La nuova battaglia di Max Schrems inizia stamattina e ha l’aspetto di una pioggia di bozze di reclami – 500 ora, fino a 10mila in futuro – da far avere alle aziende che secondo lui usano cookie banner illegali sui loro siti. Tra quelle che ha individuato in Italia, Adecco, Mediaworld, Maggioli, Condé Nast, Novartis, Findus, Kijiji, Walt Disney… «Hai presente quella giungla di quiz e opzioni che compaiono quando proviamo a entrare in un sito e che ci portano all’esasperazione, oltre che a cliccare a caso pur di liberarcene?», dice collegato in video da Vienna, con poche ore di sonno alle spalle perché «ho fatto la notte su queste carte». Se entro un mese le compagnie non renderanno i loro siti rispettosi della privacy, Schrems e il team di Noyb, il centro per i diritti digitali da lui fondato, spediranno i reclami ai garanti per la privacy europei.

Schrems ora vuole sollevarci la vita dai banner ingannevoli, ma in meno di dieci anni, mentre si trasformava da studente a icona della privacy d’Europa, è riuscito a fare ben altro. Per la sua tenacia nel proteggere i dati degli europei dalla sorveglianza di massa americana, ha fatto crollare come un castello di carta un accordo tra Stati Uniti e Unione europea; e poi un altro ancora. Due sentenze della Corte di giustizia europea portano il suo nome. Dietro il regolamento per la privacy europeo di ultima generazione c’è anche la sua spinta. Ma i nostri dati non sono ancora al sicuro.

Siamo ancora sorvegliati

Tutto inizia con una domanda: «Quanto sa Facebook di me?». Dieci anni fa, nel 2011, durante un viaggio studio in California, Schrems si rende conto di quanto Zuckerberg abbia tracciato la sua vita: solo su di lui, 1200 pagine di dati personali. La sfida contro Facebook in nome della privacy nasce perché «ero uno studente insistente e non avevo nulla da perdere né nulla da guadagnarci». Nel giro di un paio di anni, le rivelazioni di Edward Snowden sulla sorveglianza di massa a opera della National Security Agency trasformano la domanda degli inizi in: «Quanto sa Facebook di me, e quanto è venuto a sapere il governo americano?». Nel 2015, con la sentenza Schrems, la Corte di giustizia europea dice che, vista l’attività di sorveglianza praticata dagli Usa, il sistema utilizzato fino a quel momento per spostare i dati verso gli Stati Uniti, e cioè l’accordo commerciale Safe Harbor, non è più valido. Si profila la paralisi: senza una soluzione alternativa, i dati non possono circolare. Cominciano i viaggi della commissaria Vera Jourova verso Washington, e si concludono con un nuovo accordo, il Privacy Shield. Che però a luglio scorso viene pur’esso invalidato dalla Corte con la sentenza Schrems II. Sono stati inutili quei viaggi di Jourova? «La verità – dice Schrems – è che all’epoca Bruxelles e Washington non hanno negoziato proprio nulla. Il dipartimento del Commercio americano se ne è lavato le mani, ha detto che non poteva disporre di quel che faceva l’Nsa. In tema di sorveglianza Washington non ha cambiato nulla. Ha preso Safe Harbor, ha fatto copincolla, ha aggiunto la figura di un ombudsman inefficace. E Bruxelles ha annunciato un “nuovo” accordo».

Se dopo tanti anni siamo al punto di partenza è per mancanza di volontà politica? «Ci sono due cose che bisogna sapere. La prima è che l’industria tech ha una influenza fortissima anche nel mondo della privacy, tramite i consulenti legali e avvocati che istruiscono i lavori dei decisori. La seconda è che, per come è costruito l’impianto europeo, puoi approvare una legge anche se sai che è illegale: passano circa tre anni perché la Corte la invalidi. Ed è proprio questo che è successo: il Privacy Shield nasceva prevedibilmente debole, e infatti l’estate scorsa la Corte l’ha invalidato». Mentre gli anni passavano, noi nel frattempo siamo più protetti di prima dalla sorveglianza di massa? «Assolutamente no». Nella sentenza “Schrems II” di luglio scorso, la Corte di giustizia europea conferma che gli Usa, con i programmi di sorveglianza, possono ancora frugare tra i dati degli europei: non solo la protezione della privacy negli Usa è meno avanzata che nell’Ue, ma i non americani non godono neppure delle stesse tutele di base dei cittadini Usa. Nel tempo «le cose non possono che essere peggiorate», dice Schrems. «Per quel che sappiamo, le richieste fatte dal governo americano alle corporation come Google sono semmai aumentate». Dal 2010 al 2020, del 510 per cento. Ma due sentenze della Corte e due accordi invalidati non hanno fermato il trasferimento dei nostri dati verso la patria dell’Nsa. Né fermano Schrems: ad agosto, Noyb ha presentato 101 reclami contro siti europei che «continuavano a spedire i dati di noi europei a Google e Facebook»; il 6 maggio, si è mosso contro Google perché «continua a spedire quei dati verso gli Usa» e ha invocato una multa da sei miliardi.

Questione di autorità

Per uscire dallo stallo, Max Schrems formula alcune ipotesi, che vanno dalla riforma del sistema di authority per la privacy a un cambiamento radicale di direzione politica che coinvolga Washington. Il dato di realtà da cui parte è che «in un contesto in cui le regole non vengono fatte rispettare, nessuna corporation si muoverà mai per prima per essere più rispettosa: farlo le creerebbe un danno competitivo. Lo chiamo “sistema mikado”: la prima che si muove è fottuta, come quando si sposta un bastoncino e il resto crolla». Eppure in Ue le regole esistono eccome, c’è chi – come la giurista della Columbia Anu Bradford – ci definisce una “superpotenza regolatoria”, capace di estendere le sue norme al resto del mondo. «È vero, in Europa siamo attenti ai diritti, approviamo leggi nobili, ma tutto questo a cosa serve se poi manca l’enforcement, se non le facciamo rispettare? C’è chi ride di noi per questo, c’è l’industria che vìola deliberatamente quelle leggi...» dice Schrems.

