Guido Scorza sulla mail di Federico Leva: «È una sorta di caso Schrems, il diritto gli viene riconosciuto dalle norme vigenti»

Ci sono norme da tenere in considerazione e ci sono dei precedenti illustri, come quello dell’austriaco Max Schrems, a cui venne riconosciuta – dalla Corte di giustizia europea nel 2020 – la fondatezza dei suoi 101 ricorsi contro l’utilizzo massiccio di Google Analytics e il trasferimento dei dati dei cittadini europei negli Stati Uniti. Da lì, tutta una serie di norme hanno anticipato, in qualche modo, il provvedimento con cui il Garante della Privacy italiano – lo scorso 23 giugno – ha concesso 90 giorni a un editore affinché possa risolvere il problema e ricorrere a un utilizzo conforme di Google Analytics. Qualche ora dopo, centinaia di siti italiani sono stati raggiunti da una mail di Federico Leva, un attivista per i diritti digitali, che (citando, tra le altre cose, il provvedimento del Garante e un’intervista del componente del collegio, Guido Scorza, a Matteo Flora) richiedeva la rimozione dei propri dati personali, ottenuti in seguito alla navigazione su quei determinati siti e trasferiti, attraverso Google Analytics, negli Stati Uniti. Vista l’attualità del dibattito, abbiamo chiesto proprio a Guido Scorza – direttamente chiamato in causa nella famosa mail di Leva – un parere su cosa ci si debba aspettare. 

LEGGI ANCHE > La mail di Federico Leva e i cittadini che chiedono la rimozione dei dati desunti da Google Analytics

L’opinione di Guido Scorza sulla mail di Federico Leva

«L’iniziativa non è conseguente al provvedimento del Garante – dice Guido Scorza a Giornalettismo -. È un’iniziativa al massimo sollecitata dal provvedimento stesso, ma esercitata ai sensi della normativa vigente. È una sorta di caso Schrems, su scala diversa. Il soggetto in questione sta applicando un diritto che gli viene riconosciuto dal GDPR e dalla disciplina europea più in generale come interpretata dalla Corte di Giustizia».

Ovviamente, le varie situazioni vanno analizzate caso per caso, ma in linea generale la mail non fa altro che richiedere l’applicazione di un diritto: «Non conosco il caso specifico: so che sta inviando centinaia di richieste, non so quanti dei gestori dei siti che sta contattando abbiano effettivamente i suoi dati trattati e quindi trasferiti all’estero, ma se così fosse starebbe esercitando un diritto, ancorché a scopo dimostrativo o di attivismo, cosa che non fa venir meno la legittimità dell’azione. Ricordiamo che, a monte, ci sono i 101 reclami dell’austriaco. Quindi, rispetto a Schrems, c’è soltanto il fatto di aver scalato verso l’alto l’ordine di grandezza del numero di soggetti a cui si è rivolto».

Cosa fare con la mail di Federico Leva

I margini di manovra, dunque, sono davvero minimi rispetto alle indicazioni ricevute: «La richiesta che viene effettuata, al di là del provvedimento del Garante che l’ha preceduta, va nella direzione di esercitare un suo diritto e i dati vanno assolutamente cancellati, anche se le modalità con cui è stata rivolta ai soggetti interessati può essere in qualche modo interpretata come un gesto politico – ci spiega Guido Scorza -. C’è poi una esigenza di contestualizzazione di maggiore o di minore dettaglio: l’utilizzo di questa versione di Google Analytics, nel caso specifico analizzato dal Garante, per certo rappresenta un illecito. Ma questo non significa che tutti i trasferimenti dei dati personali verso gli Stati Uniti sono illeciti, né è detto che siano illeciti tutti i dati trasferiti negli Usa con versioni aggiornate di Google Analytics, questa è una cosa che andrà verificata nel caso specifico».

Tuttavia, la mail di Federico Leva non arriva dal nulla, né poteva essere inaspettata: «La mail, con tutto il rispetto per un interessato che chiede tutela, toglie e aggiunge poco rispetto a quanto deciso già precedentemente. L’alveo era tracciato in maniera profonda. La situazione va risolta il più rapidamente possibile, con un accordo internazionale: ma la situazione era già così il giorno prima che si iniziassero a ricevere queste mail e sarà così quando queste mail non le riceverà più nessuno. Cosa fare davanti alla richiesta? – ci spiega il membro del collegio del Garante della Privacy – La richiesta è fondata se, dentro casa del titolare del trattamento, ci sono dei dati del richiedente. E allora bisognerà accogliere quanto viene fatto notare nella mail. Non vedo grande spazio per il grigio: la richiesta va adempiuta. Forse per evitare di incorrere in richieste simili e portarsi avanti con il lavoro, si potrebbero accorciare i tempi di retention di determinati dati, così da evitare di ritrovarsi sommersi da queste richieste o perlomeno di poter rispondere efficacemente a queste richieste, dimostrando che in questo preciso momento non si stanno trattando i dati dei richiedenti».

Intanto, la maggior parte dei responsabili di siti web continua a interrogarsi sul destino di uno dei servizi più utilizzati in assoluto per il monitoraggio del traffico e per la gestione delle campagne pubblicitarie. Sicuramente, la decisione del Garante della Privacy ha dato rilevanza pubblica all’argomento e le reazioni sono state molteplici. Nell’attesa che si trovi una soluzione politica, nel frattempo, vale la pena ricordare che il Garante non ha il compito di indicare delle soluzioni alternative rispetto a quanto deciso. Al contrario, la vigilanza sull’applicazione dei diritti è la chiave per poter leggere il provvedimento: «Le reazioni al provvedimento del Garante sono state in linea con quello che ci aspettavamo – conclude Scorza -. Il tema era stato sollevato due anni fa, esattamente a ridosso dell’insediamento del nuovo collegio del Garante: comprensibilmente c’è stato un po’ di smarrimento da parte di taluni, perché stiamo mettendo un punto interrogativo sull’utilizzo di uno strumento leader di mercato; c’è stata esultanza da parte di chi era favorevole alla decisione della Corte di Giustizia UE, tutelando in maniera ancora più forte i diritti dei cittadini italiani; e infine c’è qualcuno che lamenta il fatto che senza aver fornito soluzioni alternative – ma noi non possiamo fornirle – abbiamo di fatto iniziato a sfilare dal mercato uno strumento che tutti utilizzano».