Tecnologia

Dossier Chi è Max Schrems, l’avvocato trentenne che ha sfidato Facebook…

Dossier | N. 49 articoliFacebook e il datagate

Chi è Max Schrems, l’avvocato trentenne che ha sfidato Facebook (e ha vinto)

Max Schrems (Bloomberg)
Max Schrems (Bloomberg)

Molto prima della violenta reazione di Big Tech, prima che i politici arrivassero a temere il potere dei responsabili delle aziende tecnologiche, e prima ancora che gli utenti di Facebook mettessero in discussione il fatto di cedere le proprie informazioni personali in cambio di aggiornamenti e foto da parte degli ex compagni di scuola, Max Schrems intuì il pericolo connesso alla fame di dati delle società digitali.

Sono trascorsi sette anni da quando questo avvocato austriaco ha iniziato la sua battaglia personale contro Facebook per tutelare le informazioni private degli utenti. Oggi ha trent'anni, ed è uno dei volti più noti della lotta globale a favore della privacy.

È seduto di fronte a me: ci troviamo in un caffè di Vienna, porta i capelli a punte col ciuffo e indossa una maglietta nera. Potrebbe essere appena uscito dal lavoro in una società tecnologica. Invece, ha trascorso gli ultimi dieci anni della sua vita a dare battaglia a Facebook – e agli enti di regolamentazione che dovrebbero vigilare su di essa – con un caso che è arrivato fino alla Corte penale europea. La sua vittoria ha provocato una crisi internazionale e ha abbattuto Safe Harbour, un meccanismo di trasferimenti dei dati usato da migliaia di aziende.

La recente reazione violenta contro Big Tech è stata proprio questo: un incalzare di accuse, parole forti pubblicate negli editoriali accanto alle astratte dichiarazioni degli enti di regolamentazione. Schrems, invece, crede nell'azione. Da poco ha lanciato None of Your Business (NOYB), un'associazione no-profit che si prefigge di sfidare sempre più aziende sulla questione della privacy con vere e proprie cause, fortificata nel suo agire dalla minaccia di nuove e più ingenti sanzioni previste da un disegno di legge che entrerà in vigore in Europa a maggio.

Gli chiedo se sia possibile usare le citazioni in giudizio per infondere valori nella Silicon Valley. Schrems, ridendo, risponde che non crede proprio, però è convinto che i tribunali possano compromettere la capacità delle aziende di ficcare il naso nelle nostre vite private e convincerle a cambiare l'idea secondo cui «noi siamo la Silicon Valley e sappiamo quello che va bene per tutti gli altri».

La missione di Schrems ebbe inizio quando, studente di giurisprudenza a 23 anni, richiese a Facebook le sue informazioni personali per svolgere una ricerca universitaria. Scoprendo che il social network aveva messo insieme 1200 pagine di informazioni su di lui – comprendenti ogni “Like” che aveva apposto e perché e ogni singolo messaggio che aveva spedito – ne rimase sconvolto. Formulò ben 22 reclami, affermando che Facebook stava infrangendo la legge sulla tutela delle informazioni riservate, minando il diritto del singolo individuo alla propria privacy. Già allora, nel 2011, Schrems sosteneva che Facebook fosse un “monopolio” che richiedeva un'attenzione tutta particolare da parte degli enti di regolamentazione.

Il mese scorso The Observer e The New York Times hanno rivelato che Cambridge Analytica, una società di analisi di dati che ha lavorato per la campagna elettorale di Donald Trump, ha ottenuto le informazioni personali di 50 milioni di utenti raccolte da Facebook da adoperare a fini politici. L'azienda aveva acquisito i dati da un professore di Cambridge che aveva chiesto a 270mila utenti del social network il permesso di raccogliere le loro informazioni personali a scopo di ricerca, e aveva finito col raccogliere informazioni su tutti i loro amici. Il professore ha detto di aver acconsentito a passare il tutto a Cambridge Analytica, ma Facebook crede che non lo abbia fatto.
Schrems non è stupito più di tanto. Aveva individuato una falla specifica che Cambridge Analytica è stata in grado di sfruttare nel 2011. «Oggi dicono che fosse una piccola falla, allora dissero che si trattava di una caratteristica», mi dice in una telefonata dopo il nostro incontro. «È esattamente di questo che discutemmo in Irlanda sette anni fa: se avessero obbedito alla legge fin da subito, oggi non saremmo ancora qui a discuterne».

