La proposta di una regolamentazione globale della rete Internet e di tutti i fenomeni che sono ad essa riconducibili, ivi compreso il trattamento dei dati personali e la tutela della privacy degli utenti, è un pensiero ormai diffuso che vede sempre più spesso protagonisti i CEO di grandi aziende informatiche.
Ma quanto c’è di concreto? Quali sono davvero i margini per lavorarci?
Le dichiarazioni e il contesto
Satya Nadella di Microsoft, ad esempio, durante l’ultimo World Economic Forum a Davos ha elogiato proprio il GDPR quale esempio virtuoso di regolamentazione della riservatezza in un’ottica transnazionale, esortando gli Stati Uniti d’America a seguire questo esempio. A tale esortazione faceva immediatamente eco un editoriale a firma di Tim Cook il quale sottolineava la necessità di fornire ai consumatori statunitensi degli strumenti effettivi per la tutela della loro riservatezza.
L’importanza strategica di tali affermazioni è particolarmente evidente se si considera che provengono da imprenditori con sede negli USA, i quali sarebbero quindi propensi a caldeggiare forme di regolamentazione transnazionali come il GDPR per avere finalmente delle norme compatibili sia tra diversi Paesi sia tra diversi sistemi giuridici. È quello che è stato definito, dagli studiosi americani, come “Brussels effect”, ovvero la capacità dell’Unione Europea di creare delle forme di regolamentazione globale, quindi che vanno oltre l’ambito territoriale dell’UE, grazie a un insieme congiunto di norme e di strumenti di mercato.
La necessità di un framework normativo
Godere, quindi, di un corpus normativo in grado di disciplinare, con strategie comuni e condivise, la complessità dei fenomeni che Internet ha da sempre portato all’attenzione dei singoli legislatori nazionali, magari con un’operazione congiunta che veda Unione Europea e Stati Uniti disegnare delle regole insieme alle aziende che gestiscono le principali piattaforme, sebbene non possa definirsi una regolamentazione globale, comprenderebbe quanto meno buona parte del mondo occidentale. La recente riproposizione di questa idea, però, non è da catalogare come un altro side effect dell’entrata in vigore del GDPR. Già diversi anni fa ad esempio, quando iniziava a diffondersi il fenomeno del cloud computing, Brad Smith di Microsoft aveva esortato il Congresso americano a studiare delle regole che potessero essere presentate in sedi internazionali, in modo da strutturare delle norme di portata globale e risolvere quindi i problemi legati alla localizzazione delle leggi. Zuckerberg, dal canto suo, si è recentemente spinto ben oltre, esortando addirittura una collaborazione tra il potere legislativo dei vari Stati e la sua azienda, al fine di aggiornare la regolamentazione esistente e metterla al passo con i profondi cambiamenti sociali che Internet e il fenomeno dei social sta comportando. In particolare, secondo Zuckerberg, le aree sulle quali sarebbe necessario concentrarsi maggiormente sono quattro: l’individuazione e rimozione di contenuti dannosi, l’integrità elettorale, la privacy degli utenti e la portabilità dei dati.
Si tratta sicuramente di quattro aree – o forse data la loro vaghezza sarebbe più corretto definirle macroaree – particolarmente sensibili e centrali al modello di business adottato da Facebook e da altre aziende che offrono servizi in Rete. Soprattutto, la violazione di norme riconducibili direttamente ad alcune di queste macro aree è recentemente costata proprio a Facebook – sia in Europa sua negli Stati Uniti – una serie di sanzioni più o meno elevate a seconda dell’autorità che le ha emesse.
Lo strumento delle sanzioni
Mi riferisco, ad esempio, alla sanzione di un milione di euro che l’Autorità Garante italiana ha irrogato per la questione Cambridge Analytica e alla sanzione da 5 miliardi di dollari che la Federal Trade Commission ha recentemente imposto e che Facebook ha già comunicato di voler corrispondere senza tentare ulteriori difese. Proprio sulla base di queste sanzioni, che costituiscono solo le ultime di una lunga serie di sanzioni man mano avvicendatesi nel corso degli anni, e soprattutto dei fatti che le hanno generate, ritengo che la proposta avanzata da Zuckerberg non sia qualcosa di banale e meriti di essere considerata un grande passo avanti rispetto alla tradizionale concezione che vede sempre un rapporto quasi conflittuale il rapporto tra l’azienda e il Legislatore, che si sostanzia in un continuo inseguirsi l’uno con l’altro per limitare determinate speculazioni o sanzionare alcuni comportamenti.
