Autorità di controllo e Big Tech: un rapporto in continua evoluzione
di Raffaele Riccio
Le Autorità di controllo nell’attuale contesto normativo europeo
Generalmente quando si discute del Regolamento europeo 679/2016, l’attenzione è posta in modo particolare su temi ricorrenti quali, ad esempio, l’armonizzazione della normativa in materia di protezione dei dati personali o il potenziamento degli strumenti di tutela per gli interessati.
In verità, tra i vari cambiamenti introdotti dalla normativa europea spicca l’interessante attribuzione di numerosi poteri e compiti alle Autorità di controllo nazionali le quali, sottratte all’“isolamento amministrativo” all’interno del quale sono state confinate, sono state inserite dal legislatore europeo in un sistema di governance articolato principalmente su due livelli: uno orizzontale, il cui tessuto è fatto di relazioni e rapporti tra le singole Authorities (attraverso il meccanismo dello sportello unico o “one-stop-shop”, il sistema di assistenza reciproca, lo svolgimento di operazioni ispettive congiunte, ecc.) e un livello verticale, il cui vertice è retto dal Comitato europeo per la protezione dei dati, un organismo dotato di poteri propri di vigilanza, consulenza e regolazione e che funge da raccordo tra tutte le Autorità di controllo nazionali.
L’età dei dati e le nuove sfide delle Data Protection Authorities
Al di là del piano strettamente regolamentare e normativo, una delle principali sfide che le Autorities si trovano oggi a dover fronteggiare riguarda la gestione di tutte le questioni connesse alla protezione dei dati personali nell’attuale periodo storico e dei relativi scenari di digitalizzazione e “datificazione” delle relazioni economiche e sociali.
Si pensi, in particolare, a tutte le problematiche relative all’utilizzo dei dati personali da parte delle grandi Big Tech come Facebook, Instagram, Whatsapp, Amazon (basti solo pensare al trattamento dei dati di minori iscritti, alla profilazione, ecc.) e all’immensa mole di informazioni e dati di cui tali società sono in possesso e ai conseguenti vantaggi competitivi che tale patrimonio informativo garantisce loro.
Taluni hanno persino pensato che il predominio sui dati di cui godono le Big Tech le renda di fatto delle organizzazioni dotate di specifiche peculiarità e che probabilmente necessiterebbero di una regolamentazione giuridica che disciplini il loro operato (alcuni hanno parlato di futuri possibili “soggetti di diritto internazionale”).
Gli interventi del Garante per la Protezione dei dati personali nel corso del 2021
Il Garante per la protezione dei dati personali nell’ultimo anno ha portato avanti una serie di interventi e iniziative nei confronti dei “Giganti” della tecnologia. Pertanto, il suo esempio si inserisce perfettamente nel contesto in cui le nuove Authorities si trovano ad operare oggi.
L’Autorità italiana infatti, solo durante mese dello scorso gennaio 2021, ha pubblicato sul proprio sito istituzionale diversi comunicati stampa relativi ad alcune azioni intraprese nei confronti di tre grandi colossi: Whatsapp, Tik Tok, Instagram e Facebook.
Nel primo caso, il Garante aveva ritenuto poco chiare e intellegibili le informazioni contenute nel messaggio con il quale Whatsapp avvertiva i propri utenti degli aggiornamenti che sarebbero stati apportati, a partire dall’8 febbraio 2021, nei termini di servizio e nell’informativa privacy, soprattutto con particolare riguardo al tema della condivisione dei dati degli utenti con altre società del Gruppo.
La scarsa chiarezza dell’informativa, infatti, non sarebbe stata idonea a consentire agli utenti di Whatsapp di la manifestare una volontà libera e consapevole.
Per tale ragione, il Garante in tale circostanza aveva portato la questione anche all’attenzione dell’EPDB, dichiarando altresì che avrebbe riservato la possibilità di intervenire in via d’urgenza, ove necessario, per tutelare gli utenti italiani, al fine di far rispettare correttamente la disciplina in materia di protezione dei dati personali.
