Sentenza Facebook in Irlanda, Scorza: “Trema l’ecosistema digitale, ecco l’unica soluzione”
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(Agenda Digitale)
L’ecosistema digitale trema come durante un terremoto di magnitudine senza precedenti, dopo la sentenza dello scorso 12 maggio dell’Alta Corte irlandese.
L’Alta Corte, respingendo il ricorso di Facebook, ha stabilito che non sussistono ostacoli a che il Garante irlandese per la protezione dei dati personale prosegua e concluda il procedimento avviato nei confronti del social network di Mark Zuckerberg in relazione al trasferimento negli Stati Uniti d’America dei dati personali dei cittadini europei
Perché la sentenza dell’Alta Corte Irlandese su Facebook è devastante per l’ecosistema digitale
Le ragioni per la quale i media hanno già battezzato la vicenda giudiziaria come “devastante” sono essenzialmente tre.
Guai a anticipare decisioni complesse come quelle che il Garante irlandese si trova a dover assumere ma, l’epilogo del procedimento appare segnato: è difficile, regole europee alla mano, dopo la celeberrima Sentenza con la quale la Corte di Giustizia dell’Unione europea ha annullato l’accordo stretto nel 2016 tra Europa e Stati Uniti d’America e noto come “Privacy Shield”, che il trasferimento dei dati personali tra vecchio e nuovo continente possa essere considerato lecito e, quindi, essere lasciato proseguire indisturbato.
Il problema, spesso riassunto in termini di trasferimento fisico dei dati personali tra Europa e USA e, quindi, di localizzazione dei server di Facebook è, in realtà, ben più grande perché, in effetti, disciplina americana alla mano – Cloud Act in particolare – riguarda la circostanza che i dati siano nella disponibilità giuridica di un soggetto statunitense o controllato da un soggetto statunitense e, come tale, in un modo o nell’altro, soggetto al diritto americano, incluse le disposizioni che, sebbene in numero di ipotesi inferitori rispetto a quanto accaduto in passato, accordano alle agenzie di intelligence USA il diritto di esigere di guardare dentro i silos dei colossi del web a stelle e strisce. Ergo anche se – e si tratterebbe già di un’impresa colossale, forse, in taluni casi impossibile senza incidere pesantemente sul modello di business e sull’organizzazione delle società in questione – anche se Facebook replicasse tutte le sue infrastrutture in Europa, comunque, il problema non potrebbe dirsi del tutto risolto.
Il Garante irlandese, a agosto, dopo la sentenza Schrems II della Corte di Giustizia ha avviato un procedimento nei confronti di Facebook ma, evidentemente, la voragine aperta dalla decisione dei Giudici di Lussemburgo non riguarda solo Facebook. Ovviamente ogni caso è a sé e merita una valutazione autonoma – anche perché esistono oggettivamente delle differenze anche rilevanti nelle dinamiche di funzionamento dei diversi servizi digitali forniti dalle big tech americane – ma il problema dell’assenza di un’idonea base giuridica per i trasferimenti dei dati personali negli Stati Uniti d’America non riguarda certamente solo Facebook ma la più parte dei giganti attorno ai quali, direttamente o indirettamente, ruota l’ecosistema digitale pubblico e privato.
Ne deriva che, con ogni probabilità, l’eventuale decisione del Garante irlandese contro Facebook produrrebbe effetti a catena – ancorché mediati attraverso decine di procedimenti diversi da celebrarsi davanti allo stesso Garante irlandese e davanti a altre Autorità di protezione dei dati personali in giro per l’Europa – nei confronti di una pluralità di altri soggetti e servizi utilizzati quotidianamente da milioni di soggetti pubblici e privati in tutta Europa.
In questo scenario c’è un fatto da considerare, anzi due, più importanti degli altri.
Le Autorità di protezione dei dati personali sono soggette solo alla legge e sono esclusivamente tenute a applicare la legge: non sta a loro occuparsi di politica o fare valutazioni di opportunità nell’adozione di questo o quel provvedimento. E, naturalmente, è giusto che sia così perché è garanzia di assoluta indipendenza quella che serve e che è indispensabile quando si amministra giustizia e, specie, quando ci si occupa di diritti fondamentali come accade nel caso della protezione dei dati personali.
La logica conseguenza è che se le regole attualmente vigenti conducono a una conclusione non c’è Autorità di protezione dei dati personali in Europa che possa sottrarsi dal trarre tale conclusione per quanto dirompente possano esserne gli effetti. Le linee guida del comitato dei Garanti europei adottate all’indomani della Sentenza della Corte di Giustizia, pur indicando strade e soluzioni per dotare il trasferimento di dati personali tra Europa e Stati Uniti di idonee basi giuridiche anche in assenza del Privacy Shield in molti casi, non bastano a legittimare tale trasferimento in tutti i casi.
E il caso di Facebook potrebbe essere uno tra i tanti che non trova soluzione neppure attraverso l’applicazione delle linee guida in questione.
Quale conclusione
Se questa è la situazione che si è venuta a creare occorre, ora, in maniera coerente trarre una conclusione, probabilmente l’unica possibile.
L’ecosistema Internet non è nato per essere frazionato, frammentato, sezionato in reti geopolitiche a tenuta stagna e trasformarlo in qualcosa di questo genere è prima tecnicamente e commercialmente impossibile – specie al punto in cui siamo nel suo sviluppo – e, poi, politicamente e socialmente anacronistico nella società globalizzata e, forse, anche non auspicabile.
La scommessa, quindi, non può e non deve essere quella di fare in modo che i dati personali dei cittadini europei siano trattati solo da soggetti europei o stabiliti – qualsiasi cosa con ciò si intenda dire – in Europa ma deve essere quella di fare in modo, come d’altra parte indicato nella disciplina europea, che i nostri dati personali possano essere trattati ovunque e da chiunque nel mondo a condizione che noi non si debba rinunciare a un minimo di controllo, protezione e tutela che è quella che impongono, valore, rilevanza e centralità dei dati personali nella vita, l’economia e democrazia di miliardi di persone.
Ma se le cose stanno così ora è davvero arrivato il momento che politica e diplomazia internazionale – innanzitutto quelle europee e statunitensi ma non solo quelle – accelerino nell’identificazione di strumenti giuridici capaci di garantire questo risultato perché, in assenza, è difficile vedere all’orizzonte altro se non disordine, asimmetrie regolamentari, incertezza giuridica e insicurezza diffusa per la privacy di miliardi di persone a cominciare da quella di centinaia di milioni di cittadini europei.