A prima vista può sembrare un’enormità – ben un miliardo e 200 milioni di multa, la più grande comminata finora – eppure la cifra che l’Unione europea chiede a Meta come pegno per aver violato la nostra privacy è soltanto una coperta di Linus.

A cinque anni esatti dall’entrata in vigore del regolamento europeo per la protezione dei dati (Gdpr), una multa può sembrare rincuorante da esibire. Ma la verità è che a Mark Zuckerberg avremmo potuto chiedere molto di più – 4 miliardi – e soprattutto di più avrebbe dovuto chiedere Bruxelles alla Casa Bianca. In Ue il giudice c’è, ma è la politica che se la svigna.

«Stiamo per assistere di nuovo al solito copione», dice a Domani Max Schrems, l’avvocato e attivista per la privacy che ha innescato la battaglia – ormai decennale – contro Facebook. «La Commissione europea in questi anni si è mostrata sensibile alle pressioni di Washington. Ora concluderà l’ennesimo accordo con gli Usa sul trasferimento dei nostri dati, e per l’ennesima volta la Corte di giustizia Ue lo riterrà non valido. Il paradosso? Bruxelles predica lo stato di diritto ma poi lo tradisce».

Dieci anni di impunità

Anzitutto, perché Meta deve pagare? La vera domanda è: come mai solo ora. La storia infatti è lunga, come pure la catena di violazioni della privacy.

Non si può comprendere la multa miliardaria senza sapere che già nel 2014 Schrems – all’epoca un semplice studente di legge di 26 anni, oggi il fondatore del centro europeo per i diritti digitali Noyb – ha portato in aula Facebook perché violava la privacy e partecipava al programma di spionaggio dell’Nsa, l’agenzia di sicurezza nazionale americana. Erano i tempi delle rivelazioni di Edward Snowden.

Già all’epoca, la Corte di giustizia Ue ha dato ragione a Schrems, costringendo così l’Ue a rivedere gli accordi con gli Usa sul trasferimento dei dati. Nel 2015, quando ha dichiarato invalido l’accordo “Safe Harbor”, il giudice europeo ci ha anche mandato un messaggio chiaro: se approdano in America, i dati di noi europei non sono al sicuro.

E Bruxelles che ha fatto? All’epoca seguiva i negoziati una commissaria europea che è tuttora in carica, Věra Jourová; e che si è accontentata di qualche blanda rassicurazione di Washington. Nonostante i moniti degli attivisti per la privacy – Schrems per primo – è nato così “Privacy Shield”, un accordo nuovo ma nato vecchio.

Nel 2020, come era prevedibile e previsto, la Corte di giustizia europea ha dichiarato invalido anche quello. Alla sentenza “Schrems I” si è aggiunta così pure “Schrems II”.

La multa e il solletico a Meta

Nel frattempo l’Unione europea – con il ruolo determinante di figure come Schrems e come l’italiano Giovanni Buttarelli che è stato il garante della privacy europeo fino alla sua morte nel 2019 – si è dotata di nuove, più stringenti regole: il 25 maggio del 2018 è entrato in vigore il regolamento per la privacy (General Data Protection Regulation, o “Gdpr”).

La multa comminata a Meta fa leva proprio sugli articoli di questo regolamento: il 46 stabilisce che chi è titolare del trattamento dei dati – in questo caso Meta Irlanda – può trasferirli a un paese terzo solo se ha fornito garanzie adeguate.

«Dopo dieci anni di contese legali, ora Meta dovrà restituire i dati personali degli europei ai data center Ue, oltre che pagare una multa record», constata Schrems. E questa è una vittoria. Ma non è sufficiente, considerato che «per dieci anni Meta ha ignorato i pronunciamenti della Corte di giustizia europea e il board europeo per la protezione dei dati (Edpb)».

Come ha potuto farlo? Spiega il garante irlandese, che è l’esecutore della multa verso Meta Irlanda, che «il trasferimento dei dati violava le regole per la privacy e avrebbe dovuto essere sospeso», invece Meta continuava a far viaggiare i dati negli Usa «utilizzando le “Standard Contractual Clauses” (Scc) adottate dalla Commissione Ue nel 2021».

Le “Scc” sono contratti stipulati tra il soggetto che esporta dati e quello che li importa; ma sottintendono che se una delle due parti si rende conto di non poter garantire la sicurezza dei dati deve interrompere il trasferimento.

Insomma, ha dovuto arrendersi all’idea della multa persino il refrattario garante dell’Irlanda, paese al quale fa comodo che Big Tech metta tenda lì, e che come garante non è campione di velocità ed efficacia: negli anni, Schrems ha intrapreso iniziative legali, coalizioni di Ong ed eurodeputati hanno sollevato il caso.

Ora Dublino interviene, ma comunque non quanto avrebbe potuto: fino a 4 miliardi.

Le briciole e l’accordo

«Potevano arrivare a 4 miliardi, e sarebbe stato opportuno. Il problema è che il garante irlandese non voleva proprio comminare multa, così il board europeo (Edpb) ha detto che bisognava farlo; ma senza indicare di quanto», spiega a Domani Schrems.

In poche parole, sfidare il gigante Meta è una vera lotta; non è la prima volta. A gennaio il garante irlandese voleva punire Meta per la pubblicità personalizzata illegale con una multa da 390 milioni, escludendo dal suo computo i benefici che violare le regole portava a Meta stesso; e anche all’epoca, a detta di Schrems, «la manovra ha fatto risparmiare a Meta 4 miliardi».

Tuttavia esiste una fregatura più seria dei miliardi non incassati, ed è quella dei diritti non rivendicati. A marzo 2022, sotto lo scacco della guerra in Ucraina, von der Leyen ha annunciato un accordo «di principio» con Biden sul trasferimento dei dati, ma nel frattempo l’Ue non ha preteso alcuna rivoluzione da parte di Washington su come gli Usa utilizzano i nostri dati; a dire il vero gli Usa stessi stanno ancora affrontando lo scandalo della sorveglianza di massa, e proprio in questi giorni emergono ulteriori abusi da parte dell’Fbi.

Jourová fa sapere che il nuovo accordo con gli Usa sarà chiuso entro l’estate. «E poi per l’ennesima volta sarà invalidato dalla Corte di giustizia Ue», conclude Schrems: «La Commissione Ue, che a parole si erge a difensore della rule of law, poi dimostra in questi casi di non averla così a cuore».

© Riproduzione riservata