Alcuni giorni dopo il suddetto intervento sul caso Whatsapp, il Garante aveva disposto nei confronti di “Tik Tok” il blocco immediato dell’uso dei dati degli utenti rispetto ai quali la piattaforma non avesse accertato con sicurezza l’età anagrafica, al fine di assicurare immediata tutela ai minori iscritti al social network presenti in Italia
Un provvedimento era stato disposto dall’Autorità in via di assoluta urgenza a seguito di una drammatica vicenda riguardante una bambina di 10 anni di Palermo, morta per una sfida, il “Hanging challenge” una prova di soffocamento estremo che sul Social risultava tra le più seguite dagli adolescenti.
Il provvedimento di blocco è stato successivamente portato all’attenzione dell’Autorità di controllo irlandese, posto che Tik Tok aveva da poco tempo comunicato di aver fissato il proprio principale stabilimento europeo in Irlanda.
Il Garante, già prima della vicenda della bambina di Palermo, aveva contestato a Tik Tok una serie di violazioni, tra le quali in particolare: la scarsa attenzione alla tutela dei minori, la facilità di aggiramento del divieto di iscriversi sul Social per i minori di 13 anni, la scarsa chiarezza delle informazioni rese agli utenti, l’uso di impostazioni predefinite non completamente a tutela della riservatezza degli utenti.
L’aspetto interessante della vicenda è che Tik Tok, a seguito del provvedimento di blocco emanato dall’Authority italiana, attraverso un comunicato ufficiale ha assicurato che avrebbe adottato misure idonee per bloccare l’accesso agli utenti minori di 13 anni, valutato altresì l’utilizzo di sistemi di intelligenza artificiale per la verifica dell’età, avviato una campagna informativa per sensibilizzare genitori e figli, sia tramite l’app che attraverso altri canali e migliorato il riassunto dell’informativa privacy per gli utenti minori di anni 18.
L’intervento dell’Autorità sul caso della bambina di Palermo, partito inizialmente nei confronti di Tik Tok, ha avuto ulteriori ed immediati seguiti a seguito della pubblicazione di alcuni articoli di stampa che riportavano la notizia secondo cui la minore in questione aveva diversi profili personali aperti anche su Instagram e Facebook.
Il Garante, quindi, ha interpellato direttamente Facebook (che controlla anche Instagram) chiedendo alla Big Tech di fornire una serie di informazioni e chiarimenti relative alla nota e triste vicenda di Palermo (es. quanti e quali profili avesse creato la minore e come fosse stato possibile, per una minore di 10 anni, iscriversi alle due piattaforme) nonchè indicazioni sulle modalità di iscrizione ai due Social e sulle verifiche relative all’età dell’utente adottate dalle piattaforme per verificare il rispetto dell’età minima di iscrizione
I provvedimenti di intervento del Garante hanno rappresentato un’utile occasione per avviare una intensa campagna di sensibilizzazione dell’Autorità volta a chiarire che i bambini dovrebbero esser tenuti fuori dai social network per adulti e precisando che tali responsabilità ricadono soprattutto sui gestori dei social network che dovrebbero adottare tutte le tecnologie possibili atte a garantire la cosiddetta “age verification”.
Le Autorità di controllo nella giurisprudenza della CGUE
Sempre sul tema del rafforzamento del ruolo delle data protection Authorities, è opportuno fare un breve cenno ad un ulteriore tassello che contribuisce a definire i contorni di quanto sin qui evidenziato.
Recentemente, infatti, vi è stato un vero e proprio “riconoscimento giurisprudenziale” di poteri sempre più ampi attribuito alle Autorità di controllo europee, secondo l’interpretazione della Corte di Giustizia dell’Unione Europea.
Infatti, la Suprema Corte europea, con la decisione della causa C-645/19, lo scorso 15 giugno 2021 ha chiarito che tutte le Autorità per la protezione dei dati personali degli Stati dell’UE possono agire in giudizio nei confronti di Facebook (su questioni attinenti alla protezione dei dati), nonostante la sua legale europea del social network sia locata in Irlanda e, quindi, l’Autorità “capofila” sia il Data Protection Commissioner dell’Irlanda.
