Da mesi si rimbalzano da una parte all’altra dell’oceano Atlantico notizie su presunte e imminenti sanzioni pecuniarie a Facebook, una delle più grandi ed autorevoli multinazionali americane dell’era digitale.
Le indagini in Europa
Già durante la sessione plenaria inaugurale del Global Privacy Summit della IAPP, International Association of Privacy Professional, lo scorso mese di maggio a Washington, nel corso di un panel tutto al femminile composto dalle presidenti delle Autorità garanti privacy dell’Irlanda, del Regno Unito, e del neonato European Data Protection Board (EDPB), grande clamore fece la notizia dell’apertura di oltre 15 procedimenti ispettivi a carico di noti Over the Top (OTT) in Europa, in ragione di presunte violazioni delle norme europee che regolano la circolazione, l’uso e la protezione dei dati personali e dei relativi diritti fondamentali delle persone ad essi collegati.
La notizia fu immediatamente compendiata da indiscrezioni che vedevano alcuni OTT in prima fila sotto scrutinio anche da parte della Federal Trade Commission (FTC), in particolare in connessione allo scandalo esploso lo scorso anno intorno al caso Cambridge Analytica.
Le sanzioni a Marriott e British Airways
Adesso sembrerebbe che i nodi stiano arrivando al pettine. Nell’ultima settimana l’ICO, il Garante inglese ha annunciato sanzioni di centinaia di milioni di sterline a carico della grande compagnia aerea British Airways e di uno dei colossi del settore alberghiero, Marriott, sempre per problemi legati alla scarsa attenzione alle norme sull’uso dei dati e sulla loro sicurezza, in contrasto con regole vigenti da oltre 25 anni in Europa e da ultimo rafforzate con l’entrata in vigore del GDPR lo scorso anno.
La novità della multa Ftc a Facebook
Ma è la notizia di una annunciata sanzione di 5 miliardi di dollari a carico di Facebook, il colosso dei social media, proprio in connessione alle indagini sul caso Cambridge Analytica, che, se confermata, rappresenterebbe un precedente inedito e destinato a far riflettere in un modo nuovo.
Indipendentemente dalla fondatezza della sanzione, dai contorni e dai chiaroscuri del caso di specie, di cui al momento si apprendono poche notizie di stampa, peraltro tutte simili e di scarso pregio, mi piacerebbe delineare alcune linee direttrici non più trascurabili e di particolare urgenza per molti soggetti che operano massivamente nel vasto mercato dei dati personali, ma anche di quanti ne traggono solo un beneficio indiretto e finora hanno licenziato le questioni del rispetto delle regole sul trattamento dei dati come un problema altrui, o al più come un tema di pura compliance legale formale e non anche sostanziale, di business, etico e sociale.
Anzitutto, cosi come il fenomeno dello sfruttamento massivo dei dati personali, alla base della rivoluzione economica e sociale che sta caratterizzando i mercati, con forte accelerazione negli ultimi quindici anni, riguarda ormai tutte le economie, da quelle più avanzate a quelle emergenti ed in via di sviluppo, allo stesso tempo, il ripetersi di incidenti, abusi, violazioni dei dati, rischi di manipolazione delle persone, delle idee, degli stili ed abitudini di vita, rappresentano a tutte le latitudini una fonte di preoccupazione per la stessa tenuta sociale e democratica di nazioni e popoli.
Se a ciò aggiungiamo gli allarmi legati alla diffusione incontrollata di sistemi di intelligenza artificiale, forti al momento delle tecniche di riconoscimento facciale e controllo vocale (ora è scoppiato il caso Google Assistant, per cui l’emittente belga Vrt Nws è entrata in possesso di registrazioni in cui si è potuto risalire all’identità delle persone), unitamente al machine learning e alla disponibilità tecnologica che anche il 5G sembrerebbe promettere, la prospettiva di un mondo pericoloso per lo stesso futuro del genere umano diventa plausibile.
Ed è per questo, dunque, che anche negli Stati Uniti, la più grande economia al mondo considerata dal 1995 luogo insicuro per la circolazione dei dati personali, si sta costruendo – sebbene in ritardo – un argine solido alla assenza di regole sull’uso dei dati.
