“Non vai a caccia di un uomo come Dominic Morgan con un coltello ed una pistola, ci vai con un esercito o te ne resti a casa”
Perdonatemi la citazione tratta dalla nuova serie TV sulla finanza, ma non noto differenze con l’ultimo report presentato da Brave, il browser noto per la sua attenzione alla privacy e per un sistema che ricompensa, mediante basic attention token, i propri utenti dei contenuti sponsorizzati che essi stessi acconsentono di visualizzare, che analizza l’inefficienza del sistema del GDPR così come attualmente funziona nei Paesi membri dell’Unione Europea.
Alcuni problemi li avevo già evidenziati due mesi or sono: specialmente il Garante italiano, sebbene fosse primo in Europa per numero di provvedimenti sanzionatori, questi erano economicamente poco consistenti.
Oggi il quadro non è cambiato di molto. Nonostante molte Big Tech hanno dovuto adottare da tempo delle policy per conformarsi ai precetti del Regolamento 679/2016, emerge che troppo spesso le indagini nei confronti degli Over the Top non vengano adeguatamente e celermente portate avanti, a dispetto di efficienza, effettività e rapidità che, in quanto corollari del buon andamento, richiamato dall’art. 97 Cost., almeno in Italia, dovrebbe orientare l’azione della macchina amministrativa.
Il rapporto, con la prefazione di Johnny Ryan, direttore delle relazione industriali di Brave, evidenzia come l’inefficienza derivi dal fatto che troppo spesso i Governi nazionali “abbandonano” le autorità garanti (DPA): limitata autonomia di spesa e mancanza di personale con competenze tecniche adeguata sono i fattori che rendono impotente l’ordinaria amministrazione di un Garante, al punto da spingerle ad evitare di attaccare gli Over the Top, per timore che non possano permettersi poi il costo di difendere legalmente le loro decisioni contro la potenza di fuoco legale che le big company possono schierare.
La colpa è dei Governi. Essi, in palese violazione di quel che il GDPR all’art. 52 par. 4 prescrive – Ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato -, minano l’operatività delle stesse Authorities.
Alcuni dati aiutano a chiarire meglio:
- In totale vi sono 305 specialisti tecnologici ma, solo 6 Garanti ne hanno più di dieci, mentre 7 Garanti ne hanno non più di due. Perfino il garante inglese (UK’s ICO), che è il più grande in Europa e ha riscosso 312,5 milioni di euro, pari al 76% della somma degli introiti derivanti dai provvedimenti dell’intero Spazio Economico Europeo, può contare solo sul 3% dei suoi funzionari come esperti tecnologici.
- 14 Garanti hanno meno di 5mln di euro annui di budget, e l’incremento degli stanziamenti economici, dopo aver raggiunto l’apice a cavallo dell’entrata in vigore del GDPR, sta diminuendo
Per quanto attiene ai singoli paesi, spicca la Germania dove ci sono più di 100 specialisti nel settore tech, tra quelli che operano all’interno dell’Autorità nazionale e quelli nei singoli Land, ed ha, insieme al Regno Unito, una dotazione economica intorno ai 60mln di euro annui.
L’Italia invece, a fronte di 170 effettivi all’interno del Garante, solo 8 sono soggetti esperti tecnologici, ed il budget è di circa 30mln di euro.
Non può essere tralasciato il caso della Commissione irlandese per la protezione dei dati, alla quale, secondo il principio one stop shop, fanno capo tutte le multinazionali, specialmente americane, la cui sede legale europea è posta, per i benefici fiscali di cui godono, in Irlanda, che trattando dati transfrontalieri hanno a che fare con un’unica Autorità di Controllo.
Sebbene tale Garante abbia un budget che sfiori i 17milioni di euro e 21 specialisti tecnologici, pari al 15% dei suoi dipendenti, mentre aumentano le denunce, il numero di effettivi e la dotazione economica hanno avuto una drastica decelerazione e così a fronte di oltre 120 istruttorie poste in essere di cui più di 20 su grandi aziende, nessuna sanzione è stata ancora elevata.
Brave ha presentato una denuncia in seno alla Commissione Europea con la speranza che questa agisca con una procedura di infrazione verso gli Stati inadempienti, altrimenti se non si agisce contro i Big tech, questi restano intoccabili.
Dall’entrata in vigore del GDPR, ossia da quasi due anni, la multa più alta è stata quella del Garante francese a Google, di 50 milioni di euro, ossia un decimo di quanto genera ogni giorno, briciole rispetto al loro fatturato annuo. Se non si cambia rotta la situazione rimane simile a quel che ho studiato sul manuale di procedura civile, dove si dice che l’esecuzione indiretta non serve se l’obbligato ha un patrimonio talmente ingente da essere insensibile al pagamento della somma, portando l’esempio di un patrizio dell’antica Roma, Lucio Verazio, che durante le sue camminate per la città era solito portare sempre con sé uno schiavo, il quale reggeva un vassoio su cui erano presenti dei sacchetti di monete da 25 assi ciascuno. In questo modo il nobile, appena incontrava qualcuno che non gli stava a genio, faceva partire il manrovescio e pagava immediatamente il suo debito con la giustizia.
Le proposte della tech company per uscire da questa crisi guardano in 3 direzioni:
1) Aumentare la dotazione economica dei garanti, specialmente per potersi difendere in giudizio ed evitare che essi non provvedano a contestazione per paura di querelle legali e ritorsioni economiche;
2) Aumentare i team di esperti tecnologici, andando a remunerarli in maniera adeguata per attrarre giovani talenti;
3) Creare un’unità investigativa a livello centrale, in Europa, che aiuti i singoli DPA nelle indagini tecnologiche, ove oggigiorno si concentra il maggior numero di problemi legati alla riservatezza dei dati.
La speranza è che i Garanti vengano dotati di tutti gli strumenti e le risorse necessarie per perseguire lo scopo per il quale sono stati costituiti e, qualora si trovino in presenza di gravi violazioni, facciano uso del potere di irrogare sanzioni che, ai sensi dell’art. 83 del predetto regolamento, possono arrivare fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente.
