Il punto di vista di due associazione dell’It e pmi tedesche sulla sentenza della Corte di Giustizia Europea sullo scudo per la privacy, che pubblicherò qu in calce nei prossimi giorni, e l’articolo sotto sono intesi come contributi per una Europa migliore – per tutti.
Lo “scudo” tra Unione Europea e Stati Uniti appena invalidato dalla Corte di Giustizia era un meccanismo utilizzato da più di 5.300 aziende negli scambi transatlantici per garantire che negli Usa chi riceveva dati di individui europei rispettasse gli standard di protezione della privacy Ue.
È stato un cittadino austriaco – Max Schrems, lo stesso che aveva fatto cancellare il precedente Safe Harbor Agreement – ad avviare, e vincere, la causa per invalidare il Privacy Shield, perché negli Usa esiste una legge che potrebbe permettere l’accesso da parte di certe agenzie federali Usa ai dati da lui ceduti a Facebook.
Tralasciando la domanda sul perché Schrems, visto che non sussiste alcun obbligo, non abbia semplicemente eliminato o non aperto affatto un profilo FB, resta che nessuno vorrebbe che i propri e dati fossero accessibili senza il proprio consenso da enti del governo Usa o di altri paesi. Gli abusi degli ultimi anni insegnano.
Il problema non è quindi il principio, ma la complessità nella quale esso s’inserisce. Il Privacy Shield invalidato permetteva alle imprese che devono trasferire dati tra Ue e Usa – anche la Svizzera aveva aderito – di formalmente impegnarsi, tra le altre cose, a informare i cittadini sui dati elaborati, a limitarne l’utilizzo, a garantirne l’integrità e a rendersi responsabili in caso di cessione a terzi o di dispute.
Le aziende registrate, più di 5.300, ora possono trasferire dati negli Usa solo, e per ora, sotto l’ombrello delle cosiddette “clausole contrattuali standard”, accordi legali privati sul trattamento dei dati secondo quanto stabilito dal Gdpr su cui la sentenza ha pure messo in discussione.
Che cosa succede ora? Queste clausole dovranno essere analizzate con molta attenzione dai legali di qualunque entità debba scambiare dati con gli Usa, dalle Ong alle iniziative culturali, dai giganti della tecnologia ai più piccoli produttori del made in Italy, pena multe fino al 4% del volume di affari.
Per una Microsoft o un’Apple è un costo trascurabile. Google già a febbraio ha spostato i dati degli utenti del Regno Unito negli Usa anticipando la Brexit e la sentenza del 16 luglio, riferisce l’FT. Per le piccole e medie imprese sarà gravoso.
A due anni dal Gdpr, i problemi rilevati riguardano l’attuazione e l’applicabilità del “privacy by design”, l’omogeneizzazione in Europa, le risorse che richiede e le ricadute sulla cybersicurezza.
L’Europa ha indubbiamente il merito di avere alzato l’attenzione nel mondo sulla privacy delle persone dedicandoci a livello centrale notevoli risorse umane e materiali per contrastare gli abusi, soprattutto quando a commetterli sono le solite Facebook, Google o Apple.
Tuttavia, la stessa Commissione riconosce per bocca della vicepresidente per i Valori e la trasparenza, Vera Jourova, in un comunicato dell’Afp, che “l’applicazione del Gdpr continua a dimostrarsi difficile”, in particolare “per le piccole-medie imprese”, per le quali peraltro la Ce non considererà alcuna eccezione perché “anche certe pmi a volte elaborano molti dati”.
Jourova ammette i costi sempre più elevati per gli addetti ai dati e le consulenze legali. Nel primo anno, le imprese hanno speso 400 milioni di euro, ha calcolato l’Ordine degli avvocati della Germania.
Quanto alla cybersicurezza, dall’implementazione del Gdpr, concordano l’Ufficio del Commissario per l’informazione del Regno Unito e un sondaggio dello studio legale Dla Piper via Slate, si registra un “incremento massiccio” di violazioni di database, spiegato solo in parte con le sanzioni per chi non li denuncia. Nel Regno Unito nel 2019 sono stati 36.000 a fronte dei 1.700 del giugno 2018, e 60.000 in Europa solo nei primi sei mesi.
Poiché privacy e cybersicurezza dovrebbero essere sinergiche, se le stesse risorse ed energie fossero state dedicate a rafforzare le imprese per combattere gli attacchi, solo in Germania le aziende avrebbero risparmiato almeno una parte dei 102,9 miliardi di euro l’anno di danni, un costo record quasi raddoppiato rispetto a due anni prima (il Gdpr protegge la privacy delle persone, come Max Schrems, e chi ne abusa, come i social media occidentali, non le aziende contro chi le attacca soprattutto da fuori l’Europa). E la cifra non include le multe che la normativa impone loro se non possono dimostrare un’applicazione del Gdpr perfetta, cosa che le aziende dicono sia impossibile anche facendo tutto alla lettera.
Così il Gdpr ha creato un vero e proprio nuovo settore assicurativo – e un ulteriore costo per le aziende che ora devono assicurarsi non più solo contro i danni dagli attacchi, ma anche contro le multe che il Gdpr impone loro per gli attacchi subiti.
Ci sono altri elementi che creano l’idea di una Ce più impegnata a compiacersi di avere la legge più rigida al mondo sulla privacy, e molto meno a capire nella realtà l’impatto dell’applicazione, soprattutto nel caso delle pmi. Nella strategia per le pmi lanciata a marzo 2020 si parla di dati come della “linfa dell’economia digitale”, si riconosce che solo il 17% li usa con successo, ma non c’è alcuna menzione alla loro gestione e al Gdpr.
Un altro esempio è l’allora (2017) molto vantato “sportello unico” europeo, invece di 28, che renderà “più semplice ed economico per le aziende svolgere attività nella Ue”.
La realtà è che quasi tutte le controversie riguardanti imprese tecnologiche (20) sono sul tavolo della Commissione protezione dati irlandese (Dpc) che, nonostante l’annuncio che avrebbe cominciato a smaltirle a inizio 2020, spiega Techcrunch, chiaramente non ce la fa. Quella su Twitter e Facebook doveva essere pubblicata ora a luglio. Parliamo dell’Irlanda che ospita la maggior parte delle sedi europee delle grandi imprese della tecnologia per la sua tassazione di assoluto favore assieme all’Olanda – concorrenza fiscale legale vista, peraltro, come molto sleale dal resto d’Europa.
La Ue è stata tanto attenta alla concorrenza da bloccare fusioni essenziali per la competitività europea nel mondo – non ha perso opportunità di parlarne la commissaria
per la Concorrenza Margrethe Vestager, ora vicepresidente della Ce – eppure, la sua Commissione sembra non avere alcun problema col fatto che nelle controversie sulla privacy l’Irlanda continui a essere soggetto interessato, accusatore e giudice al tempo stesso.
Sul Gdpr durante l’emergenza Covid non si è avuta ancora una valutazione ufficiale che consideri istruzione, ospedali, servizi di emergenza, applicazioni per videoconferenze di università, scuole e aziende. Le autorità hanno chiuso un occhio su tutte queste violazioni, ma una valutazione franca e aperta aiuterebbe a evidenziare dove il Gdpr non accomoda, per esempio, una emergenza (Reynders ha dichiarato che “il Gdpr è stato in una certa misura flessibile”).
Quanto all’applicabilità, un sondaggio dell’associazione imprenditoriale Bitkom tra 500 imprese tedesche del 2019 evidenzia che solo due terzi adempiono sufficientemente al Gdpr, il 38% per niente – in certe regioni dell’Austria un terzo non ha ancora iniziato. Due terzi degli intervistati dice di non avere più tanta paura del Gdpr, ma di essere ancora “dell’idea che si tratti di un’esagerata tigre di carta che colpisce i soggetti sbagliati”.
Il 97% denuncia una spesa impegnativa (è necessario anche il software). Un 25% dichiara che il Gdpr ha portato vantaggi alla propria attività, un 68% che li porterà. Il 14% lo ritiene la causa del fallimento di progetti di innovazione o il principale ostacolo all’applicazione di nuove tecnologie – era meno di un terzo nel 2018. Alcuni intervistati hanno spiegato di aver annullato sul nascere iniziative o progetti di pagine web o Crm considerando l’impegno che richiedevano in tema Gdpr.