A quei tempi gli enti irlandesi di regolamentazione – responsabili di vigilare su Facebook perché il quartiere generale internazionale dell'azienda si trova a Dublino – chiesero semplicemente di rendere più chiari e trasparenti i termini della clausola sulla privacy, prima di dichiarare “soddisfacente” la soluzione trovata.

Nel 2015 Facebook apportò alcuni cambiamenti per limitare l'accesso ai dati agli sviluppatori, e dalle ultime rivelazioni si è impegnata ad apportare ulteriori miglioramenti alla privacy. Tuttavia, la preoccupazione maggiore, spiega Schrems, è la quantità di dati che la stessa Facebook possiede. “Cambridge Analytica è una sorta di reparto prima infanzia rispetto a quello che fa Facebook. Ti fa vedere che queste grandi aziende hanno un problema non indifferente legato alla privacy”.

In Europa le leggi sulla privacy stanno per subire un cambiamento epocale. Il 26 maggio prossimo, infatti, entrerà in vigore il CDPR, General Data Protection Regulation, una legge di tutela generale sulle informazioni riservate che conferirà agli enti di regolamentazione la possibilità di imporre multe molto più salate di prima. Tali multe potrebbero arrivare anche a 20 milioni di dollari, pari al 4 per cento delle entrate globali, che nel caso di Facebook ammonterebbero soltanto per l'anno passato a 1,6 miliardi di dollari. La nuova legge offrirà la possibilità di citare in giudizio chi la violerà anche ad associazioni no profit come NOYB, aiutando di fatto i consumatori a coalizzarsi per proteggere il loro diritto alla privacy.

«Se entrasse in vigore adesso, permetterebbe una perfetta azione di class action», dice Schrems alludendo a tutti gli utenti le cui informazioni riservate sono state condivise con Cambridge Analytica senza che ne fossero a conoscenza. «Questa potrebbe essere la rovina di Facebook. In base alla legge di tutela della privacy, se 50 milioni di persone citassero in giudizio il social network per una somma di circa duemila dollari ciascuno, farebbero fuori Facebook nel giro di poco, perché anche per Facebook questa sarebbe una somma di denaro improponibile». In base alle leggi in vigore all'epoca, invece, Facebook parve essersi adeguata. Ora Facebook sta esaminando con maggiore accuratezza quali dati stia continuando a raccogliere.

La battaglia di Schrems contro il social network sarà anche iniziata in seguito alle sue rimostranze per le intromissioni e i Like registrati, ma il ragazzo originario dell'Austria alla fine ha preso in contropiede le aziende di tutti gli Usa. Guys Hosein dell'associazione no-profit Privacy International ha detto: «Max aveva per le mani il caso giusto e la strategia giusta. E ne è venuta fuori una tempesta perfetta».

Sarà anche vero, ma Schrems ha fatto davvero molta fatica: prima ha avuto problemi a trovare dei legali che lo rappresentassero, poi ha dovuto mettere insieme dei soldi online per poterli retribuire e ha fatto i salti mortali legali per ottenere il primo ordine del suo genere per limitare i costi. Con NYOB ha voluto creare un'organizzazione che facilitasse a chiunque la possibilità di intentare causa, e di creare molti più Max Schrems in grado di combattere a nome e per conto di molti altri utenti di internet.

In parte, dice, il problema dipende dal fatto che le impostazioni della privacy e le condizioni di servizio sono spesso incomprensibili all'uomo qualunque. «Come può un utente lavorare dieci ore al giorno, poi tornare a casa e scervellarsi per capire come funziona l'algoritmo di Facebook? Io non lo capisco e me ne occupo da sette anni. L'utente medio è ignorante, nel senso che ignora come si costruiscano i codici o come stia in piedi un edificio. A un utente comune basta entrare nell'edificio. E, naturalmente, si aspetta di farlo senza che gli crolli in testa».

Quando ci siamo conosciuti, Schrems aveva appena accolto il primo dipendente di NYOB, niente più di due scrivanie in uno spazio di co-working. Era trascorsa appena una settimana da quando era riuscito a mettere insieme 300mila dollari in crowfunding con le quote annuali di chi si è associato a lui, circa duemila sostenitori.

