L'attivista che mette le grandi aziende tecnologiche sul banco degli imputati

Max Schrems è l'avvocato che sfida le grandi aziende tecnologiche , ma non è un fan particolare del titolo di "eroe della privacy" che si è guadagnato per le sue battaglie legali in materia di protezione dei dati. Il trentasettenne austriaco ha studiato per un periodo in California, negli Stati Uniti, dove ha sentito una frase che ha acceso la miccia. "All'epoca, c'era un tizio di Facebook che diceva 'Gli europei sono buffi con tutte le loro leggi, ma se non vengono rispettate non succede nulla'" , spiega in un'intervista con Observador.

"La privacy è un diritto fondamentale, fa parte della Carta dei diritti fondamentali, come la libertà di espressione o il diritto di proprietà, è un diritto garantito dalla Costituzione. Allo stesso tempo, quando lavori in questo settore, ti rendi conto che nessuno rispetta queste norme ", ammette. "Ho iniziato a rendermene conto quando studiavo ancora in California". Dopo aver sentito questa affermazione da qualcuno legato al più grande social network del mondo, ha deciso di intentare una causa contro Facebook per violazione della protezione dei dati. Nel 2011, ha presentato i suoi primi reclami contro il social network. Due anni dopo, ha presentato un reclamo contro l'azienda alla Commissione irlandese per la protezione dei dati, l'ente che supervisiona le prestazioni di Facebook in termini di protezione dei dati nell'Unione europea. Il caso si è trascinato nei tribunali, fino a raggiungere la Corte di giustizia dell'Unione europea (CGUE).

Improvvisamente, le denunce e le cause legali di Schrems hanno attirato l'attenzione internazionale. "Ho avuto la stampa da tutto il mondo che è venuta nel mio appartamento a Vienna e poi si sono resi conto che 'Oh, questo è un tizio contro Facebook', il che era totalmente ridicolo."

All'epoca era ancora uno studente di giurisprudenza. "Pensavo che se fossi stato io a occuparmi della privacy in Europa, questo avrebbe fatto capire quanto fosse grave la situazione", ammette. "Non dovrebbe essere uno studente a parlare in TV di questo argomento, ma legislatori ed esperti".

Fu così che, nel 2018, lo stesso anno in cui il Regolamento generale sulla protezione dei dati (GDPR) divenne obbligatorio nell'Unione Europea, Schrems lanciò None of your Business (Noyb), un'organizzazione europea per la difesa del diritto alla privacy. Di conseguenza, smise di intentare cause contro le grandi aziende tecnologiche per conto proprio e iniziò a farlo con un team austriaco. In sette anni, Noyb ha intentato 877 cause in materia di protezione dei dati e privacy, prendendo di mira aziende come Meta, Google, Microsoft e Amazon, tra le altre. La maggior parte dei casi (487), secondo il sito web dell'organizzazione , è pendente.

Il fondatore spiega che l'idea iniziale di Noyb era quella di "ottimizzare e presentare i casi in cui il sistema giudiziario funziona", ai sensi del GDPR. Un regolamento creato per garantire che tutti gli Stati membri abbiano le stesse regole per la protezione dei dati personali. È questo insieme di norme che, ad esempio, stabilisce che è richiesto il consenso esplicito per il trattamento dei dati personali o che esistono diverse categorie di dati, a seconda della sensibilità. Il GDPR è diventato direttamente applicabile nell'UE il 25 maggio 2018.

Le norme sulla protezione dei dati stanno cambiando. Scopri cosa c'è in gioco

Ma ci sono differenze tra le aspettative del 2018 e la realtà del 2025, ammette l'avvocato a Observador. " Il problema è che, sette anni dopo l'applicazione del GDPR, non esiste una sola giurisdizione in cui funzioni" , critica. "In alcuni casi, le autorità di regolamentazione sono 'spaventose' e semplicemente non lo applicano. A volte vorrebbero persino farlo, ma non hanno le risorse, non ricevono risorse sufficienti dal governo e quindi non possono fare il loro lavoro".

Sottolinea "piccole differenze" nel modo in cui le autorità di regolamentazione europee agiscono in materia di privacy. "Uno dei casi più interessanti in Europa è la Spagna, perché riceve circa sei o sette decisioni al giorno e comunica alle aziende sanzioni e conseguenze". Vede meno attività in Irlanda. "Gli irlandesi producono all'incirca lo stesso numero di decisioni all'anno degli spagnoli in un giorno", spiega.

Max Schrems sostiene che, in molti casi, non si tratta di una questione di risorse, ma piuttosto di "natura politica". "In molte giurisdizioni, è sempre più comune che [le autorità di regolamentazione della protezione dei dati] siano nominate politicamente" , il che potrebbe limitarne l'indipendenza nell'applicazione delle leggi sulla privacy e penalizzare più pesantemente le aziende tecnologiche, spiega.

Critica inoltre il fatto che il GDPR si traduca in burocrazia, soprattutto per le aziende più piccole. "È un enorme spreco [di tempo e risorse] e lo ritengo inutile. Chi vuole regolamentare con questi approcci [rischiosi] è chi non compila le informazioni e per il quale non ci sono conseguenze". L'avvocato e attivista sostiene che, affinché il GDPR sia più efficacemente applicabile, sarebbe opportuno "differenziare" l'applicazione delle norme. "Penso che dovremmo differenziare molto di più la questione: non si tratta di avere meno regolamentazione, ma di avere una regolamentazione che raggiunga davvero chi dovrebbe raggiungere". Cita i social network di Meta come esempio.

"Il GDPR richiede che tutte le attività di trattamento dei dati siano registrate. (...) Abbiamo ricevuto uno di questi registri da Facebook. Ci si aspetterebbe che fosse il più complesso di tutti. Era lungo quattro pagine. A loro non importa, non lo compilano", afferma.