1. I recenti casi di Volkswagen e Facebook, oggetto di particolare attenzione anche mediatica, a un primo sguardo gettano luce su carenze organizzative, assenza di adeguati strumenti di tutela preventiva o veri e propri intenti di frode, a danno dei cittadini.
A un livello più approfondito, rivelano invece una problematica comune: un dislivello di regolazione, che genera contrasti – e soluzioni illegittime – nel momento in cui si cerca, senza le dovute cautele, di avvicinare i sistemi giuridici a livello transatlantico, frutto di filosofie spesso divergenti.
2. Il caso Facebook è un esempio di carente e inappropriata connessione tra ordinamenti, nonostante la tecnica richieda oggi sforzi maggiori, perché ne determina la comunicabilità. La Commissione europea, il 26 luglio 2000, ha gettato un ponte tra Europa e Stati Uniti, consentendo la negoziazione delle parti in materia di trasferimento di dati personali conseguenti alla offerta di beni o servizi; l’esecutivo europeo sosteneva che il livello di protezione concordato – e reciprocamente assicurato -dalle imprese interessate fosse sufficiente a garantire un livello accettabile di tutela. Il safe harbor, così è denominato l’accordo, ha operato per un quindicennio finendo però per svilire i livelli di tutela garantiti dall’ordinamento europeo. Ed è stato considerato illegittimo dalla Corte di Giustizia nell’ormai noto caso Maximillian Schrems c. Data Protection Commissioner (C-362/14).
Alla base di tale valutazione, la finalità e la disponibilità dei dati: non si tratta, come nelle intenzioni della Commissione, di riservarli alle aziende, in modo da favorire lo scambio di servizi; quegli stessi dati possono essere destinati alle amministrazioni pubbliche. Per questa finalità, il presupposto logico che precede la concezione del safe harbor si sfalda: non basta il reciproco consenso e l’assicurazione di un livello minimo di tutela. Al contrario, serve un’autorizzazione – e dunque una specifica attenzione da parte dei poteri pubblici – poiché la disponibilità dei dati ad apparati governativi di Stati terzi non risponde al dettato del diritto dell’Unione europea, dove la privacy è tutelata a livello ‘costituzionale’, quale diritto fondamentale (alla tutela diretta dell’Unione, peraltro, si somma la tutela di pari grado della Cedu). La direttiva n. 95/46/Ce non può essere interpretata nel senso di consentire una deroga di questa portata, pena una violazione di principî e precetti di rango superiore e comuni alle tradizioni costituzionali degli Stati membri.
La questione dipende, sul piano causale, dalle vicende che hanno portato alla luce l’intensa attività di sorveglianza di massa compiuta sui dati trasmessi negli ultimi anni. È la stessa presenza di Internet a consentire il raggiungimento di ogni ‘nodo’, e dunque di ogni persona (che sia connessa). Qui viene in rilievo il contrasto tra ‘ubiquità’ del mezzo e territorialità del controllo. Il primo non deve illudere circa l’eventuale superamento del secondo che, al contrario, è un aspetto sempre presente. È il passaggio dai server di Facebook, stabilita in Irlanda, a quelli situati all’interno degli Stati Uniti a consentire il controllo del governo; ed è proprio questo aspetto a essere oggetto di attenzione da parte dei Giudici di Lussemburgo.
Se i livelli di tutela tra le due ‘postazioni territoriali’ non sono coerenti, adeguati, e uniformi, sarà uno dei due a prevalere. Finora, è prevalsa la circolazione, con buona pace della riservatezza. Ora, in Europa, prevale la seconda, in forza del solido muro di protezione eretto dalla Corte di giustizia.
Gli sviluppi futuri rimangono una questione aperta, che dovrebbe evitare una nuova raise to the bottom.
3. Diverso il caso della Volkswagen. Qui è venuto alla luce il camouflage, da parte dell’azienda, sui risultati delle emissioni di ossido di azoto (ufficialmente contestati il 18 settembre 2015) e monossido di carbonio (rilevati il 3 novembre). I controlli sui gas di scarico sono stati aggirati grazie a un particolare software, che manometteva i risultati delle emissioni, riducendole solo durante i test di controllo (defeat device). Undici milioni le vetture coinvolte su scala mondiale, di cui cinquecentomila negli Stati Uniti, per un totale di emissioni complessive fino a oltre 40 volte il limite consentito.
L’amministrazione nordamericana, la Environmental Protection Agency (Epa), a settembre 2015 ha notificato all’azienda tedesca un avviso di violazione del Clear Air Act (seguito, a ottobre, da un secondo avviso relativo alle case Porsche e Audi).
Allo ‘scandalo’ nordamericano è seguito quello del Vecchio continente, che riguarda anche gli autoveicoli a benzina. In base a quanto ammesso dalla stessa azienda, più di ottocentomila veicoli appartenenti a diversi marchi (tutti riconducibili alla casa madre) producono emissioni inquinanti in misura maggiore rispetto a quanto dichiarato nei documenti tecnici.
Le ricadute si sono subito rivelate gravissime, in termini di impatto sia ambientale, sia economico, per gli effetti negativi derivanti dalle sanzioni (da parte della Commissione europea e dell’Epa, la cui stima complessiva indica una somma di diciotto miliardi di dollari), dalla probabile diminuzione delle vendite (con effetti sull’indotto) e dalle class action che iniziano a paventarsi.
