L'Ue dice che il Gdpr funziona così così, e tutti hanno in mente un colpevole
Molti osservatori cominciano a pensare che l’Irlanda non sia soltanto sommersa dalle richieste, ma che abbia anche qualche interesse a non fare troppo arrabbiare Big Tech
Milano. Il Gdpr, il regolamento europeo per la difesa dei dati personali, è stato approvato con gran fanfara poco più di due anni fa, nel maggio del 2018. Fu un successo per l’Unione: una norma per la difesa della privacy di valore mondiale, che infatti fu copiata da molte altre democrazie, dal Giappone all’India alla Corea del sud. Per la gran parte dei cittadini europei, il Gdpr è quella cosa molto fastidiosa che ci costringe a dare ok frettolosamente alle richieste sui cookie quando apriamo un sito web (sbagliato, bisognerebbe perderci qualche secondo e negare il consenso), ma dietro le quinte il Gdpr avrebbe dovuto essere molto più, uno strumento capace di tenere a bada le grandi aziende di internet con la deterrenza e con multe salatissime per chi sgarra e vìola la riservatezza dei dati dei cittadini (fino al 4 per cento delle entrate di un’azienda, contate che le entrate di Facebook nel 2019 sono state 70 miliardi di dollari e fate i conti).
Ieri la Commissione europea ha pubblicato un report in cui fa una valutazione dell’efficacia del Gdpr a due anni dalla sua entrata in vigore, e le cose non sono andate lisce come avrebbero dovuto. Anche se il Gdpr sta funzionando, dice il report, ci sono state differenze tra stato e stato nella sua applicazione, che non è per niente omogenea. Inoltre, per ora praticamente nessun provvedimento è stato preso contro le grandi piattaforme, mentre per le imprese medie e piccole l’applicazione della normativa è stata complessa e difficile. L’attenzione di tutti gli osservatori si è concentrata su un passaggio in cui si legge che in particolare le autorità di protezione dei dati di Irlanda e Lussemburgo devono rafforzare i propri ranghi e darsi da fare, perché è lì che “hanno la sede le più grandi multinazionali di Big Tech”.
Il punto è questo: quando bisogna aprire un’indagine su un’azienda che processa dati in più paesi, secondo il Gdpr l’iniziativa deve essere presa dalle autorità garanti dei paesi in cui si trova la sede di quest’azienda. Per ragioni fiscali ben note, le multinazionali della Silicon Valley hanno sede tutte o in Irlanda (Apple, Facebook, Google, Microsoft) oppure in Lussemburgo (Amazon). E se la posizione del Lussemburgo è più comprensibile (è un paese da 600 mila persone, la burocrazia arriva dove può), quella dell’Irlanda lo è meno: in oltre due anni l’autorità irlandese per la protezione dei dati ha emesso zero sentenze sulle grandi piattaforme, a fronte di migliaia e migliaia di segnalazioni e denunce.
I difensori dell’autorità irlandese dicono che Dublino ci sta provando: nessuno era preparato all’arrivo di oltre 7.000 denunce soltanto nel 2019, e il personale dell’agenzia è passato da 29 dipendenti a 175. Eppure, come ha scritto Politico Europe, quando la commissaria Helen Dixon, a capo dell’autorità, ha chiesto di aumentare i fondi del 40 per cento il governo di Dublino ha detto di no, e l’agenzia l’anno scorso è stata oggetto di un rimescolamento del personale che ha fatto rallentare moltissimi casi. Così molti osservatori cominciano a pensare che l’Irlanda non sia soltanto sommersa dalle richieste, ma che abbia anche qualche interesse a non fare troppo arrabbiare Big Tech: dopo tutto avere in casa le sedi delle più grandi aziende del mondo dà posti di lavoro e prestigio. “La sensazione è che non ci sia una grande volontà di creare delle autorità di protezione dei dati capaci di farsi valere”, dice al Foglio Innocenzo Genna, giurista ed esperto di policy europea. “E siccome queste autorità sono autonome e indipendenti, è facile renderle poco efficienti con metodi borderline”.
Qualche mese fa la Dixon aveva detto che le prime sentenze su casi internazionali (in particolare una su Facebook è attesa da più di un anno) sarebbero arrivate nella prima metà del 2020. Siamo quasi a luglio.