GDPR al bivio

A due anni esatti dall’entrata in vigore, il GDPR ha bisogno di un tagliando. Urgente. Secondo i dati dell’European Data Protection Supervisor (EDPS) dal 25 maggio 2018 al 30 novembre dello scorso anno i garanti di 22 paesi UE hanno comminato 785 multe, 110 delle quali relative a violazioni pre-GDPR.

Salate quelle inflitte dal Garante britannico, rispettivamente a British Airways (183 milioni di sterline) e alla catena alberghiera Marriott (99 milioni). Più prudente l’omologo irlandese che, a fronte di 9500 denunce arrivate sul suo tavolo, non ha finora multato nessuno dei giganti IT con sede sull’isola – da Facebook a Google, da Apple a Microsoft – già beneficiari di un pacchetto di vantaggi fiscali che comprende una corporate tax del 12,5% più competitiva rispetto alla media europea del 20,3%; la possibilità di spostare i profitti delle controllate dalle giurisdizioni ad alta imposizione fiscale (transfer pricing) e persino quella di siglare accordi segreti per ridurre ulteriormente le tasse da pagare. Un trattamento di assoluto favore premiato dalle circa 700 multinazionali USA con lo spostamento verso l’Irlanda di centinaia di miliardi di dollari ogni anno.

Un flusso maggiore di quello dirottato da qualsiasi isola caraibica, Singapore, Svizzera e persino dai nostri amici olandesi. Denaro, sottratto alla giurisdizione fiscale della maggior parte dei paesi UE, che fa degli Stati Uniti il maggiore elusore di tasse worldwide e dell’Irlanda uno dei paradisi fiscali più competitivi del Pianeta. In più grazie al meccanismo dello sportello unico (one-shop stop), la patria degli U2 e della Guinness incarna probabilmente l’ambiente più favorevole all’elusione delle regole del GDPR. L’articolo 60 del regolamento europeo consente infatti di lasciare a una sola Authority l’onere di occuparsi delle violazioni transfrontaliere, in materia di protezione dei dati, da parte delle società. Un meccanismo che sembra tagliato su misura per chi può permettersi di scegliere come sede principale in Europa – «un paese non molto grande, con un’Autorità di controllo non di grandi dimensioni, e poter beneficiare di un’attenzione particolare da parte del governo del Paese» – per citare Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali.

Attenzione che in materia di tutela dei dati personali si traduce in poche risorse a disposizione dell’omologo irlandese: meno di 17 milioni di euro all’anno e uno staff di 140 persone per seguire gli oltre 120 casi che – secondo indiscrezioni – paleserebbero probabili violazioni del GDPR. Un problema peraltro che non riguarda solo l’Irlanda. Infatti, su 29 Garanti Europei, 14 dispongono di un budget inferiore a 5 milioni di euro. La debolezza irlandese non ha impedito a Ulrich Kelber, il commissario federale tedesco per la protezione dei dati, di bollare come insopportabile l’inazione dell’Irlanda e sollecitare una modifica sostanziale di parte dell’impianto legale del GDPR, con la creazione di un’Autorità centrale a livello UE al posto dello sportello unico. «Le autorità di vigilanza europee finora non sono state all’altezza di un approccio comune e uniforme in materia di sanzioni» – gli ha fatto eco il portavoce dell’Autorità per la protezione dei dati della città-Regione di Amburgo.

Di fatto, non si può più parlare di rischio di creare regimi distinti di vigilanza all’interno della UE perché questa tendenza è già in atto. E ciò amplifica le preoccupazioni sul futuro della protezione dei dati. Mentre per far fronte all’aggressività delle multinazionali, servirebbe una maggiore capacità di cooperazione e coordinamento da parte delle autorità di tutta Europa e maggiori risorse a disposizione dei Garanti. Senza un deciso cambio di rotta, il GDPR rischia di non essere applicato nei confronti delle grandi aziende tecnologiche internazionali. Vanificando così lo sforzo compiuto dall’Europa per proteggere i dati di oltre 446 milioni di cittadini.