Schrems non è contrario alla tecnologia: usa ancora adesso Facebook ed è attivo e prolifico su Twitter, con stroncature ed emoji. Per portare avanti la sua campagna ha adottato molti strumenti online, tra i quali un'app che ha aiutato gli utenti a richiedere a Facebook i loro dati personali. Schrems ha appena tre anni in meno di Mark Zuckerberg, il fondatore del social network: entrambi appartengono a una generazione per la quale i maniaci della tecnologia erano considerati rivoluzionari e la rivoluzione valeva oro.

Entrambi hanno trascorso gli anni al college impegnati anche in progetti collaterali che credevano potessero trasformare il mondo in un luogo migliore. Entrambi hanno sfruttato tutto il potere degli strumenti online: Zuckerberg lo ha fatto per costruire un network di circa due miliardi di utenti, Schrems per raccogliere fondi, catalizzare l'attenzione dei media e sfidare Facebook.

Zuckerberg è convinto che mettere in collegamento tra loro le persone su un network sociale globale serva a propagare la democrazia (o quanto meno così è stato finché i russi non hanno utilizzato Facebook per diffondere disinformazione durante le elezioni negli Stati Uniti).
Nella lettera agli investitori che accompagnava l'offerta pubblica iniziale di Facebook nel 2012, ha scritto: «Noi crediamo nella creazione di strumenti che aiutino le persone a condividere contenuti e che ciò possa portare a un dialogo più sincero e trasparente nel governo, così da dare sempre più potere diretto alla gente, rendere le autorità e i funzionari responsabili del loro operato e trovare soluzioni migliori ad alcuni dei problemi più gravi della nostra epoca». Schrems, invece, crede che rischiamo di spostare il potere sulle nostre vite da leggi messe a punto da funzionari eletti a una combriccola di gente della Silicon Valley che si è autonominata.

«Max è stato il bambino piccolo della fiaba “I vestiti nuovi dell'imperatore”, quello che dice: “Aspettate un momento, c’è questa legge e sembra che nessuno le dia peso” dice Danny O'Brien, un attivista che si batte a favore del rispetto della privacy per conto di Electronic Frontier Foundation. «La domanda che egli dovrebbe porre, invece, è la seguente: “Tu, ente di regolamentazione, hai questo potere o no? Hai il potere di lanciare una sfida a Facebook o sei soltanto un guscio vuoto?”.

Schrems è cresciuto a Salisburgo, non lontano da Vienna. Forse non è poi così strano, per qualcuno che dà grande importanza alla privacy: è misurato quando parla del suo passato. Sua madre gli ha dato due appartamenti: uno gli serve come abitazione, l'altro lo affitta e integra le sue entrate con gli introiti sulle sue conferenze. In ogni caso, Schrems è circospetto quando parla e non fornisce informazioni dirette sui casi dei quali si occupa. Due di questi sono in dibattimento di questi tempi: uno porta avanti la battaglia sul flusso transatlantico di dati in Irlanda, l'altro è una causa civile sulla privacy intentata in Austria.

Al bar Schrems ignora il suo caffè e si interrompe di continuo con un nuovo flusso di pensieri. Dalle sue labbra sgorgano a ruota libera alcuni eventi legali e teorie che risalgono ai tempi dei romani. Le parole si sovrappongono nel suo inglese fluido e scorrevole, che ha un leggerissimo accento austriaco. «Sono l'unico europeo che faccia valere sul serio i propri diritti. Se questa azione fosse fatta da uno studente dall'ufficio di casa sua, ci si renderebbe conto immediatamente di quanto è assurda», dice.

Secondo O'Brien, Schrems può diventare “molto tenace”, e mettere in difficoltà altri avvocati che sono abituati a soppesare attentamente una causa e le probabilità di vincerla o meno. O'Brien aggiunge che «in parte, l'arte delle vertenze giudiziarie pubbliche di forte impatto consiste nel sospendere in modo raffinato lo scetticismo. Ogni tanto devi perseguire cause che perfino i migliori consiglieri ti dissuadono dal perseguire».

Schrems, in ogni caso, sa anche ridere di sé. Pensa che sia divertente essere dipinto come un cane da guardia che dà addosso a un gigante. All'inizio, non voleva neppure che la sua faccia e il suo nome comparissero nell'ambito di questa campagna. Poi si è reso conto che per molte persone, invece, questo era importante: «Si ha bisogno di un Davide che sfidi Golia…blah blah blah», dice.