La svolta privacy negli Usa, Giappone, Corea e altri Paesi
Diverse sono le bozze di legge federale al momento in discussione in parlamento a Washington e da più parti si chiede più rispetto dei diritti e della c.d. privacy, che chiaramente indica non solo il diritto alla riservatezza delle persone, ma soprattutto pone un tema di rispetto di diritti e libertà fondamentali sotto attacco da più fronti. Si è capito che sebbene tale modello di sviluppo sia stato cruciale per riportare l’economia degli Stati Uniti a correre come e più di prima del crollo del 2007 generato dalla crisi dei mutui subprime, al tempo stesso, il prezzo che si chiede alla collettività in termini di ridotta qualità e quantità di spazi di libertà inizia ad essere intollerabile ed in prospettiva insostenibile per la tenuta del Paese.
Analoga presa di coscienza è avvenuta di recente in Brasile, in Giappone, in Corea, tutti Stati, che assieme ad altri 130 hanno adottato regole ispirate a quelle europee e la stessa India e Cina si sono avviate lungo un percorso che le porterà presto ad avere un sistema di regole a protezione dei dati personali integrabile con il modello del GDPR.
Ma quali sono gli insegnamenti che possiamo trarre da questo susseguirsi di vicende complesse e delicate che intrecciano al tempo stesso, come in un romanzo fantascientifico, il business delle piccole, medie e grandi aziende, con i diritti degli individui, la tenuta democratica delle nazioni e lo stesso futuro dell’umanità?
Il Gdpr da solo non basta
Anzitutto il mondo apprende che non c’è solo il GDPR, la vasta ed impattante normativa comunitaria sulla protezione dei dati personali che ancora non ha iniziato davvero a dispiegare i suoi effetti, quantomeno sul fronte delle sanzioni. Per vedere il GDPR a regime, peraltro, ci vuole tempo e coordinamento. Le autorità non sono più chiamate a lavorare in solitaria, ma hanno la possibilità ed a volte l’obbligo di esprimersi all’unisono, il che innalza il valore di una pronuncia e della relativa sanzione, se prevista, ma allunga inevitabilmente i tempi di azione.
Gli USA, dopo anni di inerzia nel settore, e dopo aver imposto un pericoloso modello di puro opt-out, rispetto all’uso dei dati personali – anche traducibile nell’idea che i dati raccolti, ad esempio, da una società per un fine preciso, per adempiere ad obblighi contrattuali di cui è parte l’individuo, possano poi essere usati a piacimento e ad libitum dalla stessa società e da tutte le altre possibilmente interessate ad utilizzarli, generando margini economici infiniti, all’insaputa degli interessati ed anche accettando il rischio di infinite Cambridge Analytica – ora stanno comprendendo che il controllo da parte degli interessati al trattamento sia necessario, se non sempre ex ante, attraverso meccanismi di opt-in puro (consenso) o misto, almeno ex post, grazie all’esercizio dei diritti, ad esempio previsti dal GDPR.
Mi riferisco ad un controllo effettivo, vero, misurabile ed efficace, e non alle informative chilometriche ed illeggibili, onde evitare (i) effetti sui mercati contrapposti a quelli voluti, (ii) sanzioni e, nello scenario, più catastrofico, (iii) sparizione, estinzione e desertificazione degli stessi mercati (e delle persone?) che hanno finora rappresentato per le aziende un porto sicuro.
I regolatori USA hanno dunque colto con effettivo senso opportunistico ed un discreto tempismo il cambiamento del vento e sono intervenuti prima di quelli europei, se le notizie verranno confermate, irrogando una inedita sanzione gigantesca, pari, sembrerebbe, al 9% del fatturato dell’azienda colpita – più del doppio del massimo che il GDPR consentirebbe ai regolatori comunitari.
Non solo GDPR e non solo regolatori europei che fanno paura, dunque. La partita in ballo è troppo grande, anche in tal senso, per lasciare l’iniziativa della regolazione di Internet e dei mercati alla vecchia, divisa e debole Unione Europea.
Un ulteriore insegnamento dovrebbe essere colto da quanti oggi, in ritardo, vogliano fare alle nostre latitudini ciò ormai sembrerebbe non più consentito neanche in USA agli OTT, magari in ragione di un equivocato uso del pur straordinario strumento del legittimo interesse del titolare del trattamento, come base giuridica del trattamento dei dati personali.
Chi ha perso quel treno e non ha fatto margini durante il lungo periodo caratterizzato dalla assenza di regole non può adesso appellarsi a cuor leggero al solito alibi: se lo hanno fatto loro, e nessuno li ha fermati o sanzionati, perché non dovremmo poterlo fare anche noi?
Ecco, il tempo dell’irresponsabilità tollerata sembra davvero essere finito.
