Alla fine, l'audizione-fiume di Mark Zuckerberg al Congresso americano ha prodotto un unico risultato visibile: il rally del titolo di Facebook, galvanizzato dai ritorni di immagine del mea culpa del 33enne di fronte a una schiera bipartisan di senatori. Gli addetti ai lavori sono scettici all’idea che il colosso social finisca per pagare davvero le conseguenze dei suoi «abusi di dati».
Sopratutto negli Stati Uniti, dove le sentenze sfavorevoli si sono sempre tradotte in un ulteriore trampolino di visibilità per un gigante che custodisce informazioni su 2 miliardi di utenti. Ma a creare qualche problema in più a Zuckerberg potrebbero essere l'Europa e la sua General data protection regulation (Gdpr), il regolamento sulla protezione dei dati che avrà efficacia dal 25 maggio. Se Zuckerberg si ritiene inattaccabile rispetto all’accordo siglato nel 2011 con la Federal trade commission, l’antitrust americana, lo stesso non si può dire della Gdpr e degli obblighi che impone alle piattaforme online. Certo, tutto lascia intendere che Facebook non uscirà danneggiato e continuerà a macinare utili, spianando magari la via alle ambizioni politiche del suo fondatore. Ma rispetto agli States, l’Europa sembra capace di porre qualche freno in più all'impero «sovranazionale» dell'ex dropout di Harvard.
Gli obblighi fissati dalla Gdpr
Prima di tutto, la Gdpr colpisce nel vivo uno dei punti di forza del social network e, più in generale, delle aziende digitali: l’immaterialità dei dati, il bersaglio mancato nella doppia audizione di Washington. Il regolamento Ue si applicherà a tutte le aziende che elaborano dati riguardanti i cittadini della Ue, «a prescindere da dove si trova l'azienda». In altre parole i cittadini Ue avranno diritto di accesso alle informazioni in loro proposito, anche se i server dell’azienda sono collocati in California o sul fondale dell'oceano Atlantico. Insomma, «i Web Giants non possono fare leva sul fatto di avere delle server farm ubicate fuori del territorio dell'Unione» spiega Oreste Pollicino, docente di diritto dei media all'Università Bocconi di Milano. Ma c'è di più. Il regolamento, spiega Pollicino, riguarda qualsiasi dato venga trattato « nella misura in cui tale comportamento ha luogo all'interno dell'Unione europea». In altre parole, non si considerano solo i cittadini Ue ma tutte le trattazioni di dati avvenute nella Ue. Cosa c'entra Facebook, con sede legale in California e un'infrastruttura retta su beni intangibili come software e algoritmi proprietari? C’entra, perché il social ha inaugurato nel 2008 una divisione europea in Irlanda, chiamata Facebook Ireland e responsabile delle questioni di privacy che riguardano tutti gli utenti che non vivono in Stati Uniti e Canada.
La conseguenza è semplice da intuire. Visto che la sede è nel perimetro Ue, tutte le pratiche gestite cadono sotto gli effetti della Gdpr, aprendo anche ai cittadini di Australia e Malesia le stesse garanzie fissate dal regolamento europeo. Ad esempio? Fra le “strette” con impatto diretto sul business di Facebook ci sono l’obbligo di notificare qualsiasi violazione di dati entro 72 ore (e non tre anni dopo, come successo con Cambridge Analytica), il diritto di sapere immediatamente come e perché le informazioni vengono utilizzate e la «portabilità» dei dati, ossia la possibilità di trasmettere le informazioni a un altro social network. In caso di violazioni le multe possono arrivare al 4% del turnover annuo. Considerando che Facebook ha chiuso il 2017 con un fatturato di circa 40 miliardi di dollari, potrebbe scattare sanzioni ben oltre il miliardo di dollari. Briciole rispetto alla cassa di un colosso che capitalizza quasi 500 miliardi di dollari, ma il problema è gestionale: abituato per anni alla legislazione leggera dell'Irlanda, Facebook potrebbe essere chiamata sempre più spesso a giustificare le sue policy aziendali.
«Il regolamento non danneggia, si fa rispettare»
Sandra Watcher, avvocato e ricercatrice di Data ethics all'Oxford Internet Institute, spiega al Sole 24 Ore che la Gdpr «non danneggia e non ha intenzione di danneggiare il business di nessuno, ma solo di far rispettare alcune regole per la trasparenza a favore dei consumatori». I più scettici sostengono che Facebook sia già attrezzato per scampare a qualsiasi tentativo di regolamentazione, anche europeo. Un servizio della Reuters aveva fatto circolare l'ipotesi, poi smentita, che «Zuck» fosse disposto a importare oltre oceano solo alcuni frammenti del regolamento europeo, scavalcando quelli più scomodi. «Ci sono sempre scappatoie e ci sono sempre incertezze - dice Watcher - Ma questo non vuol dire che si possa aggirare le regole “perché tanto fanno così”. Prima o poi la falla si scova e si chiude».
In questo senso, con le sue imperfezioni, il regolamento Ue raggiunge un risultato distante negli Usa: inquadrare Facebook e i colossi del Web in un quadro di regole definite, sanzionandole in caso di storture. Forse è poco, ma è un passo rimasto in sospeso fuori dalla Ue: «Io penso più che altro che ci sarà un esempio positivo per gli Stati Uniti,dove la gente è arrabbiata e ha capito cosa viene fatto dei suoi dati - spiega Watcher - E magari aumenterà la pressione, chiudendo altre falle e seguendo il modello dell'Europa». In questo momento, sulla pagina Careers di Facebook ci sono 12 posizioni aperte nel settore delle compliance. Il social cerca specialisti capaci di mantenere la piattaforma a norma delle leggi. In attesa della prossima falla, sua o dell'Europa.
© Riproduzione riservata