In un recente intervento, il membro del collegio del Garante Privacy Guido Scorza si è domandato come sia possibile governare una situazione in cui una parte rilevantissima dell’infrastruttura globale è saldamente nelle mani di pochi oligopolisti privati del digitale.
Poche ore dopo, esce la notizia della sanzione inflitta ad Amazon da parte dell’Autorità del Lussemburgo per la privacy (CNPD), la cui entità risveglia l’attenzione di tutti, ammontando a 746 milioni di euro.
Perché quella ad Amazon è una sanzione significativa
Trattasi della più elevata sanzione mai inflitta per violazioni alla normativa in materia di protezione di dati personali (il record era prima i 50 milioni di euro inflitti a Google dalla Francia) ma, stando ai commenti riportati dai media, sembrerebbe che, più che l’entità della sanzione, a colpire Amazon siano state le logiche sottese alla stessa.
Infatti, se l’enorme cifra comminata e le conseguenze della sanzione non passano certo inosservate (il gruppo ha perso in borsa oltre il 7%), si è comunque lontani da perdite in grado di destabilizzare la “deep pocket” della Big Tech sanzionata.
Sanzione da 774 milioni di euro ad Amazon, la privacy europea affila le armi
Amazon, invece, è parsa presa in contropiede per il fatto che, a motivare la sanzione, sia una censura diretta allo stesso business model tipico della digital economy. Il commento della società alla sanzione diffuso via stampa è, in questo senso, rivelatore, dal momento che fa riferimento all’assenza di esposizione di dati a terzi o altre violazioni dei dati personali. Ma non è la sicurezza di questi ad essere stata presa in considerazione dall’Authority lussemburghese.
Le normative vigenti in materia di trattamenti di dati personali, così come le norme attualmente in corso di esame da parte delle Istituzioni europee in materia di intelligenza artificiale e digital economy, non sono infatti norme tecniche, la cui ratio è limitata alla tutela della qualità (e, dunque, della sicurezza tecnica) dei trattamenti di dati.
Si tratta di norme la cui ispirazione è profondamente politica, volte cioè a realizzare un ecosistema economico, sociale e politico nel quale non ci sia spazio per modelli di business o di amministrazione del potere che contrastino con i valori fondanti della sensibilità collettiva, sanciti dalle norme fondamentali di riferimento, ovvero dai trattati fondamentali UE e dalle Carte costituzionali degli Stati membri.
Stra-dominio big tech, come governare la situazione?
Proprio questo punto aiuta ad abbozzare una risposta alla domanda posta da Guido Scorza e riportata ad inizio articolo. Come governare questa situazione?
Si tenga conto, in primo luogo, che, differentemente da quanto espresso dal titolo che il sito del GPDP ha pensato per l’intervento richiamato, questi colossi imprenditoriali digitali non sono Stati. Prendere atto delle proporzioni spropositate dei loro bilanci o dell’immenso potere di fatto che accumulano, essendo i padroni dell’infrastruttura digitale globale, è fondamentale, ma non può condurre a conclusioni affrettate sulla loro natura.
Uno Stato, infatti, rappresenta un interesse collettivo. Il bilancio e le infrastrutture, per quanto determinanti nella capacità dello Stato di esprimere il proprio potere internamente ed esternamente, non coincidono con la sua stessa ragion d’essere. Può sembrare un argomento astratto, buono per chi si occupa di ricerca o poco più, ma non è così.
Se gli Stati (o gli enti sovranazionali come l’UE) perdono la capacità di percepirsi in quanto tali e, nello scendere in campo, accettano di castrarsi, giocando secondo le regole del mercato, come fossero essi stessi imprese private, sono certamente destinati a perdere.
Il problema non sta solo, come giustamente nota Guido Scorza, nei tempi di reazione – rapidissimi nelle imprese, lentissimi per gli Stati – di fronte alle sfide. Si tratta, più profondamente, di prendere atto che il potere politico è sintesi più alta di tutti gli interessi in campo e che, dunque, ha il diritto di intervenire con determinazione facendosi interprete non già delle regole, bensì della stessa ratio che le regole ispira.
Bene ha fatto, in questo senso, la Commissione UE a ragionare (Digital Market Act) di poteri di intervento, nei confronti dei c.d. “Gatekeepers”, particolarmente incisivi, fino addirittura a considerare l’ipotesi di imporre uno splitting (spacchettamento) dei colossi del tech, al ricorrere di particolari e gravi circostanze.
Se, come afferma Guido Scorza, è vero che i colossi come Amazon hanno poche volte violato le regole (ma con conseguenze enormi, come lo stesso autore nota) è altrettanto vero che, in prospettiva politica, è lecito reagire con assertività anche di fronte a chi, approfittando di regole obsolete o delle naturali vulnerabilità di queste, ne viola lo spirito stesso o, comunque, opera in conflitto con interessi e valori ritenuti irrinunciabili dalla collettività, della quale le Istituzioni politiche sono espressione.
Se, dunque, si ritiene che questi soggetti rappresentino un pericolo concreto ed attuale per le libertà e per i diritti individuali, ovvero per i valori posti a fondamento della civiltà in cui viviamo, per governare la situazione è necessario comportarsi da Stati e non da imprese, ovvero operare secondo una logica politica e non economica o di pura compliance.
Si operi, cioè, avendo come faro l’impatto che l’azione di questi soggetti ha sugli equilibri socioeconomici e, se necessario, si modifichino le regole senza eccessivi scrupoli in modo da salvaguardarne l’armonia con gli obiettivi ultimi ai quali gli ordinamenti sono informati (si pensi all’art. 3 della Carta costituzionale italiana). Ancora, si utilizzi appieno lo spazio d’intervento che le regole concedono, senza attenersi a ragionamenti strettamente formali.
Bene la sanzione
Bene, in questo senso, a parere di chi scrive, ha fatto l’Authority lussemburghese a sanzionare, come è stato detto “lo stesso business model” di Amazon, nella misura in cui questo preveda, magari, forzature o strategie elusive della ragion d’essere delle regole del GDPR, interpretando le disposizioni del GDPR in modo da escludere il salvacondotto di un formale e stiracchiato rispetto delle stesse.
Il GDPR è un dispositivo politico, posto a tutela delle libertà e dei diritti dei cittadini, e così deve essere interpretato. Occorre superare la finzione, ormai ampiamente sconfessata, del mercato come uno spazio libero, in cui tutti godono di una tutela intrinseca. I cittadini sono completamente nudi e vulnerabili al cospetto di operatori professionistici in generale, tanto più rispetto a questi, in grado – attraverso l’analisi dei dati personali – di sondare nell’intimo le loro paure, aspettative e attitudini.
Per questo, è necessario compensare gli squilibri e adottare un approccio parziale, ispirato a un criterio di giustizia che non significa uguaglianza di trattamento ma parzialità (pur ponderata), onde salvaguardare gli interessi che accomunano tutti, a sfavore di quelli particolari. Occorre, insomma, prendere parte, schierarsi politicamente e agire da Istituzioni politiche, non da arbitri.