Quando Schrems ha iniziato a combattere per questa causa, impersonava alla perfezione il classico “Davide”: era uno studente con pochi soldi in tasca e pochissimo potere alle prese con una delle aziende meglio finanziate di tutti i tempi. Ha incontrato la gente che sta dietro Facebook quando ha trascorso un semestre alla Santa Clara University nella Silicon Valley durante il suo corso di giurisprudenza. Durante una lezione, Ed Palmieri, un giovane legale di Facebook, fece un discorso citando la legge europea sulla privacy. «In sostanza disse: “Chi se ne frega. Noi possiamo fare tutto quello che vogliamo e non ci saranno conseguenze”», dice Schrems.

Facebook smentisce tutto ciò, affermando che anche quando era una piccola azienda si sentiva vincolata a seguire le leggi dell'Unione europea per la tutela delle informazioni riservate e si assicurava la consulenza di esperti in materia. «Nella nostra storia, ci sono sicuramente aree nelle quali avremmo potuto fare meglio, ma ogni fase del nostro impegno nei confronti di Schrems dimostra che abbiamo preso estremamente sul serio la questione della privacy delle persone e degli obblighi previsti dalla legge dell'Unione», dice Lord Richard Allan, ex parlamentare liberaldemocratico del Regno Unito assunto nel 2009 dall'azienda e che ora è vicepresidente della politica pubblica per l'Emea.

«Anche se all'epoca eravamo una piccola azienda, con un'espansione notevole nell'Unione europea, cercammo i consigli di un esperto in legge di tutela dei dati nell'Ue e dei nostri obblighi specifici nei confronti delle popolazioni in Europa».
Poco dopo, Schrems ebbe bisogno di scrivere qualcosa per un'esercitazione scolastica e richiese i suoi dati in possesso al social network, tenuto a fornirli in base alle leggi europee.

Ricevette ogni singolo Like che aveva spedito, e i contatti di ogni singola persona che avesse mai criticato. Nei server di Facebook rimanevano ancora i messaggi intensi che aveva spedito e poi cancellato a un amico malato. “Ovviamente conservarli è stato sbagliato”, dice. Iniziò così a presentare i suoi reclami all'ente di regolamentazione. Deplorò il fatto che Facebook usasse il tasto “Like” per tener traccia dei comportamenti degli utenti inconsapevoli mentre viaggiavano in rete. Criticò la tecnologia del riconoscimento facciale che automaticamente taggava gli utenti nelle foto, non concedendo loro la scelta se essere identificati nelle foto dei loro amici o meno.

Si lamentò per i profili ombra che mappavano i collegamenti delle persone che non erano entrate a far parte di Facebook, lasciandole indifese rispetto alle modalità con le quali erano utilizzate le loro informazioni personali.
Schrems spedì le sue rimostranze al commissario irlandese per la protezione dei dati a Portarlington, una cittadina di ottomila abitanti. Il DPC irlandese, con il suo modesto ufficio ubicato al piano superiore di un supermercato, era responsabile della vigilanza su tutte le società tecnologiche che incaricavano le loro sussidiarie con sede a Dublino dei “controlli sui dati”. Malgrado avesse l'incarico di tutelare milioni di cittadini dell'Ue, il commissario all'epoca aveva un organico che contava appena 26 persone. Oggi il DPC ha più di 90 dipendenti e un budget quintuplicato rispetto al 2011.

Un portavoce ha detto che Helen Dixon, commissaria nominata nel 2014, si è resa autrice di una “radicale trasformazione dell'Irish DPC, apprezzata da tutti”.
Il DPC ha deciso di risolvere informalmente i reclami di Schrems consegnando a Facebook un elenco delle cose su cui intervenire. Riscontrò poi che l'azienda aveva superato il segno sotto parecchi punti di vista, ma preferì offrirle la possibilità di fare qualche passo indietro di sua iniziativa. Facebook effettuò i cambiamenti. Per esempio, disattivò il riconoscimento facciale per gli utenti dell'UE, migliorò il suo strumento permettendo agli utenti di accedere alle loro informazioni personali, e chiarì in che modo le app di parti terze avrebbero usato i loro dati.

