T-209/21 è il numero della causa che —a prescindere dal vincitore— cambierà se non il mondo, almeno l’industria basata sui dati personali. Il primo novembre 2021, infatti, WhatsApp Ireland ha impugnato davanti alla Corte europea di giustizia una binding decision del Garante europeo che, in sintesi, mette in discussione il modo in cui l’azienda informa gli utenti oltre alla natura e all’estensione del legitimate interest per profilare gli utenti senza il loro consenso. La difesa della piattaforma di messaging è basata su sette punti, dei quali i più rilevanti sono: l’avere il Garante europeo interpretato in modo estensivo (e non consentito) la definizione di “dati personali” e la violazione della “presunzione di innocenza” imponendo a Whatsapp di dimostrare l’effettiva efficacia dei processi di anonimizzazione dei dati degli utenti invece di lasciare alle autorità competenti il dovere di accertare le violazioni. Sono due colpi micidiali perché sono diretti ai due talloni d’Achille del GDPR di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
Il primo è la violazione, da parte del GDPR e dunque dei garanti per la protezione dei dati personali, degli Engel Criteria stabiliti dalla Corte europea dei diritti umani sulla natura penale delle sanzioni amministrative che sono talmente “pesanti” da equivalere a una condanna penale. In questo caso, ritiene la corte, dovrebbero applicarsi le garanzie piene del processo penale e non quelle più limitate dei procedimenti amministrativi. La questione è molto tecnica, ma, in sintesi consiste nello stigmatizzare il comportamento di quei Paesi che aggirano le garanzie difensive.
Il secondo è lo strapotere delle autorità nazionali di protezione dei dati nell’interpretazione del GDPR che, per esempio, ha portato a qualificare il numero IP come dato personale senza distinguere i casi nei quali l’utente materiale di un computer sia effettivamente identificabile (come nel caso in cui si sia registrato per superare un paywall) da quelli nei quali, accedendo anonimamente, rimane ignoto al gestore del servizio nonostante i cookie. La Corte europea di giustizia, nel caso Breyer, aveva riconosciuto questa differenza, non così chiaramente, invece, fanno le autorità di protezione dei dati come dimostra l’approccio verso la questione dei cookie. La questione dei cookie è centrale in un altra vertenza parallela alla causa fra Whatsapp e il Garante europeo promossa in vari Paesi dell’Unione —Italia compresa— da una ONG austriaca sulla illegittimità del trasferimento verso gli USA dei dati generati dagli analytics di Google. L’autorità nazionale di protezione dei dati personali ha dato ragione alla ONG e ha stabilito che, dopo la sentenza “Schrems II”, i trasferimenti verso gli USA dei dati generati dagli analytics di Google sono illegali.
È abbastanza bizzarro che le autorità per la protezione dei dati personali si accorgano solo ora che, forse, gli analytics delle grandi piattaforme rappresentano un problema. Non serviva una sentenza per capire che nel momento in cui i DNS, la mail, le ricerche sui motori e l’utilizzo di vari servizi sono concentrati nelle mani di un unico soggetto questo soggetto è in grado di identificare chiunque, dovunque, comunque. Meglio tardi che mai, direbbe qualcuno; ma —come direbbe qualcun altro— è anche vero che il diavolo è nei dettagli. Inviare cookie di profilazione, quando sono raccolti su un computer il cui utente è anonimo (perché, ancora una volta, per esempio non si è registrato) non può essere considerato trattamento di dati personali anche se qualcun altro —Google, come si dirà più avanti— può incrociare quelle informazioni anonime con quelle che già (autonomamente) possiede. Quindi banner, avvisi e tutti i parafernalia che impestano i siti web di mezzo mondo sono semplicemente inutili. Il GDPR disciplina il trattamento diretto di dati personali, non quello di chi riceve dati anonimi da qualcun altro e poi li incrocia con altri dei quali ha la disponibilità. La cosa può non piacere, ma è fuori discussione, anche e soprattutto perché il GDPR è una normativa nata già vecchia perché pensata con la testa rivolta verso il 2000 quando il tema dello strapotere derivante dall’accumulazione dei dati era poco più di un capriccio accademico o di qualche “estremista” dei diritti civili.
Nella vicenda austriaca, però, c’è un risvolto geopolitico che non è stato adeguamente analizzato. Alla base della sentenza Schrems II (e dunque della decisione austriaca) c’è il fatto che i dati accumulati da Google possono venire messi a disposizione delle autorità investigative e di intelligence americane. Questo basterebbe, secondo la Corte europea a rendere illeciti i trasferimenti dei dati raccolti da Google sui cittadini europei. Ma, viene da chiedersi, come può un (non)Paese come l’Unione Europea ingerirsi nelle politiche interne di sicurezza di un Paese sovrano come gli Stati Uniti d’America? Una volta che i dati sono stati consapevolmente inviati oltreoceano dagli utenti europei, la loro acquisizione è regolata dalle procedure giuridiche americane che, ovviamente, non sono sindacabili da nessuno.
In conclusione, il finale di queste due vicende è, molto probabilmente, già scritto. Spero di sbagliarmi ma è ragionevole pensare che, specie per ragioni geopolitiche, le piattaforme americane soccomberanno. Se questo accadesse, siaccentuerebbe ulteriormente una paradossale conseguenza: quella della sostanziale inutilità del GDPR. Dopo le sentenze Schrems I e II e gli allarmi dei garanti dei dati personali gli scambi di dati fra Paesi dell’Unione Europea e Stati Uniti non si sono affatto ridotti e l’applicazione pratica della normativa si è ridotta a interminabili “privacy policy” che nessuno legge. Di fronte all’incapacità dell’Unione Europea e dei suoi componenti di offrire alternative tecnologiche a quelle statunitensi, una reazione “muscolare” basata su divieti che nessuno —gli utenti prima di tutti— vorrà rispettare, interrogarsi sulla natura giuridica di cookie e IP sembra tanto una curiosità accademica, mentre il mondo va da un’altra parte.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte