A seguire le notizie di questi tempi viene da spararsi. Poi, per fortuna, l’universo ci ricorda che le cose, nel bene e nel male, non vanno mai così lisce come le immaginano gli umani.
Indice degli argomenti
La sentenza antitrust che non cambia nulla
Nell’estate 2024 quelli che si divertono a seguire queste cose erano in festa per una notizia gioiosa quanto oggettivamente inaspettata: Google aveva perso la più importante causa antitrust del secolo: il giudice Amit Mehta aveva deciso che l’azienda godeva di una posizione di assoluto dominio nel settore della ricerca e della pubblicità online, e che aveva ottenuto questa posizione con metodi illegali, incluso per esempio pagare i produttori di cellulari (fra cui Apple, che tecnicamente avrebbe un motore di ricerca concorrente di Google, e smettetela di ridere) per mettere Google come motore di ricerca di default.
Dico notizia inaspettata perché oltre vent’anni fa anche Microsoft aveva avuto la sua bella causa antitrust negli USA, ed era riuscita a cavarsela convincendo i giudici che Apple, col suo bel 2-3% di mercato, e in vita grazie agli investimenti di Microsoft, era un concorrente tale nel settore dei sistemi operativi da rendere nulla l’accusa di monopolio.
Questa, in termini grossolani, fu la ragione ufficiale. Le ragioni non ufficiali preferisco non saperle, che poi mi rattristo, mi imbestialisco e finisco a dire cose che poi Gesù non mi vuole più bene.
Partendo da queste basi, potete capire come un giudice statunitense che arriva e dice che invece Google sì abusa della propria posizione dominante per mantenere il monopolio del mercato, abbia causato una certa sorpresa, e perfino un certo contenuto entusiasmo.
Questo, ovviamente, era il giudizio d’insieme: sì, Google ha usato la propria posizione dominante nella ricerca e nei browser per impedire che i propri concorrenti potessero ottenere quote di mercato di una qualche significanza.
Può sembrare strano, ma viviamo in tempi dove per decidere una cosa del genere occorre un giudice, non bastano i dati.
Gli Stati Uniti sono strani: la loro intera economia si basa sul raggiungere posizioni dominanti in qualsiasi mercato a qualsiasi costo e con qualsiasi mezzo; e se poi i concorrenti sono stranieri ci sono sempre i Marines e l’esportazione della democrazia.
Poi, quando qualcuno, rigorosamente incorporato negli USA, ottiene effettivamente una posizione di monopolio, ogni tanto all’improvviso si svegliano e diventano difensori del mitologico “libero mercato” che prima, quando ancora c’era non se lo filava nessuno.
Ad ogni modo, non facciamo i pedanti e portiamoci a casa il risultato.
L’attesa delusa: Chrome resta a Google
Ovviamente la decisione da sola, senza le conseguenze, non dice niente. E quindi da aprile 2025, quando è cominciata la fase del processo in cui si doveva decidere le azioni punitive contro Google, tutti abbiamo aspettato con pazienza che il giudice distrettuale Amit Mehta ci dicesse quali conclusioni concrete traeva dalla propria decisione contro il monopolista Google.
Nel corso della primavera si è parlato della vendita di Chrome. Credo che se si fosse dovuto discutere di spostare il Vaticano al di fuori dell’Italia la discussione sarebbe stata meno accesa.
Abbiamo sentito persone argomentare, persino fra quelle che non sono fanboy di Google, che vendere Chrome sarebbe stata una iattura, perché poi chi avrebbe mantenuto Chromium, il motore open source su cui si basano sia Chrome sia molti degli altri browser, incluso fra gli altri Firefox, mantenuto dalla no-profit Mozilla Foundation che conta Google fra i primi finanziatori.
Il che ci ricorda che disastro epocale sia l’industria del software oggi. Ma ne parliamo un’altra volta.
Poi è saltato fuori quello con la faccia di chi si è appena svegliato e si ritrova su una luna di Saturno, Sam Altman, a dire che Chrome lo comprava lui.
Come se vendere un pezzo di un monopolio di Google al monopolio di OpenAI, e non bruciare i monopoli fino alle fondamenta, fosse la soluzione a qualcosa. Avrei anche qualcosa da dire sul condannare i monopolisti e i loro consigli di amministrazione a una vita di lavori socialmente utili, ma mi contengo che siamo a inizio stagione.
E quindi è passata l’estate, e tutti a chiedersi quale pena avrebbe comminato il buon giudice Mehta.
Quando la decisione è arrivata, l’effetto cumulativo di milioni di palle cadute contemporaneamente al suolo è stato registrato dai sismografi di tutto il mondo ed erroneamente attribuito all’impatto di un piccolo asteroide.