Schrems, però, sentiva che Facebook doveva fare molto di più e che era indispensabile dimostrare in che modo i suoi sistemi e le sue tutele della privacy fossero fornite agli enti di controllo. Nel febbraio 2012, organizzò un incontro con Facebook che mandò in Austria due suoi dipendenti: Richard Allan e Katherine Tassi, un legale esperto di questioni legate alla privacy. I due volarono a Vienna e incontrarono Schrems in un albergo all'aeroporto.
L'incontro andò avanti per ben sei ore. Schrems ebbe la sensazione che Facebook volesse liquidarlo con “un mare di stronzate”, per esempio il fatto che le sue funzioni siano “davvero molto cool per la gente”.

Allan dice che Facebook fece di tutto per dare una risposta alle preoccupazioni di Schrems. «Mi sono incontrato con Schrems molte volte nell'arco di parecchi mesi e credo che questo dimostri che abbiamo cercato attivamente di dare una mano. La decisione di Schrems di presentare un esposto e portare la questione nell'arena legale è difficile che possa portare a proseguire delle conversazioni informali», dice.
Schrems ha presentato un esposto anche contro il commissario irlandese. Una volta ha telefonato al suo ufficio e gli è stato risposto che non c'era nessuno. «Ho pensato che fosse un atteggiamento davvero molto infantile e ho deciso di esserlo anche io», dice. Così ha richiamato ogni ora finché il vicecommissario gli ha mandato un sms per dirgli che nessuno gli avrebbe parlato. «È stato strano, un po' come troncare una relazione con un sms, solo che in quel caso si trattava di un'autorità», ride Schrems.

Nel giugno 2013, le fughe di notizie di Snowden fornirono a Schrems del materiale nuovo. Quando l'autore della fuga di notizie dell'NSA dette ai giornali alcune schermate in Power Points che illustravano nei dettagli il programma Prism dell'agenzia, in cima alla slide creata dall'agenzia governativa, insieme ad altri brand, risaltava il logo blu di Facebook. “Snowden è stato il Chernobyl della protezione dei dati” dice Schrems. “Per me quello fu il momento della svolta. All'improvviso la questione divenne molto più mainstream di quanto fosse prima”.

Snowden, infatti, mostrò che i dati degli utenti di Facebook erano passati al vaglio dall'NSA nell'ambito di una campagna di sorveglianza di massa. Le aziende statunitensi, Facebook inclusa, avevano firmato il Safe Harbour Mechanism, accettando che i dati europei potessero essere controllati come negli Stati Uniti. All'improvviso quella promessa parve perdere consistenza.
Molte aziende sostengono che i dati si muovono di continuo al di là delle frontiere, altre dicono che il traffico su internet segue le strade più semplici, in qualche caso varcando i confini nazionali. In ogni modo, alcuni hanno forti incentivi a trasferire all'estero i dati: non vogliono pagare per centri dati separati, oppure vogliono che tutto si trovi in un unico posto per scavare alla ricerca di informazioni.

Schrems tornò al DPC irlandese con un ventitreesimo reclamo. L'Alta corte irlandese lo rimandò alla Corte penale europea. La svolta ci fu quando Schrems vide le domande che i giudici europei avevano distribuito prima dell'unica udienza del caso. Le domande prendevano di mira a testa bassa la legalità di Safe Harbour, quando avrebbero potuto attenersi alla domanda di capire se le lamentele erano di competenza del DPC irlandese o no. “Sapevo che avremmo vinto”, dice.

Nel settembre 2015, Yves Bot, avvocato generale e uno dei consiglieri più importanti di ECJ, rese nota la sua opinione secondo cui la protezione di Safe Harbour doveva essere abbattuta. Le ripercussioni si fecero sentire attraverso Washington DC e la Silicon Valley. “All'improvviso, capimmo che la faccenda era davvero molto grave” dice Justin Antonipillai, l'ex funzionario facente veci di sottosegretario per gli affari economici al dipartimento del commercio degli Stati Uniti.

Tre settimane dopo, i giudici, ammantati in cappe di velluto rosso intenso, si riunirono per emettere il loro verdetto. Schrems, in maglietta nera e senza giacca, rimase accanto al suo legale nel tribunale del Lussemburgo mentre i giudici decretavano che trasferire i dati agli Stati Uniti con Safe Harbour da quel momento in poi era illegale.

