Il titolo si presta volutamente ad una doppia interpretazione, nel tentativo di comporre un’operazione di sintesi di alcune opposte reazioni cui si è assistito dopo il provvedimento del Garante riguardante Google Analytics. E sebbene siano divergenti, riescono ad essere – come è prevedibile quando si è agli estremi – erronee nelle conclusioni. Difatti, ritenere che basti o sia sufficiente parlare solamente di Google Analytics per risolvere ogni criticità è una semplificazione inaccettabile tanto quanto quella del pensare che non sussista alcun problema rilevante e che di conseguenza sia necessario smettere di parlarne.
Insomma: la vicenda si inserisce in un quadro ben più complesso, e induce a ragionare e notare orizzonti più ampi che alcuni esperti della materia avevano già segnalato da oltre vent’anni rimanendo però delle inascoltate Cassandre.
Concedendoci una riedizione di Amleto in contesto digitale, ci sono più cose nel world wide web di quanto ne possa (far) sognare uno strumento di analytics. Quel sogno composto da metriche e previsioni cela però l’incubo di tracciamenti persistenti, con flussi che possono porsi al di fuori dell’alveo di controllo o persino di consapevolezza dell’interessato. Ecco che l’esigenza di guardare anche a quei più ampi scenari che da tempo si profilano con tutte le ombre profonde delle più pericolose derive ed eccessi, con sacrificio dei diritti individuali.
Si può – o anzi: si deve – parlare della continua ricerca di una sovranità digitale dell’Unione Europea che soffre però la dipendenza storica accumulata dai singoli Paesi nei confronti delle Big Tech. Nei tentativi di affrancamento si accumulano spesso produzioni normative ed interventi da parte delle autorità di controllo che non sempre producono risultati efficaci, soprattutto perché dovrebbero agire in sinergia con una cultura di fondo che è il fondamento di ogni grande cambiamento. È sempre la società a fare il diritto, e mai il contrario.
Mettere in discussione strumenti, provider e servizi che trasferiscono dati personali significa richiamare il rispetto dell’art. 44 GDPR ovverosia la predisposizione di garanzie concrete ed effettive da attuare e comprovare perché il livello di tutela assicurato ai diritti e alle libertà fondamentali dei cittadini europei dal GDPR non sia compromesso. Imprescindibile è il riconoscimento della necessità dei flussi dati per l’espansione del commercio e della cooperazione internazionale (considerando n. 101 GDPR), pertanto ciò che si deve comporre è un complesso equilibrio che non può essere attuato ma che va costruito.
Ad esempio, l’EDPB si era espresso sul nuovo Trans-Atlantic Data Privacy Framework, che dovrebbe essere il successore del Privacy Shield e andare a regolamentare attraverso il riconoscimento di una decisione di adeguatezza della Commissione europea il trasferimento dei dati personali fra Unione Europea e Stati Uniti. L’intenzione rappresentata è quella di superare alcune delle attuali incertezze applicative, ma per quanto meritevole lo stesso comitato dei garanti ha sottolineato l’esigenza di analizzare nel dettaglio le questioni riguardanti la raccolta di dati per esigenze di sicurezza nazionale secondo il vaglio della stretta necessità e proporzionalità.
Le garanzie sostanziali ed effettive del nuovo accordo renderanno una cartina di tornasole della domanda di protezione dei dati personali dei cittadini dell’UE. Se sarà formalizzato – in virtù di rapporti di forza e negoziazioni che appartengono alla sfera del diritto internazionale – un accordo privo di tali garanzie allora non dovrà solo attendersi una sentenza Schrems III ma aumentare l’attività di promozione e diffusione di cultura e diritti digitali.
E quindi no. Non basta parlare di Google Analytics. Con buona pace di entrambe le interpretazioni da attribuire alla domanda.
