L’entrata in vigore di nuove normative sul trattamento dei dati, lo scandalo Cambridge Analytica e la recente sentenza Schrems II hanno contribuito, negli anni, ad inasprire il rapporto tra le grandi società del Web e le Autorità di controllo europee.
Due sono le principali censure avanzate nei confronti delle Big tech: il trattamento poco trasparente dei dati personali dell’utenza, cui non si consente neppure il corretto esercizio dei propri diritti, ed il preoccupante e incontrollato dilagare, all’interno delle piattaforme social, di disinformazione e propaganda politica.
Ma qual è l’obiettivo perseguito dall’Ue? Quello di fare piena applicazione dei principi delle normative privacy e dei diritti fondamentali, al fine di creare uno spazio digitale europeo sicuro e regolato, all’interno del quale sia limitato l’abuso dei dati raccolti dall’utenza, educando, allo stesso tempo, gli interessati ad un uso consapevole dei servizi online.
L’assenza di trasparenza e il rischio di una nuova Cambridge Analytica
Ciò che, in primis, si contesta alle Big Tech è la mancata adozione, nei confronti dei propri utenti, di politiche di trattamento dei dati chiare e trasparenti. Tale situazione di fatto lascia l’utente nella sostanziale impossibilità di controllare l’uso che tali società fanno dei propri dati e, conseguentemente, di esercitare i propri diritti. Non solo: l’utente rimane all’oscuro anche delle modalità di manipolazione dei dati dallo stesso conferiti online, divenendo facile bersaglio di fenomeni manipolatori.
Timore, questo, già da tempo confermato alla luce degli elementi emersi dallo scandalo Cambridge Analytica e dalle numerose indagini (sia pubbliche che private) svolte negli anni sul modus operandi dei colossi del web. In particolare, ciò che viene posto sotto i riflettori, sono le politiche di gestione degli advertising e dei contenuti presenti sulle piattaforme social, terreno fertile di campagne di micro-targeting aventi quale obiettivo finale quello di indirizzare l’opinione pubblica in vari ambiti.
Relativamente alla gestione degli ad a sfondo politico, sono state differenti le risposte recentemente adottate dai tre “Big” dei social:
- Twitter, fra tutte, già nell’ottobre 2019 ha impedito che sulla propria piattaforma potessero essere sponsorizzati annunci di tipo politico: “We’ve made the decision to stop all political advertising on Twitter globally. We believe political message reach should be earned, not bought. Why? A few reasons…” dichiarava sulla nota piattaforma il CEO di Twitter Jack Dorsey, delineando una prima netta presa di posizione sul tema.
- Google, invece, come indicato all’interno della “Guida di Norme Pubblicitarie di Google Ads” ha posto numerose limitazioni alla pubblicazione di ad politici, stabilendo delle regole, differenziate per Nazione, per riconoscere e bloccare tali pubblicità in quanto potenzialmente pericolose;
- In ultimo, Facebook ha deciso, nelle ultime settimane, di adottare un atteggiamento “moderato”, impedendo la pubblicazione di nuovi ads politici nella settimana precedente al voto (fissato, quest’ultimo, per il 3 novembre), al fine di prevenire che possa essere messa in atto una strategia di disinformazione “last-minute”; non solo: nei giorni che seguiranno le elezioni, il limite di pubblicazione di ads a sfondo politico per conto dei candidati (fatta eccezione, dunque, le campagne di terze parti) sarà definitivo e prolungato sino a data da destinarsi, in modo tale da ridurre maggiormente il rischio di nuovi abusi. Soluzione, questa, che sembra allinearsi a quella già posta in essere dalla concorrente Twitter e che non è di poca importanza ove si tenga conto dei ricavi che la nota piattaforma social ha ottenuto negli anni proprio dalle sponsorizzazioni dei vari candidati politici.
Il caso “hunter Biden”
Occorre evidenziare, altresì, come Twitter e Facebook stiano cercando di porre un freno anche al dilagare delle fake news. La gestione del caso “Hunter Biden” ha, infatti, ha messo in luce il nuovo rigoroso atteggiamento nei confronti del potenziale diffondersi di notizie non accuratamente verificate. Il caso ha avuto ad oggetto un articolo del New York Post, nel quale si faceva riferimento a del materiale controverso contenuto nel pc di Hunter Biden (figlio di Joe Biden, candidato democratico alla Casa Bianca): tale materiale, non essendo in alcun modo stato verificato, né in merito alla sua provenienza, né in merito alla sua autenticità, ha ingenerato molti dubbi fra i media USA, i quali hanno ritenuto potesse trattarsi di una campagna di disinformazione volta ad influenzare il voto degli elettori. Il polverone sollevato dall’articolo del New York Post ha scatenato un atteggiamento di chiusura da parte di Twitter e Facebook, che hanno prontamente rimosso o oscurato i post che rimandavano all’articolo “incriminato”.