Perché il buon giudice Mehta
- non ha disposto la vendita forzosa di Chrome;
- non ha disposto lo smembramento di Google in più società, una per il motore di ricerca, una per il browser, una per la pubblicità online;
niente di tutto questo.
Mehta called on the $2 trillion company to share some of its search data (specifically certain search index and user interaction data, though not advertising data) with third parties and called for the establishment of a technological oversight committee to monitor the company’s compliance with the ordered measures for six years.
Il giudice ha proibito a Google di continuare a pagare i produttori di telefoni e tablet perché Google sia il motore di ricerca di default. Ma non ha vietato che Google continui a pagare gli stessi produttori perché i propri tool continuino a essere preinstallati su quegli stessi device.
Proprio come succede con Windows, che ogni volta che compri un PC te lo ritrovi già preinstallato (e incluso nel prezzo).
Non pago di cotanto furore antimonopolistico, il giudice ha pure imposto a Google di condividere con i propri concorrenti alcuni dei dati in suo possesso.
Non i dati di advertising, dio non voglia, ma alcuni dati di indicizzazione del motore di ricerca, e alcuni dati relativi alle interazioni degli utenti.
E non tutti i dati, ma solo quelli che Google, a proprio giudizio riterrà “non sensibili”. Sensibili ovviamente non nel senso del GDPR, ma nel senso che costituirebbero, o potrebbero rivelare, proprietà intellettuali di Google. A giudizio di Google, e poi se un concorrente vuole contestare la decisione può fargli causa.
Ciliegina sulla torta, il giudice ha disposto la creazione di un comitato di controllo che per sei anni dovrà vigilare sul rispetto delle disposizioni giudiziali.
Buona fortuna al comitato, che ne avrà bisogno.
Cory Doctorow ha chiamato la decisione “il peggior risultato possibile dell’antitrust”.
D’altra parte, questo è quello che succede quando si lascia che esistano società valutate tremila miliardi di dollari, e un pubblico dipendente dovrebbe giudicarle, e non voglio dire altro.
Ma naturalmente il disastro con cui si apre la nuova stagione non è finito.
Il caso Latombe e il fallimento della privacy europea
Un paio di anni fa, ricorderete, la Commissione ha approvato lo EU-US Trans Atlantic Data Privacy Framework, TADPF per gli amici. Il TADPF doveva ristabilire la liceità dei trasferimenti di dati personali europei negli USA dopo che i precedenti accordi bilaterali, il Privacy Shield e il Safe Harbor, erano stati inceneriti dalle sentenze Schrems I e Schrems II della Corte di Giustizia Europea.
In pratica, la Corte aveva stabilito che le cosiddette “misure” cui gli USA giuravano di attenersi erano puro teatro, a fronte del fatto che lo US CLOUD Act e svariati ordini esecutivi stabiliscono che i servizi possono non solo raccogliere dati indiscriminatamente tramite la propria rete di sorveglianza, ma anche ottenere in segreto l’accesso ai dati di chiunque, americano o meno, che siano in possesso di qualsiasi azienda americana, indipendentemente da dove i dati siano conservati.
C’è stata prima dell’estate la deposizione di fronte al Parlamento francese del rappresentante di Microsoft, che ha candidamente ammesso di “non poter garantire” la riservatezza dei dati europei nei server di Microsoft contro le ingerenze delle agenzie USA.
Per chi riesce a leggere questo genere di cose senza vomitare e senza mettere mano alla fondina, consiglio la lettura di Cyber.War, di Riccardo Varisco, che gli dedica un capitolo.
Quindi dopo Schrems II la Commissione si è trovata nelle condizioni di dover negoziare un nuovo accordo, ben sapendo che la posizione statunitense dalla fine della Seconda Guerra Mondiale è “i nostri dati sono nostri, e i vostri dati sono nostri anche quelli”.
Con l’aiuto peloso dell’amministrazione Biden è stato messo insieme un nuovo accordo, il TADPF appunto, che sulla carta sembra tanta roba. Addirittura, si stabilisce una Commissione di vigilanza sulla privacy e i diritti civili (Privacy and Civil Liberties Oversight Board), un Responsabile della Protezione delle Libertà Civili (Civil Liberties Protection Officer) e una Corte di Revisione per la Protezione dei dati (Data Protection Review Court) a cui i cittadini europei possono appellarsi per stabilire se ci sia stata una violazione dei loro diritti da parte delle agenzie di spionaggio USA.
Poi si scoprono due cose:
- che la Commissione di vigilanza sulla privacy e i diritti civili è di nomina governativa
- che la Corte di Revisione per la Protezione dei dati si riunisce e delibera in segreto
- che il Responsabile per la Protezione delle Libertà Civili risponde al direttore della National Intelligence, cioè al direttore dei servizi segreti.
