Perché la Gdpr europea non basta a proteggere i dati

Privacy. Access Now ha calcolato che i gruppi “puniti”, con le procedure di appello riescono addirittura a ridurre del novanta per cento il pagamento finale. Si tratta con le autorità europee, si chiede uno sconto, si promette di non rubare o di trasferire più i dati e poi si ricomincia

Schermata del telefono sulla app di Facebook - LaPresse

Pubblicato 2 anni faEdizione del 15 giugno 2021

Stefano Bocconetti

La più completa, la più avanzata. La più credibile. Al punto da esser diventata uno standard mondiale, con tanti legislatori, anche dall’altra parte dell’Oceano, che dichiarano esplicitamente di ispirarsi a quelle norme. Eppure, a conti fatti, non funziona. Non funziona bene, non come si sperava. Forse perché da sola una legge non basta, non è mai bastata. Tanto più se si parla di raccolta dati, le informazioni sui nostri comportamenti on line, che producono 227 miliardi di dollari di ricavi. Solo per le Big Tech. Eppure l’Europa, tre anni fa, aveva scelto di mettere un freno, di controllare l’”estrazione” di ricchezza dai nostri comportamenti.

Si parla del Regolamento Generale sulla Protezione dei Dati, che tutti conoscono come Gdpr. Entrato in vigore nel 2018 – dopo scontri e discussioni avviati diversi anni prima a Bruxelles – è davvero uno dei testi più avanzati del mondo. Ha al centro la difesa dell’utente, della sua privacy. Si stabilisce il diritto all’oblio, obbliga, obbligherebbe, le imprese a dare conto di come vengono utilizzati i dati raccolti, lasciando alle persone la prima e ultima parola sul loro uso.

Si stabilisce il diritto alla “portatilità dei dati”, che tradotto significa – fra le altre cose – la possibilità di lasciare un “giardino circondato da mura”, come Facebook, portandosi dietro la possibilità di socializzare con gli amici, le organizzazioni, le comunità alle quali si è in contatto. Senza che qualcuno possa ficcare il naso fra le proprie carte (e vale la pena ricordare che proprio in queste ore è stato depositato al Congresso americano un progetto di legge che prevede esattamente questo). E ancora, il Gdpr prevede un coordinamento stretto fra gli Stati per applicare le leggi, oltre che multe salatissime per le big tech che le violano.

Sembrava – e forse lo era – una vera e propria “aquila in volo” a difesa dei diritti digitali. Solo che ora rischia di schiantarsi come un “Led Zeppelin”, per usare le metafore di Entelle Masse, la responsabile per la protezione dei dati dell’associazione Access Now.

Potrebbe apparire un giudizio tranchant, tanto più che in pochi giorni sono arrivate due notizie sorprendenti. La prima: la probabile apertura di un’inchiesta su Amazon che avrebbe raccolto dati personali e che quindi rischia una super multa. La seconda, rimbalzata sui media europei, davvero clamorosa: l’apertura di un’indagine sui garanti della privacy in Belgio, accusati di “non essere indipendenti dal governo”, altra cosa esplicitamente prevista dal regolamento europeo.

Notizie rilevanti che però non cambiano il quadro. Riassunto in un dettagliatissimo – 22 pagine, decine di grafici – pamphlet a cura di Access Now che ha passato sotto la lente di ingrandimenti questi tre anni dal varo delle normative.

Dal 2018, le autorità nazionali per la protezione dei dati hanno applicato 596 multe o sanzioni ad imprese. La Spagna ne ha emesso più di tutti, 223, seguita dall’Italia con 73. Il Lussemburgo una sola. Le multe, in quasi la metà dei casi, sono andate a compagnie di telecomunicazioni – com’è facile intuire – ma anche a banche, a compagnie alberghiere e, cosa forse ancora più preoccupante, ad amministrazioni pubbliche.

Di che lamentarsi, allora? Del fatto che i quasi seicento casi aperti e chiusi con una sanzione sono una briciola rispetto alle decine di migliaia di denunce che non riescono ad andare avanti. Perché? Il regolamento generale, cogliendo un elemento centrale del problema, aveva istituito “lo sportello unico centrale”. Doveva essere un centro di coordinamento per le autorità nazionali nei casi di inchiesta nei quali fossero coinvolti più paesi. Era ed è una necessità: se un utente italiano fa una denuncia perché scopre che i suoi dati sono stati venduti da un social network ad una società pubblicitaria, il responsabile di Roma deve coordinarsi col suo collega magari in Irlanda, dove c’è la sede europea di quel gruppo. Ma tutto questo non è mai avvenuto. Lo “sportello unico” risponde ad una richiesta su mille, senza fondi, senza personale. E probabilmente senza volontà politica.

E le multe poi. Una delle più grandi società tedesche immobiliari, la Deutsche Wohnen, multata per 14,5 milioni di euro due anni fa, se l’è fatta addirittura cancellare. Come misura contro la crisi economica dovuta alla pandemia. Anche le poste austriache, multate per 18 milioni, sono riuscite a farla franca completamente.

E allora? Access Now, nel documento, fa una serie di richieste (sostenendo anche – va rilevato – che la legge ad oggi non avrebbe bisogno di modifiche sostanziali). Poche cose: avviare procedure di infrazione contro quei paesi che non forniscono risorse sufficienti ai dipartimenti nazionali, snellire le procedure per lo “sportello unico”, obbligare la Slovenia – che non l’ha ancora fatto – a recepire il Gdpr. Ed altre piccoli dettagli.

Access Now – seppure molto, molto autorevole – di più non può dire. La sua rilevanza è dovuta anche e soprattutto alla sua indipendenza. Ma è facile immaginare che anche nel caso fossero accolti gli aggiustamenti proposti, le cose non migliorerebbero. Perché dall’altra parte, appunto, ci sono colossi che di ricavi fanno quanto i bilanci di quindici paesi africani. E fanno soldi tracciando le nostre vite. Una legge, anche la migliore, da sola non basta. Non può bastare. Se a fianco a quella legge, non c’è un movimento, una spinta. Se non c’è la politica, se non c’è il “basso”.

E a proposito è illuminante quel che è avvenuto in questi giorni, quando il Garante italiano ha bloccato la possibilità di inserire il green pass nell’applicazione “IO”. Perché quell’app avrebbe inviato dati personali ad un server fuori dall’Europa, e quindi non soggetto a Gdpr. Contro questa semplice decisione – imposta pure questa dalle normative europee – s’è scatenata una gazzarra. Con in testa nientemeno che Carlo Calenda, candidato a tutto ed ultimamente anche a sindaco di Roma. Seguito a ruota da Carlo Cottarelli e altri liberaldemocratici. Che accusavano l’ufficio di “eccesso di burocrazia che limita le innovazioni”.

Ma anche qui, la replica è arrivata solo ed esclusivamente dagli uffici del Garante. Il resto della politica ha taciuto, da sinistra né un comunicato, né una parola. Come se la questione fosse una burocratica interpretazione delle norme. Non una questione, un tema che sfida i nuovi signori della terra. Quelli capaci di annullare anche la migliore delle leggi possibili.

Pubblicato 2 anni faEdizione del 15 giugno 2021