La lotta per la data leadership tra autorità europee e potenze del web è ormai entrata nel vivo.
I due contendenti diretti non potevano che essere quelli più simbolicamente espressivi delle forze in conflitto, ovvero Facebook e la Data Protection Commission (DPC), Garante Privacy dello Stato membro in cui il colosso dei social network ha stabilito la propria sede UE.

Dopo la sentenza della Corte di Giustizia (CGUE) sul Privacy Shield, come da copione, la prima mossa sulla scacchiera porta la firma dell’Authority irlandese, la quale, con un ordine preliminare ha intimato alla società guidata da Mark Zuckerberg di conservare in server situati in UE i dati riguardanti gli interessati europei, sospendendo immediatamente i trasferimenti verso gli USA.

La DPC, esprimendosi a caldo sulla pronuncia della CGUE, aveva infatti affermato di ritenere discutibile, con riferimento agli USA, l’applicazione del meccanismo di trasferimento offerto dalle clausole contrattuali standard (SCC), nonostante la loro confermata validità in astratto, perché comunque la valutazione, d’ora in poi, si sarebbe dovuta svolgere caso per caso, accertando in concreto se nel Paese Terzo le stesse non siano o non possano essere rispettate.

Non essendo nelle priorità della Commissione UE l’elaborazione di una nuova decisione di adeguatezza nei riguardi degli Stati Uniti, unico vincolo alle determinazioni potestative delle Autorità di controllo e dei giudici nazionali, il Garante irlandese, senza attendere oltre il raggiungimento di una posizione comune con i propri omologhi europei, ha ritenuto di provvedere in base alle indicazioni in questo senso impartite dalla stessa CGUE (Schrems II)[1].

Ciò detto e osservato, Facebook, di tutta risposta, nei giorni scorsi ha depositato una nota formale presso il Tribunale di Dublino, in cui ha rappresentato di non poter interrompere il proprio flusso di dati e che, ove la DPC non intenda prenderne atto, sarà costretta a ritirarsi dal mercato europeo, con buona pace delle imprese, che, in questo modo, si vedranno fortemente penalizzate nella gestione dei propri servizi, anziché agevolate nella risposta alla crisi.

I portavoce di Zuckerberg, ostentando un rozzo fair play istituzionale, hanno tenuto a precisare di non aver voluto assumere un atteggiamento di minaccia o di sfida, ma di aver espresso una semplice constatazione realistica.

Tuttavia, in questo scontro per l’egemonia gioca un ruolo fondamentale anche il governo USA, con le proprie istanze di controllo pervasivo su dati personali provenienti da ogni parte del mondo. Il problema infatti è serio, al punto che l’uso dei dati che viene fatto dalla National Security Agency e dall’FBI ha messo in allarme anche il Consiglio d’Europa. Suggerendo di cogliere al balzo la palla lanciata dall’annullamento del Privacy Shield, il Presidente del Comitato della Convenzione 108 sulla protezione dei dati e il Commissario sulla protezione dei dati del Consiglio d’Europa hanno invitato gli Stati a proteggere maggiormente i dati personali nel contesto della sorveglianza digitale da parte dei servizi segreti, promuovendo una regolamentazione internazionale comune.

Nel frattempo, Facebook – e così le altre “sorelle” americane, considerata la portata del provvedimento irlandese – si trova dunque schiacciata fra le differenti pretese di USA e UE, dimostrando come anche per le Big del Web non sia facile, ad oggi, agire liberamente e in modo uniforme sul piano globale.

Quale sorte, dunque, per le aziende europee?
A meno che il colosso web non faccia marcia indietro, trovano un modo per conformarsi alla decisione della DPC, si preannuncia quindi una stagione difficile (come avevamo già evidenziato qui), non solo per le grandi, ma soprattutto per le piccole e medie imprese. Infatti, l’utilizzo delle piattaforme social aveva reso queste ultime molto più agili e smart nella promozione dei propri servizi sul mercato; ora, invece, rischiano di essere le prime vittime concrete di quest’impasse geopolitica. Non essendo stato previsto alcun periodo di grazia, il rischio di sanzioni le spingerebbe, da una parte, ad abbandonare i servizi offerti da Facebook e da tutte le Big americane e, dall’altra, a riorganizzare tutta la propria attività di marketing e storage con sistemi certamente meno diffusivi ed immediati, oltreché maggiormente dispendiosi. Il tutto, in un momento già particolarmente impegnativo, vista l’ancora stentata ripresa economica a fronte dell’attuale crisi pandemica.


[1] A scopo puramente riepilogativo, si rammenta che l’intera vicenda è scaturita dalle denunce presentate alla DPC Irlandese dall’avvocato austriaco Maximilian Schrems, il quale aveva accusato Facebook di trasferire e trattare illecitamente i propri dati in USA comunicandoli ai servizi d’intelligence.

Il medesimo iter processuale si è riproposto per ben due volte (prima con il Safe Harbor e poi con il Privacy Shield): l’Autorità Garante, trovandosi le mani legate per via delle decisioni adeguatezza della Commissione UE nei riguardi degli USA, rigettava la questione, così Schrems adiva l’High Court Irlandese, la quale sollecitava una pronuncia pregiudiziale alla Corte di Giustizia, per giungere infine, in entrambi i casi, ad un annullamento dell’atto deliberato dalla Commissione UE.