Twitter, in particolare, aveva impedito agli utenti di condividere il link all’articolo del New York Post tramite l’apparizione di uno specifico messaggio di errore: “We can’t complete this request because this link has been identified by Twitter or our partners as being potentially harmful.” (soluzione, tuttavia, ritrattata parzialmente dalla nota piattaforma, la quale ha consentito di condividere la notizia indicandone la potenziale rischiosità, a seguito delle numerose pressioni che hanno seguito l’evento, adducendo che fosse un’ingiusta forma di censura).
Lo stesso è avvenuto nei confronti di un recente post del presidente USA Donald Trump nel quale lo stesso dichiarava che il Covid fosse meno letale dell’influenza.
Sembrerebbe, dunque, che qualcosa stia mutando, sebbene gradualmente, e che anche i “grandi” attori del mercato digitale stiano comprendendo l’importanza delle proprie azioni e la loro posizione di responsabilità nei confronti di fenomeni ad alto rischio, rendendo sempre più vicina la creazione di uno spazio digitale maggiormente consapevole e disciplinato, sebbene si stia procedendo a tentoni e sia sia ancora troppo presto per valutare se le contromisure sinora poste in essere siano non solo effettive, ma anche efficaci.
La stretta UE sulla diffusione delle fake news
In linea con l’atteggiamento di contrasto alla diffusione della disinformazione online il programma d’azione della Commissione Europea: la presidente, Ursula von der Leyen, ha annunciato che, per la fine del 2020, saranno rilasciate due policies – lo European Democracy Action Plan (EDAP) ed il Digital Services Act (DSA) – nelle quali saranno delineati i principi di contrasto ai dilaganti fenomeni di disinformazione, interferenza elettorale ed altro, i quali, peraltro, pongono in luce seri problemi di responsabilità e trasparenza da parte delle piattaforme online.
Le policies in esame sono presentate quale parte integrante di un piano strategico di mitigazione dell’extreme speech in Europa. In particolare:
- EDAP avrà quale scopo la preservazione dell’integrità delle elezioni, fornendo anche utili regole per l’advertising a sfondo politico, oltre che la libertà ed il pluralismo dei media;
- DSA, invece, avrà quale obiettivo quello di stabilire nuove, aggiornate e vincolanti regole al fine di contrastare l’hate speech online e regolare le attuali politiche pubblicitarie, ritenute eccessivamente “opache”. Il DSA consentirà, dunque, di creare un quadro comune che guidi le piattaforme, fornendo loro delle regole operative.
Obiettivi per nulla semplici, in quanto l’introduzione di nuove regole non potrà porsi in conflitto con i fondamentali principi di libertà di espressione propri dell’Unione Europea. Allo stesso tempo, le regole imposte al mercato digitale dovranno essere sufficientemente flessibili da adattarsi ad una realtà estremamente mutabile ed in continuo sviluppo, incentivando la crescita digitale consapevole e trasparente, non limitandola.
La sentenza Schrems II e la “minaccia” di Facebook
Un altro avvenimento ha scosso, negli ultimi mesi, i colossi del web: la sentenza Schrems II resa dalla Corte di Giustizia dell’Unione Europea. Ciò che si richiedeva alla Corte era di valutare se i requisiti del diritto interno degli Stati Uniti, con particolare riferimenti ai programmi che consentono alle autorità pubbliche USA di accedere ai dati personali trasferiti dall’UE ai fini della sicurezza nazionale, garantissero ai cittadini europei garanzie equivalenti a quelle previste dal diritto UE e consentissero, allo stesso tempo, di far valere i diritti azionabili dagli interessati in sede giudiziaria anche nei confronti delle stesse autorità statunitensi.
All’interno del provvedimento, cui si rinvia per maggiori approfondimenti, la Corte ha:
- In primo luogo, dichiarato l’invalidità della decisione di esecuzione della Commissione Europea del 12 luglio 2016, sull’adeguatezza delle tutele offerte dal regime dello scudo UE-USA per la protezione dei dati personali, noto anche come “Privacy Shield”, in quanto ritenuto non conforme ai principi regolatori del Reg. UE 679/2016 (conosciuto come “GDPR”);
- Affermato che le garanzie adeguate, i diritti azionabili e i mezzi di ricorso effettivi richiesti dal GDPR “devono garantire che i diritti delle persone i cui dati personali sono trasferiti verso un paese terzo sul fondamento di clausole tipo di protezione dei dati (nda: standard contractual clauses o SCC) godano di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da tale regolamento, letto alla luce della Carta dei diritti fondamentali dell’Unione europea”;
- Sancito l’esclusione dall’applicazione delle SCC per quei trasferimenti che siano soggetti ad accesso da parte delle autorità pubbliche straniere (come i programmi di sorveglianza governativa esaminati nella sentenza di cui si parla), di fatto rendendo del tutto inconsistente il tentativo delle big tech di “legittimare” temporaneamente i propri trattamenti con un intervento meramente burocratico.
