La sanzione a Meta e il trasferimento dei dati personali Eu-Usa: da dove siamo partiti, cosa è successo, a che punto siamo e cosa potrà accadere. L’analisi degli avvocati Giuseppe Vaciago e Valerio Vertua, partner di 42 Law Firm
La recente sanzione di 1,2 miliardi di euro a Meta è una conseguenza diretta di una pronuncia molto nota a chi si occupa di privacy: la sentenza “Schrems II”. Ma perché Schrems? O meglio: chi è Schrems?
Maximillian Schrems è un avvocato e attivista austriaco fondatore di Noyb – European Center for Digital Rights. Per capire perché è diventato attivista torniamo indietro nel tempo a quando nel 2011 da neo-laureato in Giurisprudenza va negli Stati Uniti per un semestre e conosce l’avvocato esperto di privacy di Facebook (ora Meta) Ed Palmieri per esporgli i suoi dubbi giuridici. Ed Palmieri liquida il giovane Max con poche parole sottovalutando che di lì a poco avrebbe rimpianto il modo con cui gli aveva risposto.
La materia del contendere tra Ed Palmieri e Max Schrems viene enunciata nella prima causa che quest’ultimo intraprese (“Schrems I”). La vicenda parte nel 2013 quando Schrems presenta un reclamo contro Facebook Ireland avanti l’Autorità Garante irlandese per contestare la legittimità del trasferimento dei suoi dati verso Facebook US, in quanto, come rivelato da Snowden, era coinvolta nel programma di intercettazione massiva (Prism) della Nsa. In sostanza, il governo americano e, soprattutto lo stesso presidente, potevano e possono ancora adesso accedere ai dati dei cittadini europei presenti sulle piattaforme americani senza un valido e legittimo processo giurisdizionale in grado di garantire i diritti fondamentali degli individui.
La causa arriva sino alla Corte di Giustizia dell’Unione europea e viene vinta da Schrems. Le conseguenze sono che l’accordo Eu-Usa usato come base giuridica da Facebook Ireland (ora Meta) e da molte altre aziende europee per trasferire i dati personali dei cittadini europei verso quelle aziende Usa che aderivano appunto a tale accordo non ha più alcun valore.
Nel 2016, la Commissione europea e le autorità americane raggiungono un nuovo accordo (“Privacy Shield”) per sanare questo “buco” generato dal giovane Max, il quale, tuttavia, non demorde. A luglio 2020, la Corte di Giustizia dell’Unione europea invalida anche l’Eu-Usa Privacy Shield, non ritenendolo uno strumento conforme alla normativa europea.
A dicembre 2022, la Commissione europea avvia, per la terza volta in pochissimi anni, il processo di adozione di nuovo accordo (Eu-U.S. Data Privacy Framework) ponendosi due obiettivi: a) circoscrivere sostanzialmente l’accesso ai dati personali europei da parte delle agenzie di sicurezza americane a quanto è necessario e proporzionale alla protezione della sicurezza nazionale; b) adottare un meccanismo multi livello di tutela dei cittadini europei per le violazioni dei dati personali.
Tutto sembrava andare per il meglio, ma l’11 maggio scorso c’è stato uno stop significativo: il Parlamento europeo ha votato una risoluzione con cui ritiene che l’Eu-U.S. Data Privacy Framework non sia sufficientemente migliorativo rispetto al Privacy Shield e ha invitato la Commissione a riaprire i negoziati con gli Usa per fornire il livello adeguato di protezione richiesto dalla normativa dell’Eu.
In questo quadro di particolare complessità, si innesta la pesantissima sanzione del 22 maggio scorso a Meta (e da questa impugnata) in quanto la società ha continuato (come tutte le altre del resto) a trasferire i dati dei cittadini europei negli Stati Uniti. Questa decisione fa sorgere alcune considerazioni sotto diversi profili: normativo, economico e politico.
