L’economia dei dati è ciò che rende sempre più prospero un numero crescente di aziende che sfruttano il volume esorbitante di informazioni personali messe online dagli individui per analizzare trend, costruire profili, segmentare utenti e ricavare denaro, direttamente o vendendo le informazioni a società terze. Di qui l’esigenza di regolare un’industria che ha importanti implicazioni per la protezione dei diritti delle persone. L’Unione europea per quattro anni ha rinegoziato le sue norme sulla protezione dei dati, modernizzando una legislazione che risaliva al 1995, ai tempi del browser Netscape e prima ancora che nascesse Google.
Le nuove regole intendono colmare le falle del precente regime, offrendo maggiori protezioni agli utenti e un quadro armonizzato e coerente alle imprese. L’idea è che, a fronte di regole e sanzioni più severe, aumenti la certezza legale e si riduca la burocrazia. Per il Financial Times, però, le intenzioni dell’Europa sono rimaste lettera morta perché nella politica Ue sulla data protection che adotta l’antico modello del “bastone e la carota”, la carota se n’è andata ed è rimasto solo il bastone, come ha dichiarato Monika Kuschewsky dello studio legale Covington & Burling.
Infatti, le sanzioni sono esorbitanti, osserva il quotidiano economico, fino al 4% del fatturato globale di un’impresa che subisce violazioni molto gravi dei dati, o “quanto basta per cancellare gli utili annuali di un retailer medio”. Ora le aziende hanno l’obbligo di riportare i data breach entro tre giorni.
Invece, non si è materializzato il tanto atteso regime unico per la protezione dei dati basato su un singolo regolatore con cui le imprese devono avere a che fare. Anche se le aziende avranno un’autorità di riferimento cui rivolgersi in caso di problemi, gli altri regolatori dell’Ue potranno intervenire se pensano che anche cittadini del loro Paese siano stati interessati da violazioni.
Il FT è convinto che l’Ue abbia agito sotto una chiara spinta: aumentare il più possibile il peso regolatorio. E le nuove regole peccano anche per la pretesa di raggiungere una “portata globale”, perché le aziende colpevoli di violazioni in Europa saranno sanzionate in base al fatturato mondiale, non a quello europeo. Allo stesso modo, le regole e le punizioni si applicheranno a qualunque azienda attiva nell’Unione, anche se non vi ha alcuna sede. Conta solo che gestisca in qualche modo dati di cittadini dell’Ue.
Se ciò in pratica potrebbe cambiare poco, per alcuni è pur sempre una “dimostrazione di forza”, come ha affermato Eduardo Ustaran, socio dello studio legale Hogan Lovells: “Parlamentari e regolatori europei vogliono rendere i loro poteri extraterritoriali. E’ un riflesso della nostra economia e società globalizzata: l’Europa non vuole perdere la sua presa”.
Per il FT si tratta anche dell’ultimo capitolo di una saga che ha visto l’Europa impegnata a riprendersi il ruolo di leader nel mondo di Internet. Le precedenti tappe sono state la sentenza del 2014 della Corte di Giustizia europa sul “diritto all’oblio” (una sentenza che, insistono i giudici e i regolatori Ue, si deve applicare su scala globale e non solo europea), e poi l’annullamento del “Safe Harbor”, il cruciale accordo gli Stati Uniti per il trasferimento transatlantico dei dati (ora appena rinegoziato). Queste sentenze hanno messo in luce la spaccatura tra Usa e Ue nel modo di concepire la data protection, come ha riconosciuto la stessa segretaria al Commercio americana Penny Pritzker nel corso dei negoziati per il nuovo Safe Harbor: “Europa e Usa hanno approcci differenti alla privacy”.
Per l’avvocato Ustaran, però, nel mondo reale “i flussi di dati non sono soggetti a confini geografici o giurisdizionali” e qualunque tentativo del legislatore di introdurre misure per ridurre i flussi dei dati in base a confini geografici è destinato a rivelarsi “assurdo e ridicolo”.