Il Parlamento irlandese sta valutando di adottare una nuova normativa processuale, i cui obblighi di riservatezza sui procedimenti avanti la Dpc (Data Protection Commission) potrebbero avere effetti sensibili ben al di là dei confini nazionali.
Il ruolo forte del regolatore di Dublino
Non si tratta di una semplice questione locale, ma di un tema di importanza europea, rilevante anche per l’Italia. Infatti, le maggiori procedure in tema di Gdpr aventi ad oggetto le big tech (Google, Meta, Tik Tok ecc) scaturenti in Italia o ovunque nella UE sono normalmente gestite presso il regolatore di Dublino, perché così prescrive la normativa europea sui dati personali in relazione al trattamento dei dati personali cross-border, quelli cioè che riguardano una pluralità di Stati membri.
L’Irlanda e le agevolazioni fiscali per le big tech
Anche se l’infrazione è riconducibile ad un qualsiasi paese dell’Unione, la sua natura transnazionale (tipica delle fattispecie online) la fa normalmente ricadere nel sistema del one-stop shop, per cui se ne deve occupare l’autorità del paese dove la big tech incriminata ha posto gli headquarter europei. E questo paese è normalmente l’Irlanda, prescelta tradizionalmente come sede dalle grandi multinazionali dell’Internet per ragioni di comodità fiscale e che di conseguenza è anche diventata il foro principale per le grandi controversie in tema di dati personali. Tutte i grandi procedimenti relativi al regolamento europeo Gdpr contro Google e Meta sono stati infatti gestiti dall’autorità irlandese Dpc.
L’emendamento Browne
Un emendamento a sorpresa introdotto dal ministro della giustizia irlandese, James Browne (QUI IL TESTO) mirerebbe a rendere altamente confidenziali atti ed informazioni del processo avanti la Dpc, rendendo passibili di sanzioni penali coloro che ne hanno permesso la diffusione. Sarebbe la stessa Dpc ad identificare temi e soggetti rientranti in questa disciplina restrittiva. La preoccupazione è che la questione potrebbe applicarsi anche ai partecipanti al processo, inclusi i ricorrenti, cioè coloro che hanno portato davanti al regolatore la big tech di turno. Ne consegue che una persona i cui dati siano stati violati da Google, Meta o Tik Tok non potrebbe parlare pubblicamente del proprio caso, pena il rischio di essere incriminato davanti alle corti irlandesi. Nella maggior parte dei casi non si tratterebbe di un irlandese, bensì di un altro cittadino europeo che per via del one-stop shop è stato obbligato a trattare il caso in Irlanda.
La mossa per neutralizzare Schrems
L’incredibile proposta legislativa irlandese sembra indirizzata a neutralizzare Max Schrems, l’attivista austriaco che si è costruito una carriera istruendo procedimenti a raffica basati sul Gdpr contro le big tech e dai quali sono risultati sostanziose multe (da ultime quelle a Meta sulla profilazione degli utenti e sul trasferimento dei dati europei verso gli Stati Uniti). Schrems non si è limitato ad imbastire i casi dal punto di vista giudiziario, ma ha anche creato un’organizzazione (Noyb) che costruisce campagne mediatiche sui procedimenti in corso, a volte portando all’attenzione del pubblico il fatto che la stessa Dpc non sia veloce ed efficiente come ci si aspetterebbe nel perseguire le big tech.
È infatti noto come tutte le decisioni della Dpc sulle big tech siano frequentemente stigmatizzate dal Edpb (Board europeo per la data protection) che spesso le riforma in senso più severo. Il governo irlandese sembrerebbe voler allentare questa pressione mediatica, impedendo a Schrems e qualsiasi altro ricorrente di parlare pubblicamente dei casi instaurati avanti la Dpc. Una iniziativa deprecabile che, come detto, potrebbe avere effetti deleteri su qualsiasi cittadino europeo, anche italiano, che volesse lamentarsi di come vengono trattati i suoi dati da Google, Meta o Tik Tok.
Gli impatti sul Gpdr
La legittimità della nuova legge irlandese è comunque discutibile rispetto al Gdpr ed alla normativa europea in generale, ed infatti un portavoce del governo di Dublino si è affrettato a precisare che la nuova normativa non si applicherebbe alle parti processuali. Si tratta di una dichiarazione confortante ma non sufficiente, poiché la novella irlandese lascia la Dpc arbitro della decisione, senza le limitazioni informalmente evocate dal governo.
Il Gdpr consente obblighi di riservatezza per i dipendenti delle autorità di regolamentazione, ma non pregiudica la libertà di espressione dei terzi, in particolare la parti processuali, come d’altra parte avviene in tutti gli altri Stati membri dell’Ue. Eventuali limitazioni alla libertà di espressione delle parti dovrebbero pertanto essere minime e proporzionata. Peraltro, la stessa Dpc scambia regolarmente documenti processuali con le altre autorità dell’Ue, che devono poterli utilizzare anche con terzi, ed infatti talvolta il tema della riservatezza è stato invocato dagli irlandesi per indebolire tale cooperazione. Insomma, c’è del “marcio” a Dublino ed il problema presto arriverà a Bruxelles così come nelle altre capitali europee, sempre più insofferenti per come l’Irlanda interpreta il suo ruolo di hub europeo del Gdpr.
