Privacy weekly | Come ogni venerdì ospitiamo il guest post di Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali. Un viaggio intorno al mondo su tutela della privacy e digitale
Questa settimana si è aperta con una “notizia bomba” nel mondo della privacy: la maxi-sanzione da un miliardo e trecento milioni di euro inflitta a Meta dal Garante privacy irlandese.
Guai, però, a fermarsi ai numeri della sanzione. Meglio leggere bene tra le righe delle 216 pagine del provvedimento che ripercorrono una storia ormai vecchia oltre dieci anni che continua ad aprire e chiudere a intermittenza i flussi transoceanici di dati personali tra Europa e Stati Uniti e a mettere in dubbio che Internet sia quella che è e, in effetti, l’unica cosa che può essere: una rete globale senza confini geografici. Perché Meta a parte – e va detto che, in questo caso, le sue “colpe” non sono diverse da quelle di centinaia e, anzi, forse migliaia di altri titolari del trattamento – la questione alla base del provvedimento è che due Ordinamenti, quello europeo e quello americano, non sono allineati quanto dovrebbero esserlo secondo la disciplina europea in materia di privacy per garantire a chi vive in Europa che l’eventuale trasferimento di dati negli Stati Uniti d’America non comprometta i propri diritti. Insomma, se di “colpe” in questa vicenda si può parlare, l’unica vera “colpa” e che, senza grandi soprese, le regole del vecchio e del nuovo continente sono figlie di culture giuridiche profondamente diverse – oggi, forse, meno che in passato – e, quindi, il Governo di Washington per quanti sforzi faccia – e un po’ ne ha oggettivamente fatti – non riesce a scrivere regole più di tanto simili a quelle uscite dalla penna dei legislatori di Bruxelles. E però, per chi sa vedere il bicchiere mezzo pieno, da un lato ci sono buone speranze che, nello spazio di qualche mese, i due Governi trovino una soluzione capace di risolvere la situazione e, in ogni caso, questa vicenda ha imposto le cose della privacy al centro dei negoziati transoceanici.
Non è poco. Tanto che il tema è stato discusso anche al G7 di Hiroshima. Durante i lavori è, infatti, emersa non solo la necessità di intensificare la cooperazione internazionale sulla regolazione dell’Intelligenza artificiale, ma anche quella di favorire una circolazione transfrontaliera dei dati sempre più libera e sicura. Il Giappone è, infatti, riuscito a convincere gli altri leader del G7 a promuovere ulteriormente un’iniziativa nota come Data Free Flow with Trust (DFFT), lanciata dal Paese del Sol Levante già dal 2019. Si tratta di un piano che vuole contrastare le iniziative di alcuni Paesi volte ad un controllo stretto e territoriale dei flussi di dati transfrontalieri, che si sostanziano nell’introduzione di norme rigorose, come l’obbligo per gli operatori commerciali di conservare ed elaborare i dati all’interno del territorio nazionale e di chiedere l’autorizzazione alle autorità per inviare determinati tipi di dati all’estero (si pensi alle legislazioni di Paesi come la Cina o il Vietnam). Ciò nuoce all’economia e, per questo, al G7 ci si è posti il problema di garantire flussi di dati transfrontalieri senza intoppi e in modo affidabile. In attesa di vedere quali saranno gli sviluppi e l’epilogo di tutte queste vicende a cavallo tra il diritto, l’economia e la geopolitica, c’è però un elemento rincuorante. La privacy è un diritto che viene preso sempre più sul serio. E questo, occorre dirlo, anche grazie all’azione delle Autorità di controllo, che continuano a riproporre il tema della protezione dei dati personali nel dibattito economico, politico e sociale.
E non solo in Europa. La Federal Trade Commission degli Stati Uniti, ad esempio, si è distinta per un grande attivismo questa settimana. Sulla scia del Webby Award con cui è stato premiato la scorsa settimana il lavoro sulla privacy dei minori nelle piattaforme educative realizzato da Human Rights Watch (di cui abbiamo già parlato), la FTC ha proposto un ordine da adottare da parte di una Corte distrettuale della California, che impedisca a Edmodo – noto fornitore di tecnologie per l’istruzione – di acquisire più dati degli studenti di quanti siano necessari per partecipare alle attività educative. In particolare, la FTC ha contestato la raccolta dei dati personali dei bambini senza consenso dei genitori e il loro utilizzo a fini pubblicitari, in violazione della Children’s Online Privacy Protection Act Rule (cosiddetta COPPA Rule). In realtà, già nel maggio 2022, la FTC aveva messo in guardia le aziende di tecnologia educativa dal costringere genitori e scuole a fornire dati personali sui bambini per partecipare all’istruzione online. Nel corso dell’indagine della FTC, Edmodo ha sospeso le attività negli Stati Uniti. Se la Corte approverà l’ordine, esso sarà vincolante per l’azienda, che dovrà adeguarsi se intende riprendere le proprie attività negli States.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.