In un tempo non troppo lontano, le potenze mondiali si confrontavano a suon di conflitti locali, supportando una o l’altra parte in base ad i propri interessi. Oggi, nell’epoca dei big data e del mondo digitale, le guerre si combattono anche sul fronte di internet. Si è parlato molto del braccio di ferro tra Stati Uniti e Cina per la questione TikTok, una battaglia fortemente voluta da Trump e volta a limitare le possibilità che il social cinese aveva di raccogliere i dati personali dei cittadini statunitensi. Ma se negli States sono stati sollevati questi problemi, come mai un caso analogo non è successo invece in Europa? Ne abbiamo parlato con il professore Andrea Lisi, esperto di digitalizzazione, privacy e diritto dell’informatica.

In ambito europeo, fino a che punto è l’Unione Europea a legiferare in materia di trattamento dei dati personali e quanto invece può essere rilevante la legge dei singoli Paesi comunitari?

In Europa esiste una legge già dal 2000, la direttiva 2000/31, che regolamenta l’attività degli internet service provider, cioè di coloro che da intermediari veicolano le informazioni sul web. In Italia è stata recepita con il decreto legislativo 70 del 2003. Dal 2016 è entrato in vigore anche il Regolamento Generale sulla Protezione dei Dati (GDPR). Essendo un regolamento e non una direttiva, non c’è stato bisogno per i singoli stati di adattarlo con leggi nazionali. Oggi è bene che sia l’Europa a legiferare perché è l’unico modo per avere una voce forte nei confronti di entità che hanno raggiunto una potenza economica altrimenti incontrollabile. Di fatto i grossi player come Google e Facebook hanno accesso a un “nuovo petrolio”, che sono i dati delle persone acquisiti nel corso degli anni.

 La legislazione europea in merito a privacy e trattamento dei dati personali è al passo con l’attuale progresso tecnologico?

È chiaro che il GDPR, pur essendo un regolamento generico, è stato pensato anche per la società dell’informazione. Tuttavia, come diceva il garante europeo della protezione dei dati Giovanni Buttarelli, il GDPR è nato zoppo, perché andava completato con il cosiddetto regolamento ePrivacy, ovvero la regolamentazione dei dati personali nel contesto digitale. Quest’ultimo, però, è stato fortemente osteggiato dai grossi player di internet ed è ancora nelle paludi dei meccanismi di controllo dei vari organi europei. Nonostante ciò, il GDPR è abbastanza generico da poter essere applicato efficacemente anche all’ambito informatico, tanto da prevedere, in caso di mancato rispetto del regolamento da parte dei colossi del web, delle sanzioni pesantissime, che arrivano addirittura al 4% del loro fatturato mondiale annuo.

In cosa si differenzia il GDPR dalle leggi in vigore negli Stati Uniti?

È proprio l’approccio ad essere diverso, tant’è che la Corte di giustizia dell’Unione europea ha bloccato i trasferimenti dei dati personali verso l’estero che si basavano su un accordo, il cosiddetto Privacy Shield tra Commissione europea e Federal Trade Commission, agenzia governativa Statunitense. Il punto è che gli accordi che l’Unione Europea può prendere con la Federal Trade Commission non possono comunque compensare una legislazione americana estremamente carente in merito al trattamento dei dati personali, sia perché i soggetti in gioco non hanno sanzioni applicabili come in Europa, sia perché é in spirito di antiterrorismo lo Stato americano può sempre obbligare questi soggetti a fornire qualsiasi dato, mentre in Europa qualsiasi autorità pubblica ha il freno dei diritti e delle libertà fondamentali e per violare la privacy di un individuo deve esser stato commesso un illecito. Negli Stati Uniti, di fatto, prevale la sicurezza nazionale sulla libertà personale e i diritti individuali, come accade in Cina. Il grosso problema, ora, è che i grandi player social hanno minacciato a gran voce di bloccare i propri servizi se verrà applicata la sentenza della Corte europea, perché di fatto non trattano solo in Europa i dati, ma li trasferiscono anche in server negli Stati Uniti e quindi fuori dal controllo delle leggi europee. Questo fa sì che lo stato americano possa vedere i dati dei cittadini europei, mettendo a rischio rapporti tra Stati.

 È possibile, quindi, che a livello italiano o europeo si verifichi un caso analogo a ciò che sta succedendo negli Stati Uniti con TikTok?

A mio avviso sì, è possibile, ma per motivi diversi: l’Europa non agirebbe per motivi economici, ma potrebbe farlo a tutela dei diritti dell’individuo, ma solo nel caso TikTok, Google e Facebook, nell’esercitare i loro servizi, minassero diritti e libertà dei cittadini europei, che la normativa comunitaria tutela fortemente, facendo da contrappeso alle politiche economiche. Quindi i grandi player di internet dovrebbero cercare di sviluppare i loro servizi così da non confliggere in maniera diretta ed evidente con le esigenze di trasparenza informativa. Nella pratica, però, l’adattamento alle leggi europee è più formale che sostanziale, perché non c’è nessuno che può controllare in maniera pervasiva che cosa accade negli algoritmi di Google, Facebook, TikTok o altri colossi del web.

Un tema, insomma, estremamente delicato, anche per il fatto che molti server si trovano in Paesi terzi. La legislazione europea, però, resta tra le più complete e tutelanti al mondo. Occorrerà vedere se, con il passare degli anni, saranno i giganti della rete ad adattarsi alle leggi in vigore in Europa o se, invece, sarà l’Unione europea a mollare la presa, cedendo alle pressioni di quelli che, oramai, oltre ad essere dei colossi economici sono dei veri e propri contro-stati.