Quella più facile, apparentemente, è quella normativo: il Gdpr ha delle previsioni stringenti rispetto agli Usa sulla protezione dei dati personali. Dopo la sentenza “Schrems II”, il trasferimento verso gli Usa in forza del Privacy Shield è illegittimo e quindi sanzionabile; Meta Ireland deve entro cinque mesi (si noti: non immediatamente) interrompere qualsiasi trasferimento di dati personali verso gli Usa e Meta Usa deve interrompere qualsiasi trattamento anche cancellando, perché appunto illegittimi, i dati precedentemente trasferiti.
C’è poi una considerazione economica: con questa decisione si mina l’aspettativa di migliaia di aziende anche europee di poter continuare a trasferire legittimamente i dati personali verso aziende americane al fine di poter proseguire ad erogare i propri servizi (anche per attività di marketing o di sponsorizzazioni) in modo efficiente ed economicamente sostenibile.
La sanzione in commento, inoltre, potrebbe avere una valenza “politica”, ossia costituire uno strumento, indiretto, per arrivare velocemente (magari entro l’estate) all’Eu-U.S. Data Privacy Framework, soprattutto dopo il freno imposto dal Parlamento europeo, rispondendo così all’esigenza di moltissimi operatori economici europei e americani di risolvere definitivamente il tema del trasferimento dei dati verso gli Usa.
Fatte queste premesse, quale sarebbe l’impatto sui cittadini europei o la loro reazione se Meta ritenesse di sospendere volontariamente (o non) qualsiasi suo servizio all’interno della Ue e se questo venisse fatto da molti altri operatori americani? Ricordiamoci che noi europei condividiamo volontariamente e quotidianamente moltissimi dati personali. Le aziende americane sarebbero disposte a perdere un mercato economicamente redditizio come quello europeo?
In questo contesto, fa decisamente riflettere la dichiarazione, riportata dalla stampa qualche giorno fa, del Ceo di OpenAi (Sam Altmean) sul fatto che la società farà il possibile per rispettare le norme europee (non solo il Gdpr ma anche in nuovo Artificial Intelligence Act), ma che in difetto verrà bloccato ChatGpt in Ee.
Quali potrebbero essere le conseguenze apocalittiche di una balcanizzazione della Rete?
Qualora non si riuscisse a trovare un accordo Eu-US sul Privacy Shield ci potremmo trovare in uno scenario frammentato con due blocchi, uno europeo e uno americano. Sullo sfondo, tuttavia, ben sappiamo che esistono già blocchi autonomi come quello cinese e quello russo. Le conseguenze di una simile balcanizzazione potrebbero essere molteplici e potenzialmente catastrofiche.
In primo luogo, avremmo una forte limitazione all’accesso alla tecnologia che, come è noto, nell’era della intelligenza artificiale si “nutre di dati”. Ne conseguirebbe una perdita di cooperazione e condivisione delle conoscenze e una limitazione dei processi di innovazione che sono mai come ora fondamentali soprattutto a livello europeo. La balcanizzazione potrebbe, inoltre, ostacolare la cooperazione economica tra stati, causando un rallentamento dell’economia globale e accentuando la disuguaglianza digitale.
In conclusione, la balcanizzazione della Rete potrebbe avere conseguenze potenzialmente disastrose che difficilmente potrebbero conciliarsi con la vita attuale che è permeata di strumenti tecnologici che conservano i dati fuori dal territorio europeo. Immaginare una vita senza Google, Meta, Apple, Microsoft, Zoom e tutte le altre piattaforme diventa un esercizio davvero improbabile, ma non per questo impossibile. Dobbiamo quindi lavorare per evitare che questo accada, senza però sottovalutare che la battaglia fatta da quel “testardo” avvocato austriaco muove da principi costituzionali ed etici di grande portata e che, banalizzarla a una impresa “donchischiottesca”, potrebbe nel tempo rilevarsi un pericolosissimo errore di valutazione.
