(Intervista di Davide Casati e Martina Pennisi, “Corriere della Sera”, 9 marzo 2019)
Antonello Soro, 70 anni, è il presidente dell’Autorità garante per la protezione dei dati personali dal giugno del 2012. Negli ultimi due anni ha richiamato Facebook per non aver tutelato i dati dei cittadini italiani tramite l’app che ha fatto esplodere lo scandalo di Cambridge Analytica (Thisisyourdigitalife) — e sta per multarlo per questo motivo — e per la condivisione dei dati con Whatsapp non adeguatamente comunicata . Nel 2014 ha sanzionato Google per un milione di euro, per la scarsa riconoscibilità delle auto di Street View. Si sta inoltre misurando con un problema digitale e politico tutto italiano: la sicurezza della piattaforma di voto del Movimento 5 Stelle, Rousseau.
Qual è il ruolo dei garanti nazionali dopo l’entrata in vigore del Gdpr?
«Si basa, innanzitutto, sul meccanismo dello sportello unico — secondo il quale i titolari del trattamento devono aver a che fare solo con l’autorità del Paese in cui si trova la loro sede principale —, tra le principali espressioni della volontà di semplificazione del Regolamento. La sostanziale unificazione della disciplina applicabile in tutti gli Stati membri dovrebbe rendere indifferente la scelta della sede principale delle aziende e, quindi, dell’Autorità di controllo cui rispondere. Tuttavia, le varie clausole di flessibilità che ammettono norme nazionali integrative rischiano di far riemergere la tendenza al forum shopping (la possibilità di affidarsi a uno Stato e o un’autorità più favorevole, ndr)».
Come andrà affrontato il problema?
«A questo rischio si può (e si deve) ovviare valorizzando la cooperazione tra le autorità nazionali, il meccanismo di coerenza, la supervisione del board. Solo così si potrà assicurare quell’uniformità di applicazione delle norme regolamentari, necessarie per consentire all’Europa di rivolgersi, con una voce sola, a interlocutori, come le grandi piattaforme, che rischiano altrimenti di trarre vantaggio dalle asimmetrie normative».
Sia in Italia sia nel resto d’Europa, privacy e concorrenza sembrano sempre più intrecciate quando si tratta di indagare sull’attività di colossi del tech o multarli.
«Sono sempre più numerose le dimostrazioni della funzione pro-concorrenziale svolta dalla disciplina-privacy nella data economy. La protezione dati promuove, infatti — in particolare attraverso il diritto alla portabilità dei dati, il principio di trasparenza e i limiti posti alla concentrazione del potere informativo con l’incrocio di data set acquisiti in settori diversi — le condizioni necessarie per contrastare la formazione di posizioni dominanti».
Ci faccia qualche esempio.
«L’abuso di posizione dominante contestato dall’Antitrust tedesca a Facebook, per la raccolta di dati da terze parti, o le stesse pratiche commerciali scorrette imputatele dal nostro Garante per la concorrenza si fondano su violazioni della disciplina di protezione dati. Disciplina che rappresenta uno strumento molto efficace di tutela sia del consumatore, sia della concorrenza, in quanto consente la gestione dell’elemento fondativo della “zero-price economy”: il dato personale».
Dalla sentenza Schrems della Corte di Giustizia in poi ci è concentrati sulla gestione dei dati da parte dei colossi americani. Cosa dobbiamo aspettarci per la crescente diffusione delle piattaforme asiatiche?
«In una realtà immateriale, come quella digitale, è velleitario pensare di restringere le garanzie entro i confini imposti dal principio di territorialità. Si spiega così la prevista applicabilità del Gdpr a chiunque offra beni o servizi o monitori il comportamento dei cittadini Europei, indipendentemente da dove sia stabilito. L’“extraterritorialità” del Gdpr sta già avendo importanti effetti, non solo costringendo i big tech ad adeguarvisi, ma anche inducendo vari Paesi terzi all’adozione di norme simili. Restano fuori, però, realtà, in particolare quella cinese, caratterizzate dalla sinergia tra assenza di norme efficaci a tutela della privacy e dirigismo economico. Ne deriva una sostanziale osmosi informativa tra i provider e il Governo, che può contare anche per fattori culturali su una raccolta amplissima di dati personali, riutilizzati per le finalità più diverse: dalla sicurezza nazionale allo sviluppo dell’intelligenza artificiale. Dobbiamo accendere i riflettori sulle imprese dei Paesi terzi e della Cina in particolare».
Come?
«A queste espressioni del capitalismo della sorveglianza — e di una declinazione in chiave egemonica della sovranità digitale — va opposto il riconoscimento, a livello internazionale, della protezione dei dati come diritto fondamentale e ineludibile presupposto di democrazia in una società sempre più digitale».