di Vincenzo Tiani
È arrivata la prima multa dal garante della privacy irlandese a Facebook, o per essere precisi, a WhatsApp, di cui Facebook è la proprietaria. Una multa di 225 milioni di euro, poca cosa se comparata al fatturato della creatura di Zuckerberg ma che singolarmente costituisce la seconda multa per valore dopo quella di 746 milioni di euro comminata dal Garante Privacy del Lussemburgo poche settimane fa ad un altro gigante tech, Amazon.
Ma al di là del merito della questione, vorrei soffermarmi a riflettere un attimo su un tema a lungo dibattuto, ovvero quello della capacità dei Garanti nazionali, per come è stato impostato il GDPR, di farlo rispettare. La norma prevede, per favorire le imprese e permettere loro di scalare il mercato europeo, di potersi interfacciare con un solo Garante, quello del Paese dove hanno la loro sede principale. In questo modo anche la Startup non dovrà preoccuparsi di assumere legali in ogni Stato dell’Unione Europea perché anche le richieste provenienti da quei Paesi saranno gestite centralmente dal proprio Garante nazionale. Complice una forte campagna di pubbliche relazioni iniziata due decenni fa negli Stati Uniti, l’Irlanda riuscì a convincere le Big Tech americane a stabilirsi lì potendo offrire forza lavoro madrelingua inglese e vantaggi economici considerevoli. Salvo Amazon infatti, tutte le Big Tech straniere hanno il loro quartier generale proprio in Irlanda.
Questa concentrazione di multinazionali tech ha però portato alla creazione di un collo di bottiglia. Con l’entrata in vigore del GDPR nel 2018, che ha riconosciuto la possibilità anche ad associazioni e ong di far valere i diritti degli utenti, nonostante le tante segnalazioni pervenute al Garante Irlandese, oltre 10.000 l’anno secondo la ong NOYB dell’attivista Max Schrems, questa è solo una delle prime in tre anni. E lo stesso si può dire dei colleghi del Lussemburgo.
Il tema dell’efficienza del sistema sanzionatorio non è importante solo per chi si occupa di privacy poiché le ultime proposte legislative europee in ambito digitale, come gli attesi Digital Services Act (DSA) per regolare la responsabilità delle piattaforme e l’AI Act sull’Intelligenza Artificiale, prevedono nuove autorità la cui composizione si rifà proprio al modello del GDPR: un’autorità per ogni Stato Membro, una “capofila” nello Stato dove l’azienda ha la sua sede principale ed un board collegiale che si riunisce a Bruxelles e che raccoglie un rappresentante per ogni autorità nazionale.
E che succede se l’autorità capofila non è solerte nei suoi compiti ispettivi e sanzionatori? Il GDPR, così come le nuove proposte legislative sul tavolo di Bruxelles, prevedono la possibilità per le altre autorità di intervenire portando davanti al board le proprie istanze. È quanto in concreto avvenuto nel caso di WhatsApp, dove gli altri Garanti, incluso quello italiano, avevano contestato l’ammontare della sanzione e il merito delle conclusioni del collega irlandese, portando dunque la multa a lievitare dai proposti 50 milioni ai successivi 225 milioni di euro.
Tutto bene dunque? Non proprio. Nel caso di WhatsApp l’azienda farà appello e questo vorrà dire che il processo si chiuderà tra qualche anno. Per evitare il rischio di lungaggini processuali, in Italia, ad esempio, la legge nazionale prevede la possibilità di rinunciare all’appello ottenendo in cambio uno sconto della sanzione del 50%. Potrebbe essere una via da percorrere in altre occasioni per accelerare i tempi dopo la sanzione.
E prima della sanzione? È giusto ricordare che queste indagini, soprattutto quando riguardano colossi tech che svolgono numerosissime attività in diversi ambiti, richiedono tempo ed expertise tecnica e giuridica che dovrebbero essere supportate dai governi nazionali con adeguate risorse economiche e umane. Come si può pensare che tra qualche anno si potrà indagare un algoritmo di intelligenza artificiale senza ingegneri, legali, umanisti, esperti di diritti umani, con le adeguate competenze e in grado di lavorare insieme? Le recenti posizioni aperte al Ministero dell’Innovazione fanno ben sperare per il futuro sia per le qualifiche richieste che per il compenso promesso. Ma non è detto che basti.
Intanto il problema del collo di bottiglia resta. Alcuni Paesi, anche con le dovute risorse, potrebbero non avere interesse ad essere troppo severi per non allontanare gli investimenti. Sulla carta il GDPR si è difeso bene dal punto di vista procedurale ma sui tempi forse c’è ancora da fare. Mi sento di concedere il beneficio del dubbio a questa norma ancora giovane ma che ha ancora molta strada da fare e deve fare i conti col fatto di essere applicata in 27 Paesi diversi, circostanza ben diversa da quella degli Stati Uniti o della Cina.
…
Articolo originariamente pubblicato su Italian Tech (Repubblica, La Stampa, Secolo XIX).
Cybersecurity360, Media
18 Maggio 2022
Rocco Panetta a CyberSecurity360 sulle linee guida dell’EDPB sul calcolo delle sanzioni
Le Linee guida 04/2022 adottate dall’EDPB sono in consultazione pubblica: si tratta di un testo dall’impatto rilevante, che punta ad armonizzare la metodologia per il calcolo delle sanzioni in caso di violazioni del GDPR