Sulla costa Ovest erano le due di notte e Antonipillai si trovò al telefono con la Casa Bianca e le sue controparti in Europa, impegnato a cercare di comprendere quello che avrebbe significato quel verdetto. “Non lo dimenticherò mai” dice. “In sostanza, l'ordinanza diceva che tutti i trasferimenti di dati con Safe Harbour non erano giustificati. Mica male come decisione!” Anche Snowden lo pensò. Seguiva la situazione da lontano e twittò: “Congratulazioni @MaxSchrems. Hai cambiato il mondo in meglio”.

All'improvviso, i direttori esecutivi delle società più importanti iniziarono a esercitare pressioni sul governo degli Stati Uniti perché trovassero un'alternativa. Il prima possibile. I flussi di dati transatlantici parvero così precari che il presidente Obama fu aggiornato subito sugli sviluppi del caso, stando a quando affermano persone a conoscenza della situazione. Il vicepresidente Biden chiamò il presidente Juncker della Commissione Europea per sollecitarlo a trovare un rimpiazzo, dice chi è a conoscenza delle trattative.

Nel giro di qualche mese, gli Stati Uniti e l'Unione europea hanno negoziato una possibile alternativa: Privacy Shield. Prevedeva tutele aggiuntive, come un difensore civico negli Usa al quale gli europei potevano fare appello se avevano motivo di pensare che i loro dati fossero stati raccolti in modo illegittimo dalle agenzie d'intelligence. Ma Schrems dice di essere rimasto assai male perché la commissione ha sprecato la sua occasione di porre un freno alle società della Silicon Valley. Avrebbe potuto spingersi ben oltre. Adesso, in Francia gli attivisti che si battono per il rispetto della privacy stanno sfidando l'accordo in tribunale, dove si aspettano di vincere, perché credono che ancora adesso non ci siano sufficienti garanzie sulla sorveglianza di massa negli Stati Uniti.

“Quella sentenza ha avuto un'influenza enorme su tutto l'apparato legale europeo”

Max Schrems 

Nondimeno, Schrems è lieto che la decisione che porta il suo nome chiarisca un punto fondamentale: la sorveglianza di massa è illegittima in base agli articoli sette e otto della carta dei diritti umani fondamentali – il rispetto per la vita privata e la famiglia e la tutela delle informazioni personali. “Quella sentenza ha avuto un'influenza enorme su tutto l'apparato legale europeo” dice.
Il problema centrale di inviare le informazioni negli Stati Uniti potrebbe essere risolto davvero se il paese aggiungesse alla sua sorveglianza un maggiore controllo giudiziario, crede Schrems: “Non penso che una cosa del genere accadrà nel giro dei prossimi dieci anni. Ma credo che la questione sarà sollevata. È molto simile al dibattito su chi debba avere giurisdizione nello spazio o in acque internazionali. Dovremmo riuscire a mettere insieme alcune regole per l'uso di internet”.

Passati gli anni, adesso i politici sembrano recuperare il ritardo accumulato. Molti invitano Big Tech a fare di più per tenere sotto controllo le loro piattaforme, e per proteggere gli utenti dalle campagne russe di disinformazione, le fake news e l'istigazione all'odio. La riservatezza è qualcosa di molto più difficile da controllare. Le aziende hanno pochi incentivi a diventare trasparenti su come organizzano le informazioni che costituiscono la base stessa del loro business model.

Il danno provocato dalla raccolta dei dati è oltretutto più difficile da individuare. C'è voluta la soffiata di Christopher Wylie, che lavorava a Cambridge Analytica, per mostrare in che modo le aziende stessero utilizzando le informazioni che avevano accumulato. Quando ha riferito all'Observer in che modo le società di analisi dei dati avessero usato Facebook, le sue rivelazioni hanno subito dato il via a tutta una serie di indagini da parte degli enti di regolamentazione e controllo e tra gli utenti ha preso vita una campagna intitolata #DeleteFacebook.
Schrems pensa che la privacy sia il diritto meno rispettato in Europa. “Se si fa la spunta nell'elenco dei diritti fondamentali, è evidente che non è rispettato affatto”. Egli è motivato dal principio secondo cui i diritti dovrebbero essere rispettati, più che da una passione particolare per la propria riservatezza, e detesta pensare che le aziende tecnologiche si ritengano al di sopra della legge. “Dal punto di vista emotivo, mi ferisce molto di più che l'abbiano fatta franca” dice.

