La vicenda Kaspersky è oramai posta sul tavolo del dibattito pubblico, al punto che anche l’Autorità Garante per la protezione dei dati personali ha aperto un’istruttoria a riguardo “per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa che fornisce il software antivirus Kaspersky”. Con questa iniziativa intrapresa d’ufficio, come conseguenza dello scenario di cyberwar in corso il Garante ha fatto richiesta a Kaspersky Lab “di fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici” dettagliando l’aspetto del trasferimento dei dati personali nei confronti di Paesi terzi, con particolare riguardo alle richieste di accesso formulate da parte di autorità governative.
Ora: che ci sia un assembramento attorno al tavolo di dibattito su Kaspersky, è un fatto. Che da tale assembramento possa venir fuori qualcosa di buono, invece, quanto meno si può dubitare. Anche perché uno dei principali effetti della diffusa e virale “annuncite” è che tanto si dice in relazione al cosa fare – beninteso: come roboante dichiarazione d’intenti – e ben poco spazio si dedica al come realizzarlo.
Guardando ora al nuovo convitato, ovverosia un’autorità di controllo il cui intervento sarà – per ragioni di competenza – limitato ad un ambito di verifica della conformità alle prescrizioni del GDPR (e in particolare al Capo V relativo ai trasferimenti verso Paesi terzi e organizzazioni internazionali), qualche dubbio può sorgere circa gli sviluppi e le conclusioni che ci si potrà attendere a tale riguardo. Anche perché la gestione della vicenda appare essere di interesse comune per i Paesi dell’Unione e dunque andrebbe affrontata con strumenti di cooperazione e coerenza come quelli stabiliti dagli artt. 60 e ss. GDPR.
Nonostante tali considerazioni e volendo confidare nel fatto che l’iniziativa del Garante italiano possa essere un impulso per un’azione di più ampio respiro, non sono di immediata comprensione le eventuali conseguenze per le organizzazioni che hanno fatto e fanno uso dell’antivirus Kaspersky. Saranno coinvolte in un’inevitabile istruttoria a cascata? E se sì, sarà oggetto di valutazione l’elevato squilibrio di potere sofferto nei confronti di alcuni grandi fornitori? In molti casi il potere di definire termini e condizioni è difatti compresso, se non escluso.
Insomma: le conseguenze sono tutt’altro che di poco conto. Ma riportano tutte all’argomento della posizione dominante nel mercato digitale. La riflessione urgente che viene richiesta non spetta alle organizzazioni bensì al legislatore nazionale ed europeo, che dovrà svolgere un rafforzamento ed un più ampio impiego degli strumenti di regolazione propri dell’antitrust. E non solo.