Mai come nel mondo dei dati immateriali e delle interazioni social, infatti, queste sanzioni sono difficilmente ristorative dei beni giuridici violati e, in diversi casi, non sono neanche realmente punitive, tant’è che Facebook aveva già allocato senza particolari sforzi 3 miliardi di dollari nel primo quadrimestre fiscale proprio in previsione della sanzione della Federal Trade Commission. È evidente, quindi, che è necessario porre in essere altri paradigmi regolamentari, considerato che già in diversi ambiti ma soprattutto in quelli nominati dal fondatore di Facebook, è in atto da diverso tempo un potere regolamentare operato dall’azienda e non già da un potere governativo o statale. Si pensi, ad esempio, alla moderazione e rimozione di contenuti, oppure alla predisposizione di strumenti che possano consentire all’utente di decidere il proprio livello di privacy all’interno di una determinata piattaforma.
La proposta di un accordo
In cosa potrebbe concretizzarsi la proposta di Zuckerberg quindi? Probabilmente in una sorta di “accordo” tra Legislatore e imprese affinché il primo disegni la cornice e le regole di massima, mentre la scelta e l’implementazione pratica dei meccanismi che possano rendere effettive queste regole sia demandata ai provider o ai fornitori della piattaforma. Questa idea, del resto, sembra collimare già con diverse disposizioni contenute nel GDPR. Si pensi, ad esempio, ai concetti di privacy by design e privacy by default, oppure al principio di minimizzazione dei dati oppure, ancora, al concetto centralissimo di accountability per il titolare.
È proprio su quest’ultimo concetto, infatti, che ritengo possano incontrarsi – in maniera proficua – governi e aziende dai due lati dell’Atlantico. Se noi europei, infatti, stiamo facendo tesoro dell’esperienza del principio di responsabilizzazione contenuto nel GDPR, anche gli americani non sono nuovi a speculazioni su questo concetto e sulla sua applicazione in un’ottica business (si legga, ad esempio, il bellissimo paper di K. A. Bamberger “Regulation as Delegation: Private Firms, Decisionmaking and Accountability in the Administrative State”). Affidare la scelta delle modalità migliori per rispettare le prescrizioni di legge a chi deve concretamente progettare, implementare e gestire lo strumento tecnologico consente sicuramente di avere delle norme di respiro più ampio e di portata più generale, quindi astrattamente idonee anche a un’applicazione su base internazionale.
La Convenzione 108+
Sempre per restare nell’ambito della riservatezza, che costituisce al momento uno dei più importanti indici di rischio per violazione di leggi e conseguente irrogazione di sanzioni per tutte le aziende che operano nel digitale, un illuminante esempio è dato dalla Convenzione 108 del Consiglio d’Europa, recentemente modernizzata e rinominata Convenzione 108+, al fine di incorporare in essa una serie di principi e di strumenti tra i quali, non a caso, spicca l’accountability del titolare e del responsabile del trattamento. Se si dovesse pensare a testi normativi che possano andare nella direzione suggerita da Zuckerberg, la Convenzione 108+ può sicuramente rappresentare un brillante esempio di regolamentazione transnazionale che supera i confini strettamente europei e si offre come vera e propria “piattaforma” per la regolamentazione della riservatezza su scala globale. In tal senso, tra l’altro, si era espresso anche il dottor Buttarelli nel suo intervento occorso a Strasburgo il 17 giugno 2016 e intitolato “Convention 108: from a European reality to a global treaty”. Nel suo intervento, l’appena scomparso Garante europeo per la protezione dei dati individuava tre fattori come centrali per salvaguardare i diritti digitali:
- accountability;
- maggiori poteri per le autorità indipendenti;
- cooperazione tra queste autorità.
Riprendendo questi elementi, sulla base peraltro di alcuni positivi confronti e dialoghi che le autorità garanti hanno condotto insieme alle principali aziende del digitale, mi permetterei quindi di suggerire un quarto fattore: la cooperazione tra le autorità e le aziende, affinché problematiche innovative o particolarmente complesse possano godere di strumenti di regolamentazione agili ed effettivi della tutela dei cittadini.
