LinkedIn vende un diritto che la legge ti dà gratis
Linkedin vende l'accesso ai visitatori del profilo, ma il Gdpr garantisce il diritto gratuito. Noyb denuncia la pratica.
La denuncia di noyb contesta la vendita di un diritto garantito gratuitamente dal GDPR
Partiamo da un punto che forse hai già vissuto sulla tua pelle. Apri LinkedIn, vai sulla sezione “Chi ha visitato il tuo profilo” e ti trovi davanti a un muro: per vedere i nomi completi devi abbonarti a Premium. Fin qui, potresti pensare, è solo una scelta commerciale. Ma c’è un problema: quei visitatori hanno lasciato una traccia su di te, e tu hai il diritto legale — sancito dall’articolo 15 del GDPR — di accedere a quei dati, gratuitamente, semplicemente perché sono tuoi. Secondo la denuncia di noyb, l’organizzazione per la privacy fondata dall’avvocato Max Schrems, LinkedIn non può vendere i dati dei visitatori del profilo agli abbonati Premium negando contemporaneamente lo stesso accesso agli utenti gratuiti che esercitano i propri diritti sotto l’articolo 15 del GDPR. In altre parole: il social professional per eccellenza sta mettendo un cartellino del prezzo su un diritto fondamentale.
Il paradosso del profilo a pagamento
La logica di LinkedIn è, a pensarci bene, piuttosto bizzarra. Come spiega noyb, “è assurdo che le aziende sembrino riconoscere l’importanza della protezione dei dati solo quando vogliono venderli.” LinkedIn non ha nessun problema a consegnare certi dati in cambio di denaro — ma quando eserciti il tuo diritto di accesso, improvvisamente diventa preoccupatissima per la privacy degli altri utenti. È un po’ come un archivio che ti vende fotocopie del tuo fascicolo personale, ma ti nega il diritto di consultarlo gratis quando lo richiedi per legge. Lo stesso dato, lo stesso fascicolo, due trattamenti opposti a seconda del tuo portafoglio.
Il punto non è che LinkedIn offra funzionalità extra a pagamento — questo è legittimo. Il problema è che usa il modello Premium come scudo per aggirare un obbligo di legge. Il diritto di accesso ai propri dati non è una feature, è una garanzia europea. E noyb non è l’unica a dirlo: è scritto nero su bianco nel regolamento che dal 2018 si applica a qualsiasi azienda tratti dati di cittadini europei. LinkedIn non è un caso isolato: è il sintomo di un problema molto più grande.
Il buco nero delle richieste: 83,5% senza risposta
Non è solo LinkedIn a giocare sporco: il sistema di enforcement è in tilt. Ad aprile, noyb ha pubblicato una statistica che dovrebbe far riflettere chiunque si illuda di essere protetto dal GDPR: le richieste di accesso ai dati non ricevono risposta adeguata nell’83,5% dei casi. Non è un refuso. Quasi nove persone su dieci che chiedono legittimamente di sapere cosa sanno di loro — un’azienda, un social network, una piattaforma pubblicitaria — vengono ignorate o ricevono risposte incomplete. Il GDPR esiste, le richieste vengono presentate, ma dall’altra parte c’è quasi sempre il silenzio.
E quando le autorità di controllo intervengono? A volte nemmeno lì le cose funzionano. Il caso PimEyes — un motore di ricerca facciale che permette di trovare chiunque a partire da una foto — è emblematico. La denuncia originale contro PimEyes era stata presentata al Garante per la protezione dei dati di Amburgo già nel luglio 2020. Cinque anni dopo, il Garante di Amburgo ha riconosciuto che le pratiche di PimEyes sono illegali, ma non ha preso misure efficaci: la giustificazione è che l’azienda sembrerebbe avere sede a Dubai. Una dichiarazione di impotenza, in sostanza. Risultato? noyb ha dovuto intentare una causa contro il Garante di Amburgo per la sua stessa inazione — perché quando le autorità non fanno il loro lavoro, qualcuno deve trascinarle in tribunale. Se i guardiani non vigilano, chi protegge i tuoi dati?
Questo è il vero nodo: il GDPR è un’architettura giuridica sofisticata, ma la sua efficacia dipende interamente dalla volontà — e dalla capacità — delle autorità nazionali di farlo rispettare. Quando un’azienda con sede fuori dall’UE può semplicemente ignorare le richieste, e il garante locale alza le mani, il regolamento rischia di diventare carta straccia. Non per colpa delle norme, ma per la loro applicazione intermittente.
GDPR sotto assedio: cosa ci aspetta?
Eppure, qualche spiraglio c’è: le multe cominciano a fare male, e i giudici iniziano a dare ragione ai cittadini. A marzo, il Conseil d’État francese ha respinto il ricorso di Criteo e confermato la multa da 40 milioni a Criteo inflitta dalla CNIL per violazioni del GDPR. Una sentenza importante non solo per l’importo, ma per il principio: il Consiglio di Stato ha stabilito che i dati possono considerarsi anonimizzati solo se il rischio di re-identificazione è “insignificante e impraticabile nella realtà.” Una formulazione che chiude molte delle scappatoie che le aziende pubblicitarie usavano per sostenere di non trattare dati personali. E noyb, nel frattempo, conta già le vittorie legali di noyb: cinquanta reclami vinti, sessantadue ritirati dopo che le aziende si sono messe in regola pur di evitare il procedimento.
La vera domanda è: i giganti della tecnologia ascolteranno, o continueranno a mettere un prezzo sui tuoi diritti? Il diritto di accesso ai tuoi dati non è un privilegio da comprare, ma una conquista da difendere. La prossima volta che LinkedIn ti chiede di pagare per vedere chi ti ha cercato, ricordati: il GDPR è dalla tua parte. E anche se le autorità a volte tardano anni — come nel caso PimEyes — la battaglia è appena cominciata.