In tal modo, la CGUE ha superato il tradizionale principio della competenza territoriale per agire in giudizio e ha segnato per la prima volta una grande apertura nella giurisprudenza in materia di protezione dei dati personali, superando il sistema dello “sportello unico”.
È evidente che gli impatti di una simile impostazione possano diventare dirompenti, soprattutto nella misura in cui il principio evidenziato nella sentenza possa essere esteso anche alle altre Big Tech che hanno sede legale in Irlanda.
Le ultime sanzioni contro i “Giganti”
Risulta pertinente dare atto anche che dell’importante cambio di rotta delle autorità di controllo europee le quali, negli ultimi mesi, hanno inasprito severamente l’importo delle sanzioni comminate nei confronti delle Big Tech, indice di una maggiore maturità e sensibilità raggiunte a livello europeo a garanzia del diritto alla protezione dei dati personali.
Di recente (settembre 2021), Whatsapp è stata multata per 225 milioni di euro dall’Autorità di controllo irlandese per non aver adeguatamente informato gli utenti europei sullo scambio di dati personali che avviene tra l’app e Facebook, violando gli obblighi del GDPR in materia di trasparenza. Il provvedimento della Data protection Commission irlandese è arrivato dopo molte critiche rispetto alla sua inazione nei confronti dei giganti tecnologici e a conclusione di un’indagine avviata nel dicembre 2018. La sanzione inizialmente decisa dall’Irlanda, infatti, è stata modificata al rialzo a seguito di un confronto con le altre autorità nazionali europee e dell’EDPB (secondo la procedura di cui all’art. 65 GDPR).
Amazon, invece, lo scorso 16 luglio 2021, è stata destinataria della sanzione più elevata mai inflitta da un’autorità europea per violazione della normativa in materia di protezione dei dati personali: l’Autorità lussemburghese ha comminato ben 746 milioni di euro per trattamento non conforme dei dati personali degli utenti europei (in particolare, per targeting pubblicitario senza consenso).
I più recenti interventi delle Autorità di controllo a livello globale
Per concludere, un doveroso richiamo al recentissimo meeting delle Authorities europee e non merita di essere segnalato.
Lo scorso settembre 2021 si è tenuto il primo meeting delle Autorità di controllo in materia di dei protezione dati dei Paesi membri del G7 (Canada, Francia, Germania, Giappone, Gran Bretagna, Italia e Stati Uniti). Il meeting è stato presieduto dall’Autorità britannica e ha avuto lo scopo di individuare soluzioni condivise per rispondere alle più rilevanti questioni collegate alla protezione dei dati personali nell’attuale periodo storico. Particolare attenzione è stata attribuita alle problematiche relative all’utilizzo delle nuove tecnologie (soprattutto all’utilizzo sempre più diffuso e capillare dell’intelligenza artificiale) e a tutte le questioni connesse all’emergenza sanitaria.
In tale contesto, il Garante italiano ha ribadito l’importanza di garantire l’affermazione del ruolo primario delle Autorità di controllo in materia di protezione dei dati personali per la tutela dei diritti fondamentali dell’individuo.
Inoltre, il Global Privacy Enforcement Network (rete di cui fa parte anche l’Autorità di controllo italiana) ha condotto uno studio di carattere internazionale coinvolgendo 20 autorità di controllo in materia di protezione dei dati personali da ogni parte del mondo.
Da tale studio è emerso che tutte le suddette Authorities hanno svolto un ruolo attivo nel valutare le implicazioni in ambito data protection delle soluzioni e delle iniziative adottate dalle organizzazioni governative durante il periodo di emergenza sanitaria e che in determinati Paesi esse hanno addirittura fatto ricorso a interventi e misure volti ad assicurare il rispetto effettivo della normativa vigente. Si pensi, ad esempio, agli impatti che sono stati valutati per: l’utilizzo di app di contact tracing, l’introduzione di certificazioni vaccinali o, ancora, alle questioni relativi al trattamento di dati relativi allo stato di salute dei dipendenti nei luoghi di lavoro.
Autore: