Dal provvedimento emesso dal Garante della privacy il 28 giugno 2019 nei confronti di Facebook per le irregolarità commesse nell’ambito dell’affaire Cambridge Analytica, emergono tre elementi importanti da approfondire. Questi sono complessità, rispetto e fiducia.
Non si può banalizzare la privacy
Il primo elemento evidenzia la grande complessità che sta dietro alle azioni delle autorità della privacy. Azioni che sono conseguenza degli intrecci presenti in un grande caso come quello di Cambridge Analytica: la materia del trattamento dei dati personali non riguarda solo la privacy, ma sempre più è un’architettura complessa che lega uso delle informazioni, diritti e interessi di aziende e persone fisiche. Un fenomeno molto complicato.
Nelle ore immediatamente seguenti all’annuncio del provvedimento di sanzione da parte del Garante della privacy, sono emerse immediatamente alcune linee di tendenza soprattutto sui social. Qualcuno ha banalizzato l’argomento, sottolineando che si è arrivati a questi provvedimento dopo alcuni anni dal fatto, altri hanno voluto sottolineare che l’ammontare della sanzione verso Facebook (un milione di euro) è basso.
Necessario dunque ricordarsi quanto sia complesso il fenomeno. Leggendo il provvedimento e le contro deduzioni della società sanzionata, molto ricche e articolate, si evince che ci sono problemi che vanno al di là della comprensione da bar. Problemi che riguardano per esempio la competenza trans frontaliera, tra autorità e giurisdizioni in Stati diversi, ma anche di competenza dell’autorità. La materia richiede molta cautela e profonda specializzazione. Mi preme sottolineare come ci voglia molto rispetto sia per l’autorità ma anche per le argomentazioni portate dalla società. Non è un mondo che deve essere banalizzato dalla dialettica.
La legge non è retroattiva
A chi dice che la sanzione è bassa, bisogna ricordare che il provvedimeno non è basato sul GDPR. Non è stato dunque emanato con le armi del regolamento europeo che prevedono sanzioni fino al 4% del fatturato globale del trasgressore, ma sulla base della vecchia normativa vigente al momento in cui sono i fatti sono stati contestati. Le legge non è retroattiva, la vicenda risale a prima del GDPR. La somma di un milione di euro è coerente a casi analoghi.
Lo scenario futuro
Il fenomeno del web non può regolamentarsi in breve tempo. Qualcuno dirà che le leggi sull’uso dei dati ci sono da vent’anni, ma internet si è affermato come modello di sviluppo economico e sociale solo nell’ultimo decennio, attraverso input che provengono da un ambiente normativo opposto al nostro, quello americano. Se le grandi aziende si basano su quel modello, la convergenza con il modello europeo non è faccenda immediata.
Gli sforzi da parte delle aziende ci sono. Non sono sufficienti ma ci vuole ancora tempo. Il regolamento ha introdotto l’elemento della convergenza intelligente, l’accountability ci porta a dover migliorare i processi secondo le nuove norme. Gli effetti benefici si vedranno nei prossimi anni. Per capire il cambiamento in atto, bisogna pensare che oggi sono gli stessi grandi capitani d’azienda che ritengono di dover convergere sull’uso responsabile dei dati. Ci vuole fiducia verso una situazione che sta cambiando e i cui segnali sono inequivocabili.
