Privacy online, non solo sanzioni contro le Big Tech: le mosse e le “armi” delle Autorità Ue | Agenda Digitale

Garanti vs big tech

Privacy online, non solo sanzioni contro le Big Tech: le mosse e le “armi” delle Autorità Ue

Dall’Italia alla Norvegia, passando per l’Irlanda, si susseguono gli interventi delle Autorità nei confronti delle Big Tech. Emerge, da queste iniziative un dato interessante: i garanti Ue non solo si stanno allineando, ma cominciano a sfruttare tutto l’armamentario giuridico offerto dal GDPR. Non solo sanzioni dunque

29 Gen 2021
Rocco Panetta

avvocato, managing partner di Panetta & Associati, esperto di Internet e Privacy, Country Leader per l’Italia di IAPP International Association of Privacy Professionals

PARIS, FRANCE - JANUARY 13 In this photo illustration, the logos of social media applications Messenger, WhatsApp, Twitter, Signal and Telegram are displayed on the screen of an iPhone on January 13, 2021 in Paris, France. Since WhatsApp announced a change to its privacy rules, users are moving to other encrypted messaging, 25 million users have joined Telegram secure messaging in the past 72 hours, Russian founder Pavel Durov announced on Tuesday. (Photo illustration by Chesnot/Getty Images)

Big tech sotto la lente di ingrandimento delle autorità europee. Dopo essersi mosso con incredibile tempismo sulla vicenda WhatsApp, il nostro Garante per la protezione dei dati personali ha recentemente disposto il blocco del social network TikTok, aprendo successivamente un fascicolo anche su altre due piattaforme. Più a nord in Europa, mentre l’Autorità di controllo norvegese (Datatilsynet) ha annunciato che potrebbe comminare una sanzione da 100 milioni di corone norvegesi (pari a circa 10 milioni di euro) ad una app di dating, la Data Protection Commission irlandese, secondo alcune voci, parrebbe pronta ad irrogare una importante sanzione fino a 50 milioni di euro.

Si tratta di notizie assai rilevanti (sulle quali ho già avuto occasione di esprimere qualche commento) e che probabilmente sono solo la punta di un iceberg che nei prossimi mesi vedremo pian piano emergere. Ecco perché ritengo sia fin da subito importante fare un po’ di luce su alcuni degli aspetti della normativa privacy coinvolti in queste vicende e sulle “armi” in mano alle autorità europee, che non si limitano alle sanzioni ma comprendono strumenti che potrebbero avere un potere anche più deterrente.

GDPR e società straniere

Molto spesso le grandi piattaforme di internet hanno la propria sede negli Stati Uniti o in Cina. Ciò di per sé non permette di escludere l’obbligo di rispettare la normativa europea sulla privacy e di sottrarsi alle conseguenti sanzioni in caso di inosservanza. Il Regolamento Generale sulla Protezione dei Dati (GDPR), infatti, innovando rispetto alla previgente disciplina, dispone che un titolare (o un responsabile) che non sia stabilito in Unione Europea deve rispettare le norme del Regolamento se tratta dati personali di interessati che si trovano nell’Unione, quando le attività di trattamento riguardano l’offerta di beni o servizi a tali interessati nell’Unione o il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’UE (il riferimento è all’articolo 3.2 del GDPR, arricchito dai considerando 23 e 24).

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

L’ammontare delle sanzioni

Il Garante norvegese ha deciso di proporre una sanzione che si assesterebbe attorno a circa 9 milioni di euro. Ciò in virtù di quanto previsto dal GDPR, il quale – dopo aver prescritto alle autorità di controllo di provvedere affinché le sanzioni amministrative pecuniarie inflitte siano in ogni singolo caso effettive, proporzionate e dissuasive (articolo 83.1) – prevede che l’ammontare di tali sanzioni, tenuto conto dei criteri dati dallo stesso Regolamento (articolo 83.2), possa raggiungere i 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, per una serie di violazioni (articolo 83.4), con i valori che salgono a 20 milioni e al 4% per altre (articolo 83.5).

La procedura d’urgenza

Prendendo a riferimento il caso Tik Tok, con il provvedimento dello scorso 22 gennaio, il nostro Garante ha disposto “[…] la misura della limitazione provvisoria del trattamento, vietando l’ulteriore trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”, fissando al prossimo 15 febbraio il termine della misura. Si tratta di un intervento adottato in ossequio alla disciplina dettata dal GDPR, ove viene concesso alle autorità nazionali di derogare ai meccanismi e alle procedure ordinarie in casi di particolare urgenza (si tratta dell’articolo 66: «In circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi […]”).

Previsioni future

Desidero concludere con una considerazione di più ampio respiro dettata dal susseguirsi degli eventi degli ultimi mesi. L’impressione è che gli interventi delle autorità – prima fra tutte quella italiana, ma anche quella irlandese, il cui attivismo si attendeva da tempo – si stiano allineando su direttive comuni. Si tratta di un dato importante, che suggerisce di aspettarsi nel breve periodo ulteriori mosse – magari anche da parte di altre autorità – nella partita a scacchi sullo strapotere delle big tech. Ad oggi è difficile prevedere quali saranno gli esiti delle varie iniziative sui tavoli delle autorità. Emerge tuttavia un altro dato interessante: i garanti europei stanno iniziando a sfruttare appieno l’armamentario giuridico offerto loro dal GDPR.

Resta aperto il tema del reale enforcement a livello internazionale in caso di sanzioni inflitte a multinazionali non stabilite all’interno del territorio dell’Unione Europea. Voglio a tal riguardo ricordare che l’enforcement non avviene solo attraverso l’irrogazione di sanzioni amministrative pecuniarie, ma anche mediante ordini esecutivi di blocco dei trattamenti e quindi delle relative banche dati e, in caso di attività online e siti Internet, anche attraverso l’oscuramento di tali siti. Credo che possa rappresentare un deterrente enormemente più dissuasivo il rischio di blocco dei trattamenti piuttosto che l’irrogazione di sanzioni pecuniarie.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4