Quando ancora era un ragazzo – era il 2013 e aveva intrapreso la sua battaglia per la privacy contro Facebook – Schcrems si sentì rispondere che «non c’è proprio nulla da investigare», che «esiste l’accordo Safe Harbor» e che «tanto la certezza di non essere controllati non c’è mai». Parole pronunciate da Billy Hawkes, l’allora garante per la privacy irlandese: fosse per lui, il caso sarebbe finito lì. L’Irlanda era coinvolta perché Facebook Europa, alla luce dei vantaggi fiscali garantiti dal paese, ha stabilito lì la sede legale, dunque la competenza è di quel garante. Due anni dopo, la Corte di giustizia Ue ha smentito seccamente la tesi di Hawkes e ha invalidato Safe Harbor.

Sembra una storia vecchia, invece si ripete. Questo 14 maggio l’alta corte ha dovuto chiedere al garante irlandese di far rispettare le sentenze Schrems: cosa aspetta a fermare il trasferimento dei dati da Ue a Usa? Giovedì 20 anche l’Europarlamento ha rincarato la dose: in una risoluzione, si rammarica per i ritardi del garante irlandese e la sua scarsa iniziativa. Di 10mila reclami ricevuti in un anno, Dublino ha chiuso solo sette casi. Gli eurodeputati chiedono alla Commissione una procedura di infrazione contro l’Irlanda per mancato enforcement del regolamento Ue sulla privacy (Gdpr). «Per far rispettare le regole serve un’agenzia europea», dice Schrems. «L’Irlanda interviene nell’un per cento dei casi, ma l’Ue non può essere in balìa di inerzia e interessi nazionali, deve mettere in campo tutta la sua potenza di fuoco per far rispettare le regole». Finché l’Irlanda ha il potere (o l’impotenza) di congelare tutto, e «il 99 per cento dei casi rimane inaffrontato, siamo come un popolo che ha diritto di voto ma non può esercitarlo». Alcuni garanti – ha iniziato Roma con TikTok, poi Amburgo con Facebook – si stanno muovendo da soli: “motivazione di urgenza”. Parigi lavora a livello politico in Ue per non lasciare in mano a Dublino la lotta con Big Tech.

Quale Internet

Se il trasferimento dei dati viene effettivamente bloccato, si rischia la “split internet”, la frammentazione della rete? «Non è certo questo il mio auspicio», dice Schrems. Sì, ma come evitarlo? «Nell’immediato, una strada è quella di tenere i dati lontani dalle grinfie e dall’accesso degli Usa, ma per me la soluzione a lungo termine non è questa. Se vogliamo che l’Internet globale non resti solo un vecchio ricordo serve un no-spy agreement, un accordo anti-sorveglianza che coinvolga almeno i paesi occidentali che si definiscono democratici. Per fermare la sorveglianza sui nostri dati ci vuole una volontà politica. Sarebbe sciocco e anche noioso pensare che questo tema sia puramente tecnico, che lo si risolva con una privacy policy dettagliata meglio. Qui c’è un conflitto tra giurisdizioni e deriva da scelte politiche: è quelle che bisogna affrontare». Responsabilizzando quindi l’amministrazione Biden perché «gli Usa negano diritti a noi cittadini non statunitensi». Per Schrems il «conflitto tra leggi» riguarda non solo la privacy ma «anche i modi diversi di affrontare temi come la neutralità della rete o la libertà di parola». Ai suoi esordi, «Internet era lasciata allo stato brado, nessuno la regolava. Nel decennio scorso sono state prodotte in gran rapidità molte regole, spesso mal fatte. È doveroso compararle e concepire un approccio condiviso».

Biscotti indigesti

Servono volontà politica e capacità di far rispettare le regole, altrimenti «avere diritti non implica di per sé ottenere giustizia». Vale anche per le regole europee più d’avanguardia nel panorama globale, come il regolamento sulla protezione dei dati (Gdpr) di cui Schrems è considerato ispiratore e che ha festeggiato martedì il terzo compleanno. «Per decenni le aziende non ci avevano mai chiesto il consenso sui nostri dati anche se avrebbero dovuto. Con la Gdpr, sono state forzate a farlo. Ma la Gdpr dice che devono farlo in modo semplice, immediato, comprensibile: basta un sì o un no». Prima di accedere ai contenuti di un sito, dovremmo semplicemente scegliere se dare o meno il consenso ai cookie e quindi al trattamento dei dati. Invece, rivela Noyb oggi, molte aziende «illegalmente usano dark pattern», modelli disegnati apposta per essere ingannevoli e fuorvianti. Ecco perché ci ritroviamo quei format pieni di opzioni che ci rendono la vita complicata. «Così il 90 per cento di noi finisce per dare il consenso, mentre solo il tre lo vuole fare davvero. La gente finisce per odiare la Gdpr e la privacy, mentre questi aspetti nefasti sono dovuti alle aziende. Purtroppo chi ha il design delle piattaforme dà forma anche alle nostre interazioni, e quindi ha un potere enorme». I cookie banner illegali sono così diffusi che Noyb ha sviluppato un software per individuarli e se i siti europei non rispettano in fretta le regole i reclami diverranno 10mila.

© Riproduzione riservata