La notizia della “Meta-Mega-Multa” di oltre un miliardo di Euro inflitta dal garante per la protezione dei dati personali irlandese alla piattaforma di social networking evidenzia, per l’ennesima volta, l’errore di fondo dell’utilizzo politico della normativa sulla protezione dei dati personali e l’incoerenza delle autorità che hanno il compito di applicarla di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
La sanzione non è stata applicata per “violazione della privacy” cioè per qualche pratica scorretta nella profilazione degli utenti o per aver raccolto dati sulla base di presupposti giuridici non validi, ma per una ragione strutturale: i dati dei cittadini europei finiscono in USA e lì sono gestiti sulla base di regole che non garantiscono una tutela comparabile a quella prevista dalla UE perché sono più facilmente disponibili per l’apparato governativo di sicurezza.
Se, però, questo è il motivo della sanzione, allora stiamo cercando di piantare un chiodo con un cacciavite.
Anche nelle democrazie occidentali, la sicurezza nazionale è un confine di fronte al quale si fermano i diritti individuali e gli accordi tra Stati. Prova ne sia, da un lato, che nel diritto interno il segreto di Stato blocca addirittura le indagini giudiziarie e che, dall’altro, persino il trattato fondativo della UE non si applica a questo ambito, che rimane di esclusiva giurisdizione dei singoli membri.
L’argomento è straordinariamente complesso, come evidenzia bene questo studio non recentissimo ma ancora attuale di Susan Rose-Ackerman e Benjamin Billa pubblicato nel 2008 sul New York University Journal of International Law and Politics. Sta di fatto però che, nel contrasto fra politica e diritto, nulla come la sicurezza nazionale incarna l’aspirazione all’assoluta autonomia dello Stato rispetto a chiunque. Nello stesso tempo, senza ipocrisie, bisogna riconoscere che la national security exception è una comodissima scorciatoia per adottare provvedimenti senza sottoporli al dibattito pubblico.
All’interno di un ordinamento democratico c’è almeno la possibilità di un controllo parlamentare; ma, in ambito internazionale, quando ci si trova di fronte a regimi considerati non adeguatamente protettivi si può solo scegliere di non averci nulla a che fare o, a seconda dei rapporti di forza e necessità, di fare buon viso a cattivo gioco, come nel caso di Giulio Regeni.
Tornando alla questione dei dati personali esportati in USA, dunque, è concettualmente sbagliato pretendere che, in assenza di un trattato o di altro strumento pattizio, uno Stato sovrano debba garantire i diritti degli stranieri a scapito della propria sicurezza interna e pretendere di ottenere il risultato con la pressione giudiziaria.
Continuare a sanzionare aziende USA perché raccolgono dati personali nella UE e li “esportano” in America dove le autorità possono analizzarli nella speranza di una cessione di sovranità sulla sicurezza nazionale statunitense è una soluzione sbagliata dal punto di vista giuridico e irrealistica in termini politici. Multe e processi hanno un effetto sui casi individuali e non sono lo strumento da utilizzare per modificare le scelte politiche degli USA in materia di sicurezza.
Inoltre, in termini di sistema, una scelta del genere significa piegare il diritto a necessità (per quanto legittime) di natura politica, in palese violazione del principio del primato della legge e della separazione dei poteri (oltre a innescare un pericoloso meccanismo di reciprocità in base al quale altri Stati avranno titolo per “aggredire” giuridicamente la UE e i suoi membri).
Dunque, se veramente non si possono esportare dati personali verso gli USA, le autorità garanti dovrebbero semplicemente vietare questa pratica, ma dovrebbero vietarla a tutti indiscriminatamente, invece di irrogare sanzioni selettive nei confronti di specifici soggetti (ad esempio, perché Facebook sì e le aziende che sono sottoposte al Cloud Act no?)
È chiaro che se i garanti adottassero una soluzione del genere provocherebbero conseguenze di una gravità incalcolabile, il che esclude che possa anche solo essere presa in considerazione. Tuttavia, il diritto, almeno formalmente, non può (o non dovrebbe) essere condizionato da aspetti ulteriori e va (o andrebbe) applicato in modo binario: se la norma vale, vale “a prescindere”. I fatti, però, dimostrano che non è così, e dunque c’è da chiedersi quale sia il senso di utilizzare una norma giuridica per risolvere un problema politico di relazioni internazionali, se non quello di avere trasformato le autorità indipendenti da guardiane dei diritti dei cittadini in strumenti per il raggiungimento di obiettivi strategici decisi, peraltro, non dai singoli Stati membri.
Intendiamoci, è chiaro che non è minimamente pensabile arretrare sulla tutela dei diritti dei cittadini europei in nome delle necessità di altri Paesi, chiunque essi siano, USA compresi. Il punto è che la diffusione di prodotti e servizi americani legati alle tecnologie dell’informazione è talmente estesa e profonda in ogni ambito delle attività pubbliche, private e personali da rendere semplicemente non praticabile, per lo meno sul breve periodo, una qualche “autarchia tecnologica”, posto che sia un’opzione politicamente desiderabile o pragmaticamente perseguibile anche sul lungo periodo.
In un contesto del genere, dunque, la sanzione applicata a Meta (o a qualsiasi altro soggetto accusato di esportare dati in luoghi a “minore garanzia”) appare in tutta la sua contraddittorietà. Trasmette la sgradevole percezione che le norme si applichino secondo convenienza; reitera la scelta istituzionale di mettere un prezzo ai diritti consentendo, a chi può permettersi di pagarlo, di fare quello che vuole; ma soprattutto non spiega il perché soltanto ora ci si è ricordato che esiste una legge a tutela dei diritti fondamentali quando per anni terabyte di dati sono stati lasciati emigrare clandestinamente oltreoceano per finire nelle grinfie dei “cattivi”, senza che i “buoni” muovessero un dito.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte