Sul campo della protezione dei dati e della corretta applicazione del Gdpr si sta giocando una partita molto più ampia e complessa di quanto possa apparire agli osservatori superficiali. La sanzione comminata a Google dal Garante privacy francese è la dimostrazione lampante che Commissione europea e Stati membri tentano di riguadagnare terreno nel settore strategico del controllo dei dati, limitando, al contempo, la crescita delle web company americane. E che il Gdpr, oltre a proteggere libertà fondamentali, è anche uno strumento di governance politica. Ma partiamo dai fatti.
La sanzione del CNIL a Google
La scorsa settimana lo CNIL, Autorità Garante francese per la protezione dei dati personali, ha comminato una sanzione di 50 milioni di euro nei confronti di Google per la violazione della normativa sulla privacy prevista dal GDPR.[1] La notizia si è rapidamente diffusa tra gli addetti ai lavori, i quali ne hanno subito analizzato i dettagli sotto l’aspetto tecnico-giuridico.
Google, a parere dell’Autorità francese, non avrebbe fornito informazioni trasparenti e facilmente accessibili in merito alle proprie politiche di gestione dei dati personali e dei consensi. Poiché il Regolamento (UE) 2016/679 è norma recente e l’applicazione dello stesso è ancora materia complessa, stante la difficoltà di prevedere come le Autorità Garanti e quelle giudiziarie declineranno le previsioni in esso contenute, era prevedibile che la notizia avrebbe suscitato enorme interesse tra professionisti forensi, accademici, consulenti e aziende.
Privacy e geopolitica
Tuttavia, è altrettanto interessante osservare quanto accaduto la scorsa settimana sotto un profilo politico. L’assertività dello CNIL nei confronti di Google tradottasi nell’ingente sanzione di cui si è detto, può essere considerata come un indicatore degli attriti causati da una delle più interessanti dinamiche geopolitiche caratterizzanti l’attuale congiuntura storica. Ci si riferisce alla graduale perdita, da parte degli Stati, di quote di sovranità in favore di attori dello scacchiere globale aventi natura, legittimazione ed obiettivi profondamente diversi dai primi (organizzazioni sovranazionali, transnazionali, società multinazionali, organizzazioni terroristiche internazionali, fondi internazionali, ad esempio)[2].
La considerazione di cui al precedente paragrafo nasce, in primo luogo, dalla constatazione che la normativa europea sulla privacy è esplicitamente concepita per essere, oltre ad uno scudo per le libertà ed i diritti fondamentali dei cittadini, un vero e proprio strumento di governance politica del settore strategico della gestione e dei flussi di dati personali.
Mediante questa norma, dunque, ed il richiamo al rispetto dei principi costitutivi delle democrazie occidentali e dell’UE, gli Stati membri hanno voluto configurare una prima forma di strategia di controllo dei flussi di dati diretti verso attori geopolitici i cui interessi possono non collimare alla perfezione con i loro. La più evidente dimostrazione di quanto appena affermato è il contenuto del Cap V del reg. (UE) 2016/679 , denominato ‘Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali’, dedicato alla disciplina dei trasferimenti di dati al di fuori dell’ambito di applicabilità del regolamento. La disposizione di cui all’art. 45, in particolare, sottopone a una decisione di adeguatezza della Commissione i casi in cui il trasferimento di dati verso paesi terzi o organizzazioni internazionali possa avvenire lecitamente.
Non si dimentichi che la Commissione Europea, nell’architettura istituzionale dell’Unione, rappresenta il soggetto che “promuove l’interesse generale dell’UE proponendo la legislazione e assicurandone il rispetto e attuando le politiche e il bilancio dell’UE”[3] il che denota come sia un corpo di natura politica a disporre del potere di dichiarare illecito il trasferimento di dati verso uno Stato (o un’organizzazione privata basata in uno stato) che non garantisce adeguata protezione dei dati personali trattati.
Dati personali e competitività internazionale
Un simile meccanismo di controllo è necessario dal momento che nell’attuale contesto socioeconomico (nonché militare e di intelligence) la disponibilità di dati si sostanzia in una condizione necessaria per la competitività e, laddove il divario di disponibilità di dati tra una realtà ed i suoi competitors superi una certa soglia, in un vantaggio quasi incolmabile.
Il dato, come esemplificato in un interessante articolo pubblicato ormai cinque anni fa da Limes[4], è l’oro nero del terzo millennio e costituisce, come detto, la materia prima fondamentale per le più redditizie attività economiche ed industriali (Industria 4.0, Big Data Analytics) nonché per ogni attività militare, informativa e per l’erogazione dei servizi essenziali al cittadino da parte degli stati.
Così, non stupisce che si disputi anche e soprattutto in materia di controllo dei dati quel confronto – nemmeno troppo nascosto – tra autorità statali e realtà imprenditoriali aventi, oggi, potere superiore a quello di diversi Stati e, al netto di ogni retorica, interessi anche sensibilmente non neutrali sulle dinamiche economiche, sociali e politiche globali, regionali e locali.
Se non si ha contezza del grado di influenza di una realtà come Google sugli equilibri economici e sociali di un dato sistema socioeconomico, si pensi a quali drammatiche conseguenze possa causare una modifica (del tutto legittima sebbene arbitraria) degli algoritmi di indicizzazione del motore di ricerca più usato al mondo. Accade non di rado che aziende in buona salute debbano dichiarare bancarotta a seguito di simili cambiamenti, per il semplice motivo che perdono, in brevissimo tempo, la quasi totalità della loro visibilità online e, tanto più nell’era ell’eCommerce, dei loro profitti.
Tutto ciò considerato, non sorprende affatto che l’Unione Europea, ed in particolare i suoi Stati membri maggiormente vitali sul piano della politica internazionale, si affrettino a fare ampio uso degli strumenti a loro concessi dal legislatore europeo per limitare lo strapotere di attori di peso come il gigante di Mountain View.
La crisi dello Stato di cui si è detto, infatti, sta paradossalmente rivitalizzando le identità nazionali, pur in forma diversa rispetto al passato, e l’attivismo di nazioni il cui destino fino a poco tempo fa sembrava irrimediabilmente quello di un graduale declino in favore di un’entità sovranazionale i cui profili politici, però, non erano ancora maturi e stanno accusando sensibilmente gli effetti centrifughi dovuti alla fortissima rimonta delle istanze securitarie causate dal burrascoso contesto geopolitico attuale (pressione demografica, incremento dei conflitti in aree limitrofe ai confini europei, terrorismo, crisi della legittimità dei corpi rappresentativi).
Primi destinatari di questo attivismo, inevitabilmente, sono coloro che non di rado fanno dell’elusione dai vincoli del diritto (espressione più alta dello Stato westfaliano e weberiano) una vera e propria politica aziendale. Il risultato è spesso raggiunto mediante svariate soluzioni tattiche tra le quali il fenomeno del “forum shopping” o della semplice infrazione o elusione di norme supportata dalle enormi riserve economiche accumulate da realtà imprenditoriali ciclopiche come Google, Apple o Facebook che spesso rendono irrisori gli sforzi sanzionatori delle Autorità giudiziarie nazionali legate a previsioni normative obsolete o, comunque, inadatte a turbare con efficacia i pensieri di questi giganti. A questi fenomeni il GDPR ha risposto con soluzioni che, stando a quanto accaduto a Parigi, sembrano essere efficaci.
Primi attori, dall’altro lato, di questo confronto attivo sulla data ownership globale non possono che essere stati come la Francia il cui piglio assertivo è tanto evidente se si pensa che, proprio negli stessi giorni in cui veniva irrogata la salata sanzione verso Google, siglava con la Germania il nuovo Trattato di Acquisgrana[5], che sembra potersi delineare come uno tra gli eventi di politica internazionale più significativi degli ultimi anni.
Forse – lo vedremo – una manifesta accusa di fallimento al progetto europeo di Schumann e Spinelli, ma allo stesso tempo una fragorosa dichiarazione di sfida destinata, chissà, a gettare le basi per un soggetto, la cui natura sarà tutta da comprendere, capace di proiettare potenza come mai ha potuto fare l’Unione dei 27.
In conclusione
La suggestione, dunque, è che sul campo della data protection e della corretta applicazione delle previsioni del Reg (UE) 2016/679 si stia disputando un round di una partita ben più ampia che vede impegnate le autorità politiche sovrane degli Stati nazionali più attivi nel difficile tentativo di mantenere (o accrescere) il proprio controllo su un settore, quello dei dati, strategico per la redistribuzione del potere globale del futuro prossimo, contenendo le naturali aspirazioni espansive delle grandi compagnie leader dell’ICT.
Non c’è dubbio che questa partita debba essere giocata fino in fondo e che, ad oggi, siano comunque gli Stati a disporre degli strumenti utili ad impedire che gli interessi ed i valori condivisi dei cittadini soccombano a chi, obbligato a votarsi al profitto come fine ultimo delle proprie azioni ed essendo privo di legittimazione politica condivisa, sta tuttavia acquisendo un potere rilevantissimo proprio grazie al controllo di quelle che oggi si pongono come infrastrutture e materie prime essenziali per ogni attività umana.
- Cfr. https://www.cybersecurity360.it/news/sanzione-gdpr-a-google-monito-per-le-aziende-italiane-ecco-perche/ consultato il 26/01/19 ↑
- Cfr. “Global Trends 2030– Sintesi per il decisore italiano” ed. Machiavelli, 2016, p XI ↑
- Cfr. https://europa.eu/european-union/about-eu/institutions-bodies/european-commission_it consultato il 26/01/19 ↑
- Cfr. Francesco Vitali Gentilini, “L’oro nero dei dati” pubblicato in Limes, N. 7/2014. ↑
- Cfr. http://www.ansa.it/sito/notizie/mondo/2019/01/22/merkel-macron-firmano-trattatoaquisgrana_5ac274a5-7a7e-4b6e-a249-75c5ad2ea407.html consultato il 26/01/19 ↑