Nel 2010, Mark Zuckerberg ha sposato l'idea che le “norme sociali” sulla privacy stessero cambiando e la gente stesse diventando più disposta a condividere informazioni personali. (Da allora ha fatto un passo indietro rispetto a quell'affermazione.) Chiedo a Schrems se secondo lui alla gente ormai la questione non interessi più. “Non interessa nel senso che non se ne preoccupa di continuo. Io, del resto, non mi preoccupo di continuo del cambiamento del clima” dice.

Oltre a ciò, egli non crede neppure che la gente dovrebbe sentirsi costretta a tenere ogni informazione riservata nel timore, in caso contrario, di perdere il controllo su di esse. “Se voglio tenere qualcosa nascosto e qualcuno mi mette a nudo, io ho il diritto sacrosanto di tenerlo nascosto, e quindi c'è l'impressione che ti impongano la privacy” dice. “Ma le regolamentazioni ti danno la libertà di indossare il burka, se vuoi, o anche di andartene a spasso in bikini”. Poi aggiunge che il nostro modo di regolamentare la privacy cambia di continuo ed è simile a quando si vuole apporre un'etichetta su qualcosa che dica per esempio: “Questo potrebbe ucciderti: ora la responsabilità è tua, se questo ti uccide”.

Mentre Schrems stava lottando con Facebook, in Europa si stava negoziando riga per riga un altro grande cambiamento e un passo avanti per la tutela della privacy. Il GDPR è la legge per la regolamentazione della privacy più completa al mondo, e la si copia sempre più. Essa include leggi su come le aziende possano ottenere il consenso, cancellare i dati e notificare agli utenti che c'è stato un cyber attacco.

Gli attivisti che si battono per la privacy sperano che così si replicherà l'“effetto California” che si ebbe in merito alla tutela dell'ambiente, fissando la soglia per le aziende di tutto il mondo. Le multe del GDPR la rendono particolarmente potente. La commissaria Vera Jourova dice che suo scopo è rendere la gente “padrona della propria privacy”, e arrivare quindi a un “equilibrio completamente diverso di potere”.

Schrems crede che le multe implichino per le aziende dover prestare molta attenzione. Indicando la strada fuori, descrive così lo stato della legge sulla privacy prima di GDPR: “Se in tutta Vienna ci fosse un unico controllore del traffico e dei parcheggi e la multa massima fosse di un euro, allora tutta la strada diventerebbe un parcheggio. In sostanza, ci siamo comportanti così nel caso della privacy”.

NOYB punta a spingere gli enti di regolamentazione a far rispettare le leggi alimentando i contenziosi strategici contro le aziende. Molti suoi finanziatori sono persone anonime, ma ha ricevuto anche 25mila euro dalla Città di Vienna, e altri finanziamenti dalle statunitensi Mozilla e Epic. Inizierà dalle “questioni facili”, per esempio capire se un'azienda otterrà correttamente il consenso o consentirà a un utente di preferire che i suoi dati non vengano raccolti.
Potrebbe poi prendere in esame casi di “interesse legittimo”: che cosa significa ottenere o mantenere i dati per uno scopo ragionevole? Quanto a lungo le telecamere di sorveglianza dovrebbero conservare un filmato? Quali dati è lecito che raccolga un'agenzia di rating del credito? L'associazione spera anche di allacciare rapporti con esperti di tecnologia che saranno in grado di rintracciare e seguire il modo col quale sono usati i dati.
Le società tecnologiche spesso si fanno beffa degli impiegati con accordi di proibizione di divulgazione (non-disclosure), ma un numero sempre più grande di ex dipendenti vuole far sapere in che modo operino queste aziende. Così, Schrems spera di predisporre una specie di “ricompensa sulla privacy” per incoraggiare chi vuole fare soffiate, come Wylie di Cambridge Analytica, e tutti coloro che capiscono meglio come funzionano i sistemi e spesso hanno anche della documentazione sottratta di nascosto per dimostrare quello che rivelano. NYOB sarà pronta a presentare la sua prima denuncia per violazione della privacy il 25 maggio, il giorno stesso in cui entrerà in vigore il GDPR. “Le piacciono le tragedie?” chiedo a Schrems, che pronto ribatte: “Perché aspettare anche solo una settimana?”.

Hannah Kuchler è corrispondente del FT da San Francisco
Traduzione di Anna Bissanti
© 2018, Copyright The Financial Times

© Riproduzione riservata