La speranza della Bitkom era che ci fossero alleggerimenti per le pmi e il settore della ricerca, ma Jourova ha dichiarato che “le eccezioni non sono una opzione”. Settori quali il marketing e la ricerca accademica e industriale sperano che siano riviste le modalità per l’anonimizzazione dei dati senza i quali l’Europa resterà indietro su un utilizzo serio dell’Ai e del machine learning (più dati si hanno meno si producono risultati distorti).
“Nell’Industria 4.0 si pensa che i dati elaborati siano relativi a macchine e quindi non rientrino sotto la normativa Gdpr”, spiega il fisico e giornalista di Insider Research Oliver Schonschek. “A un primo sguardo i dati del Internet of Things industriale (IIoT) o dell‘Industria 4.0 non sono collegati a persone. Tuttavia, il Gdpr definisce dato ogni informazione che riconduca a una persona identificabile anche indirettamente (…) e i dati delle macchine possono ricondurre a luoghi e persone che gestiscono quelle macchine, quando si valuta, per es., funzionamento o performance, e dovrebbero quindi essere trattati come richiede il Gdpr. Il fatto è che il numero di questi processi è molto più vasto di quanto si possa immaginare, e lo sarà sempre di più con l’IIoT e l’Industria 4.0“, spiega Schonschek.
La Ce prevedeva che il Gdpr avrebbe fatto da volano all’economia digitale con un risparmio per le imprese di 2,3 miliardi di euro grazie a una sola legge comune. Il risparmio non si è visto, ma è proprio la “taglia unica” che criticano quasi tutte le associazioni di categoria. Altre leggi sulla privacy, come quella dello stato del Vermont, collocano l’onere della protezione dati su chi fa da mediatore, non a tappeto su tutti i soggetti che li cedono e quelli che li raccolgono, dalla squadra di basket della scuola media alla banca d’investimento, a tutti noi che firmiamo senza leggere “la privacy” in fogli su fogli (ma non si doveva evitare di stampare per rispettare l’ambiente?).
Per commentare la sentenza il cittadino austriaco che l’ha vinta ha usato Twitter, perché nonostante l’obiettivo di un decollo dell’economia digitale l’Europa non è stata capace di creare una piattaforma social media di successo. “È una vittoria al 100%”, ha scritto Schrems sul sito statunitense. “È chiaro che gli Usa dovranno cambiare le loro normative sulla sorveglianza se le imprese americane vorranno continuare ad avere un ruolo importante nel mercato europeo“.
Vorranno, signor Schrems? Se ha seguito le guerre commerciali di Donald Trump sa che l’Europa è un grande mercato per gli Usa: per i giganti della tecnologia – che l’Europa non ha – e per… bourbon, motociclette e jeans. L’Europa, invece, ha molto più da perdere da un blocco dell’export: una buona parte della produzione di auto e macchinari industriali da Italia e Germania, moda, vino e altri prodotti di qualità da Francia e Italia e agricoli da Spagna e Grecia, ecc.
Invalidato il Privacy Shield che, secondo l’European Institute dell’University College di Londra via Bbc, serviva per il 65% startup e pmi, potrebbe diventare più semplice per gli Usa importare il pecorino dall’Australia o la pasta dal Brasile.
O potrebbe ripetersi l’effetto Gdpr di due anni fa, quando entità culturali e commerciali nel mondo decisero semplicemente di ignorare per sempre la loro audience europea, che d’allora non può accedere ai loro siti e pubblicazioni. Per una organizzazione che gestisce molti dati, del tipo royalties artistiche o altro, è troppo dispendioso adeguarsi alle esigenze sancite dal Gdpr.
Oppure, si ricorrerà al proverbiale “fatta la legge, trovato l’inganno”. L’articolo 49 del Gdpr specifica che i trasferimenti di dati possono continuare “se necessari” anche in assenza di adeguate salvaguardie. Ecco una nuova causa da avviare, signor Schrems, magari lanciandola su Facebook o Twitter.