Mark Zuckerberg ha dichiarato in un'intervista di essere d'accordo «nello spirito» con la Gdpr, il regolamento europeo sulla privacy che avrà efficacia dal 25 maggio. Fino ad oggi si pensava anche nella pratica, per ragioni logistiche: visto che tutti gli utenti di Facebook esterni a Stati Uniti e Canada sono gestiti dalla sede internazionale di Dublino, in Irlanda, la Gdpr dovrebbe riguardare sia i 370 milioni di utenti in Europa sia, e soprattutto, gli 1,5 miliardi di utenti sparsi nel resto del mondo, dal Sud Africa all'Indonesia. A quanto pare, non sarà così.

Un'inchiesta dell'agenzia britannica Reuters ha rivelato che Facebook è intenzionata a portare tutti gli utenti extra-europei sotto alla legislazione della California, sottraendoli alla legge irlandese e quindi ai paletti in arrivo con la Gdpr. Una mossa che equivale a “spostare” un miliardo e mezzo di persone nella giurisidizione americana, sfuggendo alle strettoie del regolamento in arrivo al 25 maggio. Proprio negli scorsi giorni Facebook aveva sponsorizzato una serie di aggiornamenti pensati nel rispetto delle nuove regole europee, dal consenso sui dati al riconoscimento facciale. Un'infornata di update che, però, avrà effetto solo su meno di 400 milioni di utenti sui più di 2 miliardi profili custoditi nei server dell'azienda di Menlo Park.

Tasse in Irlanda, dati in California
Facebook rientra nella lunga lista di giganti tecnologici americani che hanno scelto di aprire una sussidiaria in Irlanda, nel 2008, approfittando del mix favorevole fra fisco leggero (la corporate tax è al 12,5%, un record su scala Ocse) e patti bilateriali confezionati su misura per le aziende tecnologiche. Fra le altre multinazionali che hanno scelto Dublino o Cork come affaccio sulla Ue ci sono giganti che spaziano dall'Ict all'e-commerce, passando per i produttori di hardware e software di gestione aziendale: Google, Microsoft, Hp, Twitter, PayPal, Amazon, Zalando, Groupon e, più di recente, le startup AirBnB e Uber. Facebook non smantellerà la sua sede a Dublino, dove lavoravano oltre 1.500 persone nel 2017, ma si limiterà a spostare in California la sede competente per le controversie sulla privacy. Tutto il resto sarà mantenuto sotto la giurisdizione irlandese, incluse le tasse e i contenziosi che ne possono derivare.

Michael Veale, l'esperto di privacy contattato anche dalla Reuters, spiega al Sole 24 Ore che il salto dalla giurisdizione europea a quella americana permetterà di «trasportare dati» in un contesto più morbido dal punto di vista legislativo. La Gdpr avrebbe ristretto il campo di azione di Facebook sotto al suo perimetro, obbigandolo - ad esempio - a informative chiare sull'uso delle informazioni o alla notifica di qualsiasi violazione entro 72 ore. Con il passaggio delle responsabilità negli Stati Uniti, gli utenti extra-europei finiranno così per «perdere i diritti», indebendolendosi in caso di contenzioso con il colosso social di Zuckerberg. Ad esempio la legge americana non considera «sensibili» una serie di dati che potrebbero risultare tali ai sensi della Gdpr, moltiplicando il margine di azione di Facebook oltre ai confini previsti finora. «Vediamo cosa dirà la legge irlandese» dice Leave, lasciando intendere un ostacolo in più sulla manovra di Zuckerberg: il diritto nazionale. Le autorità dei singoli paesi potrebbero esporsi per chiedere conto delle informazioni che riguardano i propri cittadini. Guardando all'Europa, in questo caso pionieristica nel fissare regole di trasparenza rispetto allo strapotere delle multinazionali del Web.

Fuga (virtuale) dall'Europa
La scelta di dirottare gli utenti extraeuropei sotto la legislazione americana non è isolata. Anzi. In vista della Gdpr, è già scattata la corsa delle aziende con doppia sede per rivedere e aggiornare le proprie policies in funzione del regolamento sui dati. In parte è un accorgimento obbligato, visti i rischi di sanzioni nell'ordine del 4% del turnover annuo che si annunciano per i trasgressori. In parte, una delle «novità» che si registrano sta proprio nel passaggio di competenze dei cittadini extraeuropee su sedi americane, evitando così l'assimilazione ai 99 articoli della Gdpr. LinkedIn, il social network per professionisti controllato da Microsoft, ha rivisto il proprio contratto di licenza con un aggiornamento in vigore dall'8 maggio. Non a caso, circa due settimane prima del debutto della Gdpr.

Cosa è cambiato? Ora, al capitolo su «legislazione applicabile e risoluzione delle controversie», si scopre che solo i cittadini residenti nella Ue o in Svizzera saranno sottoposti alle leggi irlandesi. E quindi alla Gdpr. Per tutti gli altri, «inclusi coloro che vivono fuori dagli Stati Uniti», si terranno in considerazione le norme previste dallo Stato della California. Un copione che potrebbe ripetersi su altre aziende che, per ora, applicano le norme Ue a tutti gli utenti «che non risiedono negli Stati Uniti»: da un altro social network come Twitter, che al momento conserva il regolamento in vigore dal 2017, a sistemi di pagamento online del calibro di PayPal.

© Riproduzione riservata