Anche qui vi è un dislivello di regolazione: gli standard nordamericani sono più severi rispetto a quelli dell’Unione europea. Anche se l’Unione è intervenuta sulla vicenda, dunque, la sua reazione appare meno efficace rispetto all’America del Nord. L’assenza di uniformità genera ancora differenti livelli di tutela, mentre, proprio perché si verte in materia climatica globale, occorrerebbe un approccio comune (che rafforzi, e non riduca, il livello di tutela).
4. Le due vicende dimostrano alcuni tratti comuni e qualche spunto di riflessione sulle differenze di regolazione.
Innanzi tutto, vi è un chiasmo: nelle comunicazioni, la globalizzazione è generata dal mezzo in sé, ossia dal dominio di Internet; nel controllo delle emissioni, sono gli effetti, e non i mezzi (i singoli veicoli), a essere globali. Come visto, nel primo è l’Europa a offrire, oggi, una protezione maggiore; nel secondo, sono invece gli Stati Uniti a dettare regole più severe.
In entrambi i casi, inoltre si tratta di fenomeni su vasta scala, che interessano un numero amplissimo di cittadini e producono conseguenze generali. Nel caso della privacy, all’effetto diretto su ciascun singolo (di cui viene compromessa la riservatezza) si somma quello di un comportamento volto al controllo generalizzato delle vite dei cittadini, europei e non; in quello delle emissioni, all’effetto relativo al singolo (una stima riportata dal New York Times indica che la condotta della Volkswagen potrebbe aver determinato un numero di morti dovute all’eccesso di emissioni tra 40 e 106), si sommano gli effetti ambientali, interesse adespota per eccellenza.
Distinte, poi, le iniziative da cui i casi prendono avvio. In Europa, un attivista austriaco ha contestato con lucidità l’abuso della trasmissione dei dati operata dal noto network sociale. In America del Nord, l’Epa ha potuto notificare la contestazione grazie agli studi di un ente indipendente, l’International Council on Clean Transportation (Icct, nonprofit organization stabilita negli Usa e incorporata nella Section 501(c)(3) del Tax code). Uno studio commissionato alla University of West Virgina ha condotto, prima, a un rapporto al California Air Resources Board (Carb) nel maggio 2014 e, al passaggio verso l’Epa (in Europa, il Joint Research Centre della Commissione europea nel 2011 aveva pubblicato un rapporto con evidenze problematiche sulle emissioni dei motori diesel della casa tedesca). Da un lato, è su impulso di un singolo che la Corte europea spezza un meccanismo automatico e impone alle istituzioni dell’Unione di prestare le garanzie previste dai Trattati. Dall’altro, sono i controlli di un ente indipendente a consentire all’amministrazione di notificare una violazione grave, compiuta con dolo.
Infine, si registra la presenza di meccanismi di risposta eterogenei. Nel caso Facebook, la soluzione è immediata: l’annullamento della decisione della Commissione comporta il blocco degli scambi automatici di dati (dalla stessa prima consentiti). Nell’altro, oltre a una reazione sanzionatoria, si apre la strada per soluzioni, forse condivise, volte ad apprestare meccanismi efficaci dinanzi a frodi che mettono in discussione interessi comuni.
Questi elementi forniscono qualche indicazione di prospettiva. Innanzi tutto, sarebbe utile l’istituzione di un comitato internazionale, o anche regionale (ed esempio per Europa e America del Nord), che svolga le proprie funzioni in modo indipendente fornendo pareri e studi alle amministrazioni interessate. In questa direzione sembra andare la risoluzione del Parlamento europeo del 27 ottobre, con cui si propone l’istituzione di una agenzia europea per il controllo delle emissioni. Sotto un diverso profilo, si intravede la necessità di una revisione degli strumenti di politica ambientale, per contemperare gli interessi in conflitto tra loro e ricondurli a un maggiore equilibrio. Infine, in materia di riservatezza non sarà sufficiente stabilire standard minimi, ma sarà necessario assicurare una ampia e certa garanzia giuridica in ordine alla raccolta, alla trasmissione e al trattamento dei dati personali – rafforzando anche sul piano transnazionale diritti che sono messi a rischio dalla pervasività di Internet (e facendo prevalere il modello di maggior tutela, vale a dire quello europeo, definendolo ulteriormente e improntandolo a una ancor più crescente forma di tutela dei dati riservati di tutte le persone connesse).
La risposta potrebbe continuare a essere diversa sulle due sponde dell’Oceano, come avvenuto sinora. Sarebbe auspicabile, però, una spinta comune: l’accordo tra Stati appare necessario alla luce della natura dei fenomeni in questione, che non possono essere fronteggiati singolarmente. Occorrerebbe l’adozione, con metodo multilaterale, di accordi trasparenti, conoscibili e definiti a valle di una intensa ed efficace – ma non dispersiva – fase di consultazione. Le soluzioni comuni così individuate dovrebbero mirare alla garanzia effettiva del singolo, verso il pieno rispetto dei suoi diritti fondamentali, in questo caso riservatezza e salute.
Bruno Carotti
