Cerca
Close this search box.

Privacy e Big Tech. La calda estate dei dati europei

Big Tech

Un’estate rovente, quella di quest’anno. Non solo per le temperature registrate, ma anche per i vari interventi delle Authority europee nei confronti delle attività delle Big-Tech internazionali in merito alle loro politiche di utilizzo dei dati e delle informazioni personali degli utenti.

Non dimentichiamo, infatti, che data la crescente digitalizzazione dell’economia e della società, l’Europa si è impegnata a definire la Strategia sulla data economy, un progetto di riforma del mercato unico digitale che, puntando proprio sulla gestione sicura delle informazioni e dei dati, mira a costruire una nuova economia europea data driven che non sia a totale appannaggio di poche compagnie extraeuropee.

È in tale contesto che le procedure avviate in questi ultimi tre mesi a tutela degli standard di protezione richiesti nel settore avranno, di certo, non poche ripercussioni sul mercato e sulla giurisprudenza, creando importanti precedenti sia per i procedimenti relativi al loro utilizzo per fini di marketing sulla base del cosiddetto “legittimo interesse”, sia al livello di sicurezza e protezione nel trattamento transfrontaliero.

Di particolare interesse è, infatti, il provvedimento che il Garante per la Protezione dei dati personali ha fatto pervenire, lo scorso 7 luglio, a Tik Tok in merito alla decisione della piattaforma di modificare la sua policy sulla privacy (a far data dal 13 luglio successivo, ndr) così da permettere l’engagement di utenti maggiori di 18 anni mediante pubblicità basata sulla profilazione dei comportamenti tenuti durante la navigazione.

Una decisione unilaterale, da parte della società, che in tal modo intendeva bypassare l’obbligo del consenso degli interessati previsto dall’art. 5 comma 3 della direttiva “ePrivacy” a favore di “legittimi interessi” del social network e dei relativi partner.

Il Garante della Privacy rileva un’ulteriore criticità. La piattaforma non poteva produrre alcuna prova che potesse assicurare alle autorità che il tracciamento e lo sfruttamento dei dati, ottenuti senza consenso esplicito, non avrebbe determinato l’invio di pubblicità a utenti di età inferiore ai 18 anni.

Sebbene l’immediata conseguenza di tale procedura sia rappresentata dalla decisione di TikTok di rinviare l’avvio del servizio di pubblicità basata sul legittimo interesse, gli effetti vanno ben oltre, in quanto:

1) ha evidenziato come il marketing non rientri tra le attività che possano fondarsi sull’interesse legittimo come fondamento giuridico per accedere al tracciamento delle informazioni;

2) l’aumento (o l’inasprimento) degli strumenti regolatori a tutela dell’utilizzo di dati e informazioni personali determina un continuo adeguamento delle politiche aziendali che, alla lunga, potrebbero decidere di abbandonare i cookie;

3) è stato dimostrato l’importante ruolo dell’iniziativa d’urgenza da parte di un’Autorità, un precedente che potrebbe presto ripetersi in ambito europeo.

Il caso italiano, tuttavia, rappresenta in maniera plastica il nuovo approccio europeo al rapporto con le Big-Tech sul tema delle violazioni sul trattamento dei dati personali, tra cui quello transfrontaliero che ha dato il via alla ormai nota vicenda di Google Analytics, ma che coinvolge tutti quei servizi che prevedono un trasferimento di dati verso l’estero e i loro utilizzatori.

Tali strumenti offrono, difatti, la possibilità, per le Autorità governative e le agenzie di intelligence statunitensi, di accedere ai dati personali trasferiti senza le dovute garanzie, né un livello adeguato di protezione dei dati personali degli utenti.

Vale la pena ricordare, infatti, che la Corte di giustizia dell’Unione europea (CGUE), nella sentenza del 16 luglio 2020 (Schrems II), ha invalidato il Privacy Shield, che rappresentava il quadro normativo su cui si fondavano i trasferimenti di dati personali tra l’Unione europea e gli Stati Uniti (nato a seguito della sentenza Schrems I che invalidava, a sua volta, Safe Harbor il meccanismo di gestione precedente), in quanto la legislazione statunitense non offre garanzie di tutela sufficienti per la privacy dei residenti europei.

Tale sentenza, tuttavia, individuando nella normativa statunitense la breccia del meccanismo di garanzia del trasferimento dei dati, ha in realtà invalidato le clausole contrattuali delle stesse società ed escluso anche la possibile copertura offerta dal Gdpr (il regolamento europeo per la protezione dei dati), in quanto applicabile solo in presenza di norme sulla protezione dei dati, di autorità indipendenti e di impegni internazionali assunti dello Stato terzo.

Ciò, quindi, avrebbe dovuto inibire tale attività da parte delle Big-Tech almeno fino a quando il nuovo accordo tra Usa e Ue, già siglato lo scorso marzo (ma non ancora definito nelle diverse clausole), non vedrà ufficialmente la luce.

Proprio sulla base di questo nuovo quadro di riferimento, lo scorso luglio la Commissione Irlandese per la protezione dei dati ha dato il via ad uno scontro legale nei confronti di Meta, casa madre di Facebook e Instagram, emanando un ordine preliminare di blocco a ogni illegittimo trasferimento di dati sui cittadini dell’Unione europea verso gli Stati Uniti.

Tale azione non ha determinato, naturalmente, il blocco immediato delle attività della società, ma solo il primo colpo di questa battaglia, che sta già vedendo un seguito con l’appoggio fatto pervenire dall’Autorità per la protezione dei dati norvegese, decisa a prendere una posizione intransigente su tale argomento.

Una situazione, questa, che potrebbe avere pesanti ricadute qualora la decisione ottenesse il placet delle autorità competenti oppure queste scegliessero di non sollevare obiezioni in merito. Conseguenze che potrebbero dar vita a due possibili scenari: il primo e meno probabile prevede che, come ripetutamente “minacciato” da Meta, la situazione potrebbe costringere la società statunitense a chiudere (anche solo temporaneamente) le sue offerte di Facebook e Instagram in Europa; il secondo e più plausibile, l’attivazione di un meccanismo formale di risoluzione delle controversie che permetterebbe di ritardare il processo dando, così, ai funzionari europei e statunitensi il tempo per chiudere il nuovo patto.

Tuttavia, se la situazione che riguarda Meta è già delineata, la medesima situazione potrebbe ripetersi anche per Twitter che, almeno secondo quanto riferito dal “The Washington Post” del 23 agosto scorso, vede il suo ex capo della sicurezza, Peter Zatko, sostenere che l’azienda abbia ingannato le autorità di regolamentazione in merito alla scarsa sicurezza dei propri sistemi e all’incapacità di proteggere i milioni di utenti contro hacker e spam, nonché la mancanza di un vero e solido piano di sicurezza.

Qualora una simile accusa venisse confermata, ai problemi negli Usa si aggiungerebbero quelli di un fronte europeo della crisi, di gran lunga peggiore di quanto descritto in merito alla casa madre di Facebook, e l’Autorità francese per la protezione dei dati ha già fatto sapere di aver avviato un’indagine per verificare tali dichiarazioni.

Non ci resta che seguire da vicino l’evoluzione degli eventi. Di certo stiamo assistendo a quello che potrebbe essere un netto cambiamento all’interno degli equilibri tra istituzioni europee e big-tech sul tema dei dati.

ABBIAMO UN'OFFERTA PER TE

€2 per 1 mese di Fortune

Oltre 100 articoli in anteprima di business ed economia ogni mese

Approfittane ora per ottenere in esclusiva:

Fortune è un marchio Fortune Media IP Limited usato sotto licenza.