Protezione dei dati multa a Whatsapp: ma troppo sfugge alle norme europee

Ai primi di settembre, la Dpc (Data Protection Commission), la Commissione irlandese per la protezione dei dati con sede a Dublino, ha annunciato una multa di 225 milioni di euro per violazione delle norme europee sulla privacy nei confronti di Whatsapp. L’app di messaggistica di  proprietà di Facebook – la cui sede europea è proprio a Dublino – era oggetto di indagine fin dal dicembre 2018.

L’agenzia di controllo aveva ricevuto una valanga di reclami che lamentavano il mancato rispetto degli standard sul trattamento dei dati degli utenti da parte dell’azienda. Fino ad oggi, il Gdpr Enforcement Tracker elenca in totale 822 singole violazioni delle normative europee, dati probabilmente incompleti poiché non tutte le multe sono pubbliche. Uno dei principi chiave del Gdpr è che i soggetti che elaborano i dati delle persone devono essere trasparenti, aperti e onesti con riguardo all’uso delle informazioni in loro possesso. Viceversa, secondo il Dpc, così non è stato nel caso di Whatsapp, responsabile di violazione di diversi articoli del codice europeo. Ad esempio, Whatsapp può caricare i numeri di telefono dei non utenti se un utente acconsente a condividere la propria rubrica contenente i dati personali di altre persone. Molto controversa è anche la questione della condivisione dei dati della piattaforma con la sua società madre Facebook.

Per parte sua, Whatsapp si difende con una nota ufficiale: «Abbiamo lavorato per garantire che le informazioni fornite siano trasparenti e complete e continueremo a farlo. Non siamo d’accordo con la decisione odierna sulla trasparenza che abbiamo fornito alle persone nel 2018 e le sanzioni sono del tutto sproporzionate. Faremo appello a questa decisione». E dire che la multa contro Whatsapp non è nemmeno la più consistente comminata finora. Secondo il sito Statista, specializzato in ricerche e analisi, la multa più cospicua è quella che, nel luglio di quest’anno, ha colpito Amazon, un’altra delle Big Tech: 886 milioni di dollari Usa inflitti dal regolatore lussemburghese alla filiale europea dell’azienda digitale per «non conformità con i principi generali di elaborazione dei dati». Il terzo posto nella lista delle multe più alte va a Google, seguito dalla società di moda svedese H&M e dal provider di telecomunicazioni italiano Tim.

E dire che l’agenzia di vigilanza irlandese non ha ancora esaminato i reclami più complessi come quelli di data-mining – l’insieme di tecniche e metodologie automatiche usate per l’estrazione di informazioni da grandi quantità di dati – sollevati anche contro Facebook, l’azienda madre di Whatsapp. Anche per questi motivi la Dpc con sede a Dublino continua ad essere bersaglio di critiche. In effetti, prima di oggi, l’autorità di regolamentazione irlandese aveva soltanto comminato una multa di 550 mila dollari contro Twitter per violazione della sicurezza. Poca roba rispetto alla recente sanzione contro Whatsapp. Dal punto di vista del Gdpr, infatti, mentre una violazione della sicurezza può indicare una pratica sciatta, l’opacità sistematica nei confronti delle persone appare come una pratica intenzionale rappresentativa di un coerente modello di business basato sulla realizzazione di profitti enormi grazie al dominio indiscriminato della sfera personale degli utenti.

Per molti, la multa a Whatsapp arriva in grave ritardo. David Martin, il capo della Digital Policy di Beuc, l’associazione europea per la protezione dei consumatori che raccoglie 46 associazioni indipendenti da 32 paesi, autrice di numerose denunce in passato contro l’azienda di proprietà di Facebook, si augura «che le autorità per i consumatori prendano nota di questa decisione e agiscano rapidamente sulla denuncia separata del Beuc contro Whatsapp per aver esercitato pressioni ingiuste sugli utenti affinché accettino le recenti modifiche ai suoi termini e condizioni e alla politica sulla privacy». Tuttavia, riconosce che la decisione «invia a Facebook e alle sue aziende un messaggio serio: la violazione delle regole dell’Ue sulla protezione dei dati ha delle conseguenze». E mostra anche «il ruolo decisivo che il Comitato europeo per la protezione dei dati ha nell’applicazione del Gdpr», visto che «l’autorità irlandese per la protezione dei dati è stata costretta dai suoi omologhi dell’Ue a prendere una posizione molto più severa».