A questo aggiungete che Trump ha imposto le dimissioni ai tre rappresentanti di area democratica della Commissione di vigilanza sulla privacy e i diritti civili, la quale a oggi resta con un solo membro attivo, repubblicano, mentre il quinto membro, repubblicano pure lui, si era già dimesso.
A questa cosa ho già dedicato il podcast 21 della 9a stagione, “Con amici così”, se avete lo stomaco potete andare ad ascoltarlo.
La Corte Generale Ue boccia la tutela dei dati
Appunto come reazione a questo stato di cose, il deputato francese Philippe Latombe ha presentato un’istanza alla Corte Generale dell’Unione, chiedendo che il TADPF fosse invalidato per (almeno) tre motivi:
- le agenzie USA possono continuare a raccogliere enormi quantità di dati sui cittadini europei, in violazione ai principi di minimizzazione e proporzionalità del GDPR
- la cosiddetta Corte di Revisione per la Protezione dei dati non è indipendente e non offre le garanzie rchieste dal GDPR
- il TADPF non tiene in considerazione l’assenza negli USA di tutele nel caso di decisioni automatizzate
La decisione della Corte Generale è arrivata lo scorso 3 settembre, e la reazione più contenuta da chi si occupa di tutela dei dati personali, e la sola riportabile nella sua interezza, è stata “e va beh, ma allora ditelo” da parte di un avvocato che ha chiesto di rimanere anonimo e che il giorno seguente ha preso un volo di sola andata per aprire un chiringuito a Cuba.
La mia personale reazione l’ho anche registrata, ma mi si conferma che può solo essere trasmessa come un bip continuo della durata di tre minuti e diciassette secondi.
Cosa ha deciso la Corte Generale dell’Unione Europea?
- che la Corte di Revisione per la Protezione dei dati, pur essendo di nomina governativa, garantisce sufficiente indipendenza
- che le agenzie possono tranquillamente raccogliere dati in massa, che tanto c’è la suddetta Corte che, a posteriori, può dirgli che sono stati cattivi
- riguardo alle decisioni automatizzate, che gli USA offrono, sulla base della propria legislazione nazionale, e dei propri impegni internazionali, un livello di tutela dei diritti e delle libertà fondamentali sostanzialmente equivalente a quello garantito nell’Unione.
Riguardo a quest’ultimo punto io faccio notare che lo stesso può essere detto della Cina. Chi non ci crede può andare a leggersi la legge cinese sulla protezione dei dati e godere del fatto che in Cina dirigenti e CEO rispondono civilmente e penalmente delle violazioni e dei data breach.
Come ha stupendamente riassunto uno di voi sul DataKnightmare Fan Club su Telegram:
– intanto i buoi scappano, poi se vuoi puoi dire che erano tuoi, e
– la tua macchina non ha le caratteristiche per passare la revisione ma intanto circola, però raccomando ai vigili di fermarla se il traffico peggiora
Da notare anche il fatto che la Corte ha ribadito che la decisione si basa sullo stato dei fatti di quando è stata presentata l’istanza, cioè due anni fa, prima che Trump iniziasse a fare il Trump e licenziasse tre membri su cinque della Commissione di vigilanza su privacy e diritti civili perché sí.
Ora, ovviamente, occorre pensare che la Corte Generale è la corte di prima istanza, e che questa decisione ignora completamente le decisioni Schrems I e Schrems II della Corte di Giustizia dell’Unione Europea, che è la corte di seconda e ultima istanza. Quindi aspettiamo che Latombe o chi per lui presenti ricorso presso la Corte di Giustizia e magari fra un paio di anni arriveremo a una Schrems III, e la Commissione dovrà negoziare con gli Stati Uniti un altro accordo-farsa.
I primi segnali di cambiamento dal basso
Capite che la situazione è disperata, per quanto non seria.
Eppure…
Eppure, mentre i nostri politici si sbucciano lingua e ginocchia in patetici proclami di fedeltà transatlantica, l’impero sta crollando. E lo dico con convinzione non perché ci siano chissà quali sconvolgimenti. Ma perché ci sono le prime crepe.
E una diga con una crepa ha un destino segnato.
Alcuni di voi, che rimarranno anonimi, mi hanno scritto per raccontarmi, ciascuno nel proprio caso, una storia che ha dell’incredibile.
Un loro fornitore europeo di Software As A Service, diverso in ciascun caso, gli ha scritto dicendo “guardate, vista la situazione negli USA, noi abbiamo spostato la nostra infrastruttura dal cloud della tal azienda statunitense, con server in Europa, al cloud della tal azienda UE, sempre con server in Europa. Distinti saluti”.
Ora. Una volta è un caso.
Due volte, una coincidenza.
Tre volte, comincia a essere qualcosa.
Da lì in poi, è una tendenza.
Dice il saggio che ogni viaggio di diecimila miglia inizia con un singolo passo.
A quanto pare, noi siamo già sulla strada.
