Sono passati solo tre giorni dall’entrata in vigore del GDPR (Regolamento 2016/679) e Facebook e Google si trovano già nel pieno di una tempesta, dovendo affrontare due denunce miliardarie presentate da Maximilian Schrems che, accusando i due GAFA di non aver adempiuto correttamente la nuova normativa europea sulla tutela dei dati personali ha richiesto risarcimenti per 3,9 miliardi di euro a Facebook e 3,7 miliardi a Google. E’ già tempo di ricorsi per la privacy?
Ricorsi privacy: Ma chi è Maximillian Schrems?
Probabilmente ad oggi uno dei peggiori nemici di Facebook, Maximilian Schrems è il giovane avvocato austriaco divenuto celebre per essere stato nel 2015, il responsabile del crollo del regime del “porto sicuro” (cd. accordo di Safe Harbor, contenuto nella decisione 2000/520 della Commissione Europea), che aveva assicurato per anni alle aziende statunitensi aderenti l’accesso ai dati personali degli utenti europei.
In quell’occasione Schrems si era rivolto alla Corte di Giustizia UE, a seguito del rifiuto dell’autorità austriaca di protezione dei dati personali (Data Protection Commissioner) di istruire la denuncia presentata dallo stesso contro il noto social network, accusato di non garantire sufficientemente la tutela dei dati personali degli utenti europei, trasferiti e conserati in server ubicati negli Stati Uniti D’America.
Con una storica sentenza la Corte adita, ritenendo fondate le preoccupazioni espresse dal giovane attivista austriaco, ha dichiarato l’invalidità della decisione di adeguatezza, infliggendo così un duro colpo non solo a Facebook, ma anche a tutti i colossi del WEB che trasferivano i dati europei negli Stati Uniti, al fine di beneficiare della più permissiva normativa in materia di dati personali ivi vigente.
All’indomani dell’entrata in vigore del Regolamento, non sorprende, quindi, che Schrems fosse già pronto all’attacco!
Ricorsi privacy: l’attacco a Facebook e Google
Questa Volta l’accusa mossa riguarda il presunto utilizzo da parte di Facebook e Google delle cd. strategie di consenso forzato per raccogliere i dati personali degli utenti.
Secondo l’avvocato, infatti, Facebook, e con esso le applicazioni Instagram e WhatsApp (facenti capo allo stesso gruppo) e Google per quanto concerne l’implementazione delle nuove regole operata su Android, imporrebbero ai propri utenti di fornire il proprio consenso alle nuove privacy policy “sotto minaccia” di dover altrimenti rinunciare ai servizi offerti.
Ciò costituirebbe una grave violazione del GDPR, che definisce il consenso quale “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato”.
Tali obiezioni sono state naturalmente contestate dalle due Compagnie “incriminate”, che si sono poste sulla stessa linea di difesa. In particolare, Google ha dichiarato “Abbiamo implementato sicurezza e privacy nei nostri prodotti dai primi stadi embrionali e ci impegniamo ad essere compatibili con il GDPR EU” ed allo stesso modo Facebook ha replicato “Ci siamo preparati negli ultimi 18 mesi per assicurarci di rispondere in maniera adeguata alle richieste del GDPR”.
Che le accuse specifiche risultino o meno fondate, la preoccupazione per il modo in cui alcune aziende si stanno approcciando al GDPR è reale. Dai primi dati disponibili risulta che alcuni siti internet, per il timore delle ingenti sanzioni previste dal Regolamento, abbiano addirittura temporaneamente bloccato l’accesso ai propri servizi in rete agli utenti europei.
Inoltre, proprio in materia di consenso “estorto” agli utenti, una generale preoccupazione è stata espressa anche dalla massima autorità mondiale in materia di tutela dei dati personali. Il Garante Europeo della protezione dei dati personali Giovanni Buttarelli, infatti, pur senza fare riferimenti espressi a casi specifici, ha dichiarato che il suo ufficio è consapevole della recente tendenza ad utilizzare un approccio “prendere o lasciare” al consenso dei dati ed esaminerà attentamente i singoli casi per verificare che non si trasformi in un ostacolo alla fruizione dei servizi sostanziandosi in un “ricatto” per gli interessati e vanificando, quindi, i nobili intenti del GDPR.
Lucrezia D’avenia