Le critiche delle associazioni dei consumatori mostrano quanto sia caldo il dibattito sull’efficacia del Gdpr contro le società digitali che sono oggi le più potenti del mondo. In base al regolamento dell’Unione europea sulla protezione dei dati, le decisioni sui casi transfrontalieri richiedono l’accordo di tutte le autorità di regolamentazione interessate dei 27 Stati membri. Da un lato, il meccanismo del Gdpr cerca di semplificare l’onere normativo per le imprese transfrontaliere, incanalando reclami e indagini tramite un regolatore principale: in genere dove una società ha la sua sede legale principale nell’Ue.

È proprio il caso dell’Irlanda: Google, Facebook, Apple, Microsoft e Twitter hanno tutti la loro sede europea a Dublino, il che rende il commissario irlandese per la protezione dei dati il principale regolatore dell’Ue responsabile del rispetto della legge. Dall’altro lato, è possibile sollevare obiezioni alle conclusioni dell’autorità di controllo principale e alle eventuali sanzioni proposte. Cosa che succede sistematicamente con l’Irlanda, accusata di non riuscire ad applicare le leggi sulla privacy dell’Ue alle società Big Tech statunitensi, con il 98% di 164 reclami significativi sugli abusi della privacy ancora irrisolti. Qualcosa del genere è accaduto proprio nel caso di Whatsapp. All’inizio, l’Irlanda aveva proposto una sanzione molto più bassa (fino a 50 milioni di euro) scatenando l’opposizione da più fronti. Alla fine, il Comitato europeo per la protezione dei dati, è stato costretto a intervenire per risolvere le varie controversie. Dopo un processo durato sei mesi, la Dpc irlandese ha dovuto pertanto aumentare l’entità della sanzione inflitta a Whatsapp.

Ciò nonostante, le critiche continuano a piovere sull’autorità irlandese di vigilanza: il suo ruolo nella gestione dei reclami e delle indagini sul rispetto della privacy appare smisurato, ma la dimensione delle multe così minuscola da fare soltanto il solletico ai colossi del web. Come ha spiegato Max Schrems, avvocato e attivista europeo per la privacy e fondatore del gruppo Noyb per la protezione dei dati personali, «la Data Protection Commission riceve circa diecimila denunce all’anno dal 2018 e questa è la prima multa importante. La Dpc ha anche proposto una multa iniziale di 50 milioni di euro ed è stata costretta dalle altre autorità europee per la protezione dei dati a spostarsi verso 225 milioni di euro, che è pari ad appena lo 0,08% del fatturato del gruppo Facebook. Il Gdpr prevede invece sanzioni fino al 4% del fatturato. Questo mostra come la Dpc sia ancora estremamente disfunzionale». Ma c’è di più. «WhatsApp farà sicuramente appello alla decisione. Nel sistema giudiziario irlandese ciò significa che passeranno anni prima che una multa venga effettivamente pagata», avverte Schrems.

Un’analisi dell’Iccl, l’Irish Council for Civil Liberties, rileva che la stragrande maggioranza dei casi gestiti dal Dpc irlandese è ancora irrisolta. Per Johnny Ryan, senior fellow presso l’Iccl, l’Irlanda è il «peggiore collo di bottiglia» per l’applicazione del regolamento generale sulla protezione dei dati dell’Ue: «l’applicazione del Gdpr contro Big Tech è paralizzata dall’incapacità dell’Irlanda di produrre decisioni sui casi transfrontalieri». La reticenza irlandese nei confronti della Big Tech è stata criticata da molti altri paesi europei, tra cui Francia, Spagna e Italia. Ulrich Kelber, garante tedesco per la protezione dei dati, in una lettera ai parlamentari europei ha segnalato che la sola Germania aveva «inviato più di 50 denunce su Whatsapp» alle autorità irlandesi senza ricevere alcuna risposta.

Per Kelber, la «gestione estremamente lenta dei casi in Irlanda è significativamente al di sotto dei progressi nella gestione dei casi della maggior parte dei supervisori dell’Ue e in particolare della Germania». Le norme comunitarie sulla privacy conferiscono al Comitato europeo per la protezione dei dati il potere di agire contro i garanti dei dati a livello di stati membri. Ma si tratta di poteri limitati. Che non possono costringere un’autorità come la commissione irlandese a svolgere bene il proprio lavoro.