La mancata previsione di periodi di sospensione dell’efficacia della sentenza ha poi comportato:
- L’immediata illiceità del trattamento posto in essere dai colossi del web nei confronti dei propri utenti, in quanto dotati di server collocati in USA;
- l’immediata esposizione di tutti i titolari del trattamento europei (siano essi piccoli o grandi, oppure operanti nel settore B2B o B2C) alla potenziale applicazione di pesanti sanzioni, non ritenendosi più il trasferimento oltreoceano dei dati raccolti conforme alle disposizioni europee in materia di trattamento dei dati personali (le precisazioni fornite sul punto Dal Comitato Europeo per la Protezione dei Dai – EDPB).
A conferma dell’esito rivoluzionario della sentenza Schrems II, si rileva che l’Autorità irlandese per la protezione dei dati personali (DPC) ha provveduto a fare rapida applicazione del contenuto della stessa, intimando a Facebook (avente sede legale in Irlanda per note motivazioni di carattere fiscale) di cessare il trasferimento dei dati degli interessati europei negli USA. Un adempimento per nulla semplice, in quanto renderebbe necessaria la reingegnerizzazione di tutti i processi di trattamento dei dati e, dunque, la temporanea cessazione, in Europa, di tutti i servizi forniti dalle società oltreoceano.
La risposta fornita da Facebook per il tramite del proprio consulente legale Yvonne Cusanne è stata, come prevedibile, fermamente negativa. La stessa non saprebbe come offrire i propri servizi in Europa in tali circostanze: la temporanea interruzione dei servizi sull’intero territorio europeo, infatti, oltre a comportare delle problematiche di tipo squisitamente tecnico, comporterebbe l’assunzione di costi non indifferenti (sia per la sanzione applicabile, stimata in circa 3 miliardi di dollari, sia per il venir meno degli introiti derivanti dall’utilizzo dei dati dell’utenza europea, circa $ 13,21 pro capite, per un totale di circa 7000 miliardi di dollari).
Le ripercussioni della sentenza Schrems II sul mercato digitale
Nonostante tale provvedimento sia da accogliere positivamente, in quanto simbolo di una chiara e rigorosa presa di posizione da parte degli organi di giustizia europei, non si può non evidenziare sinteticamente quali e quante siano state le conseguenze pratiche del venir meno del Privacy Shield per tutti i titolari, con sede in Europa, che fanno affidamento sui servizi forniti dalle Big Tech.
Moltissime sono, infatti, le imprese la cui operatività dipende proprio dai servizi forniti dalle grandi società USA, per numerose motivazioni di carattere pratico-economico, financo per la semplicità di utilizzo ed implementazione di questi strumenti, la diffusione degli stessi (che rende più semplice la comunicazione fra operatori economici) e, persino, per il competitivo costo di utilizzo (spesso esiguo o nullo). Tutti profili, questi, che dovranno necessariamente essere messi in discussione da parte delle Autorità Europee.
Anche l’eventuale sostituzione del Privacy Shield con un nuovo accordo, essendo quest’ultimo subordinato all’adozione di un sistema federale di protezione dei dati personali che consenta una maggiore tutela dei cittadini europei, risulta di difficile attuazione in tempi brevi.
EDPB, tuttavia, ha annunciato la creazione di due task force il cui obiettivo è quello di fornire un prezioso supporto a tutte le società che, ad oggi, trasferiscono dati extra UE, fornendo delle raccomandazioni che consentano ai titolari del trattamento di implementare misure di sicurezza tali da garantire la compliance al disposto normativo del GDPR.
Ciò che maggiormente si evince dal quadro generale, in sintesi, è che, ove tale situazione dovesse perdurare, le società digitali oltreoceano saranno direttamente esposte non solo al rischio di nuove pesanti sanzioni (le quali, tuttavia, non hanno mai intaccato il predominio digitale delle Big Tech), ma anche alla perdita di quote di mercato sul territorio europeo, preferendo i titolari UE rivolgersi a realtà locali che li facciano sentire maggiormente al sicuro. Tale ultima prospettiva, potrebbe portare i colossi del web a riorganizzare i propri assetti secondo nuove direttive, maggiormente conformi alle normative europee.
Conclusioni
Tutto ciò premesso, si auspica che il cambio di direzione posto in essere dalle Autorità e, più gradualmente, dalle Big Tech, possa portare ad una positiva crescita del web, ad una maggiore partecipazione dell’utente, sinora tenuto in disparte nella gestione e nell’utilizzo dei propri dati personali e delle proprie scelte decisionali, affinché il futuro della rete possa essere improntato a principi di trasparenza, condivisione e consapevolezza.
