Big tech sotto la lente di ingrandimento delle autorità europee. Dopo essersi mosso con incredibile tempismo sulla vicenda WhatsApp, il nostro Garante per la protezione dei dati personali ha recentemente disposto il blocco del social network TikTok, aprendo successivamente un fascicolo anche su altre due piattaforme. Più a nord in Europa, mentre l’Autorità di controllo norvegese (Datatilsynet) ha annunciato che potrebbe comminare una sanzione da 100 milioni di corone norvegesi (pari a circa 10 milioni di euro) ad una app di dating, la Data Protection Commission irlandese, secondo alcune voci, parrebbe pronta ad irrogare una importante sanzione fino a 50 milioni di euro.
Si tratta di notizie assai rilevanti (sulle quali ho già avuto occasione di esprimere qualche commento) e che probabilmente sono solo la punta di un iceberg che nei prossimi mesi vedremo pian piano emergere. Ecco perché ritengo sia fin da subito importante fare un po’ di luce su alcuni degli aspetti della normativa privacy coinvolti in queste vicende e sulle “armi” in mano alle autorità europee, che non si limitano alle sanzioni ma comprendono strumenti che potrebbero avere un potere anche più deterrente.
GDPR e società straniere
Molto spesso le grandi piattaforme di internet hanno la propria sede negli Stati Uniti o in Cina. Ciò di per sé non permette di escludere l’obbligo di rispettare la normativa europea sulla privacy e di sottrarsi alle conseguenti sanzioni in caso di inosservanza. Il Regolamento Generale sulla Protezione dei Dati (GDPR), infatti, innovando rispetto alla previgente disciplina, dispone che un titolare (o un responsabile) che non sia stabilito in Unione Europea deve rispettare le norme del Regolamento se tratta dati personali di interessati che si trovano nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o servizi a tali interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’UE (il riferimento è all’articolo 3.2 del GDPR, arricchito dai considerando 23 e 24).
L’ammontare delle sanzioni
Il Garante norvegese ha deciso di proporre una sanzione che si assesterebbe attorno a circa 9 milioni di euro. Ciò in virtù di quanto previsto dal GDPR, il quale – dopo aver prescritto alle autorità di controllo di provvedere affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive (articolo 83.1) – prevede che l’ammontare di tali sanzioni, tenuto conto dei criteri dati dallo stesso Regolamento (articolo 83.2), possa raggiungere i 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per una serie di violazioni (articolo 83.4), con i valori che salgono a 20 milioni e al 4% per altre (articolo 83.5).
La procedura d’urgenza
Prendendo a riferimento il caso Tik Tok, con il provvedimento dello scorso 22 gennaio, il nostro Garante ha disposto “[…] la misura della limitazione provvisoria del trattamento, vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”, fissando al prossimo 15 febbraio il termine della misura. Si tratta di un intervento adottato in ossequio alla disciplina dettata dal GDPR, ove viene concesso alle autorità nazionali di derogare ai meccanismi e alle procedure ordinarie in casi di particolare urgenza (si tratta dell’articolo 66: «In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi […]”).
Previsioni future
Desidero concludere con una considerazione di più ampio respiro dettata dal susseguirsi degli eventi degli ultimi mesi. L’impressione è che gli interventi delle autorità – prima fra tutte quella italiana, ma anche quella irlandese, il cui attivismo si attendeva da tempo – si stiano allineando su direttive comuni. Si tratta di un dato importante, che suggerisce di aspettarsi nel breve periodo ulteriori mosse – magari anche da parte di altre autorità – nella partita a scacchi sullo strapotere delle big tech. Ad oggi è difficile prevedere quali saranno gli esiti delle varie iniziative sui tavoli delle autorità. Emerge tuttavia un altro dato interessante: i garanti europei stanno iniziando a sfruttare appieno l’armamentario giuridico offerto loro dal GDPR.
Resta aperto il tema del reale enforcement a livello internazionale in caso di sanzioni inflitte a multinazionali non stabilite all’interno del territorio dell’Unione Europea. Voglio a tal riguardo ricordare che l’enforcement non avviene solo attraverso l’irrogazione di sanzioni amministrative pecuniarie, ma anche mediante ordini esecutivi di blocco dei trattamenti e quindi delle relative banche dati e, in caso di attività online e siti Internet, anche attraverso l’oscuramento di tali siti. Credo che possa rappresentare un deterrente enormemente più dissuasivo il rischio di blocco dei trattamenti piuttosto che l’irrogazione di sanzioni pecuniarie.
