PERCHÉ ( E COME) è ORA DI RISOLVERE L’ASIMMETRIA NORMATIVA USA- UE
Il Regolamento europeo per la protezione dei dati personali, esportato in buona parte del globo ( Bruxelles effect) il 25 maggio spegnerà cinque candeline. La festa di compleanno l’ha organizzata, con special guest Meta, l’Autorità di protezione dati irlandese con la sanzione record da 1, 2 miliardi.
Non è però certamente la sanzione economica a preoccupare maggiormente Meta, ma gli ordini contestuali di sospendere entro cinque mesi qualsiasi trasferimento di dati verso gli Stati Uniti e, specialmente, di conformare tutti i trattamenti già effettuati, a partire dalla data di adozione della famosa sentenza Schrems 2 del 2020, a quanto prescritto dal GDPR. Attenzione, tutto questo però a patto che non venga approvata la decisione della Commissione sull’adeguatezza dei processi di trasferimenti di dati di cittadini europei verso gli Usa. Decisione controversa e contestata, che però è attesa entro fine luglio.
Lo scenario, piuttosto complesso, fa emergere tre fronti che vanno presi in considerazione contestualmente, altrimenti la visione rischia di essere frammentata.
In primo luogo, le grandi piattaforme si sono ormai trasformate da meri attori economici a poteri privati che competono con quelli pubblici. È evidente che il costituzionalismo europeo non può ignorare tale trasfigurazione. Il GDPR è, allo stesso tempo, la risposta normativa a tale trasformazione, la conferma che la bussola valoriale europea, anche nel digitale, è data dal connubio privacy e dignità – che devono essere prese sul serio - ed è, infine, una reazione a quella prima fase di liberismo digitale che ha caratterizzato i precedenti 15 anni dei rapporti tra Ue e tecnologia.
In secondo luogo, vi è un problema di coordinamento istituzionale. Ci sono almeno tre poteri pubblici in cui si concentra la dimensione reattiva, con particolare riferimento al diritto alla privacy. In primo luogo il legislatore europeo, in secondo luogo la Corte di giustizia di Lussemburgo, in terzo luogo le autorità europee di protezione dati, che a loro volta si muovono sia in autonomia, sia all’interno del Board che le riunisce. Questa forma di protezione multilivello, dal punto di vista degli attori in gioco, non sempre in Europa funziona in modo armonico, a volte si rischia il cortocircuito.
In questo caso, per esempio, abbiamo un problema, e almeno due proposte di risoluzione sul tappeto. Il problema è evidentemente l’asimmetria, quanto al livello di tutela della privacy, tra ordinamenti statunitense e europeo. La prima proposta è di tipo giurisdizionale. La Corte di giustizia chiede la sostanziale equivalenza del livello di tutela, assai difficile da realizzare in pratica, perché le tradizioni costituzionali dei due ordinamenti, pur nell’alveo delle democrazie liberali e alla luce degli sforzi, a dire il vero assai recenti, degli Usa per innalzare il libello di protezione della privacy, divergono significativamente sul punto. L’orientamento della Commissione europea, e si tratta della seconda opzione, è più pragmatico. Bisogna lavorare a un accordo politico che sia di compromesso, in cui l’obiettivo primario dell’adeguatezza ( non sostanziale equivalenza) dell’ordinamento statunitense quanto alla tutela della privacy si possa sposare con obiettivo altrettanto primario della circolazione dei dati.
A seconda di quale orientamento prevarrà ( la Corte di giustizia ha comunque ultima parola) l’ordine oggetto della sanzione irlandese nei confronti di Meta sarà applicabile o meno nel medio termine. La certezza del diritto potrebbe risentirne. Detto per inciso, la decisione in oggetto sarà un precedente per qualsiasi società in Europa voglia trasferire dati negli Stati uniti, indipendente dalla sua “taglia”.
Terzo e ultimo fronte. Benissimo che i rapporti transatlantici, nel contesto digitale, siano all’attenzione degli attori europei per garantire il livello di protezione dei diritti alla base del costituzionalismo del vecchio Continente. Attenzione soltanto ad evitare uno strabismo esclusivamente di natura occidentale che non presti ( almeno) la medesima attenzione al trasferimento di dati nei confronti dell’area asiatica, a iniziare dalla Cina. In quest’ultimo caso non vi sarebbe neanche l’ombrello della partecipazione alla casa comune delle democrazie liberali e del rispetto della rule of law a fare da scudo.
Dall’armonizzazione dipende l’applicabilità o meno nel medio termine dell’ordine oggetto di sanzione