di fornire indicazioni utili per utenti e produttori.
In un'ottica preventiva, l'Articolo 25 del GDPR stabilisce la necessità di operare secondo il principio privacy by design, poiché nel contesto digitale si sente una forte esigenza di garantire la privacy già a partire dalla fase di progettazione dei dispositivi, essendo fondamentale operare una valutazione a priori dell’impatto privacy.
All'utente dev'essere poi sempre rilasciata idonea informativa che descriva chiaramente, tra le altre cose, i tipi di dati raccolti, le finalità del trattamento e il tema del trasferimento dei dati a terze parti. Questi terzi soggetti infatti, come provider di applicazioni presenti sul dispositivo, hanno accesso ai dati degli utenti delle Smart TV, e in tal caso dovrebbero essere garantire misure di salvaguardia del dato. In realtà, esaminando la privacy policy di uno dei principali produttori di Smart TV, si legge di un completo scarico di responsabilità verso terzi in caso di trasferimento di dati a questi ultimi, rendendo altamente complicato per l'utente esercitare il diritto di accesso ai dati (art. 15 GDPR) e dunque il controllo sugli stessi.
In aggiunta, prima di effettuare determinati tipi di trattamento, all'utente dovrebbe sempre essere richiesto il rilascio di un consenso espresso ed informato. Infatti, nello specifico ambito preso qui in esame, solo il consenso espresso dell'utente dovrebbe rappresentare una base giuridica idonea per il trattamento dei dati, rispetto all'interesse legittimo del provider o la conclusione di un contratto.
La puntata Bandersnatch è caratterizzata da un impianto narrativo altamente innovativo. Lo spettatore è chiamato, in certe situazioni, ad effettuare delle scelte tra le alternative proposte nel corso della puntata, che in definitiva condizionano lo svolgimento e il finale della storia. Netflix è dunque in grado di raccogliere l'elenco di decisioni effettuate dall'utente, che rappresentano un nuovo particolare tipo di dati, raccolti in questo contesto per migliorare la modalità di narrazione e il servizio di streaming stesso.
I dati ottenuti sono infatti cruciali per il business e le strategie di costruttori e terzi fornitori. Nelle proprie informative privacy, i costruttori e provider elencano le finalità di trattamento dei dati spesso in maniera troppo generica. Tali dati possono venire utilizzati, a titolo di esempio, per migliorare l'esperienza e l'offerta del servizio; erogare servizi personalizzati, suggerire contenuti o pubblicità basati sulle abitudini di visione e utilizzo dell'utente, e per favorire l'interazione con e l'utilizzo di sistemi di terzi fornitori.
In conclusione, il GDPR ha rafforzato lo spettro di tutele per i dati personali dei soggetti che si muovono in un mondo altamente connesso e caratterizzato da un flusso di dati continuo. Tuttavia è opportuno che gli stessi utenti pongano in essere un utilizzo consapevole ed informato dei nuovi dispositivi, ritagliandosi più tempo per leggere le spesso ignorate informative. Dall'altro lato ai costruttori e provider è richiesto il puntuale rispetto della nuova normativa in modo che possano sì fare dei dati il loro business, ma nel rispetto dell'utente e delle leggi applicabili.