Class action contro il colosso Oracle: violazioni privacy su scala mondiale

Oracle class action

Recentemente è arrivata da oltreoceano la notizia di un imponente procedimento giudiziario intentato nei confronti della multinazionale Oracle, operante nel settore informatico e con fatturato annuo superiore ai 40 miliardi di dollari, accusata di aver messo in atto una “macchina di sorveglianza mondiale”, con gravissimo pregiudizio per la privacy di cinque miliardi di persone, praticamente l’intera popolazione mondiale.

Alla compagnia texana è stato contestato di aver raccolto immense quantità di dati a livello planetario, facendo anche uso di proxy per eludere i controlli a protezione dei dati sensibili, senza richiedere né ottenere alcun consenso; con questi dati avrebbe creato profili personali che includevano nominativo, indirizzo di residenza, indirizzi email, la cronologia degli acquisti fisici e online e persino eventuali spostamenti nel mondo reale, il reddito, interessi e opinioni politiche nonché un tracciamento completo di tutte le attività in rete.

Questi profili sarebbero poi stati periodicamente aggiornati e arricchiti di ulteriori dettagli e dati, anche relativi a orientamento sessuale, stato di salute e appartenenza a gruppi etnici o religiosi, acquisiti con successive attività di raccolta.

L’iniziativa giudiziaria è stata promossa da tre rappresentanti, attivisti nell’ambito della tutela dei dati personali: Micheal Katz-Lacabe, direttore di ricerca presso l’organizzazione The Center for Human Rights and Privacy, Jennifer Goldbeck, professoressa di informatica presso l’Università del Maryland e Johnny Ryan, membro anziano dell’Irish Council for Civil Liberites.

I promotori dell’azione legale hanno dichiarato di “operare per conto degli utenti di internet di tutto il mondo che sono stati oggetto di violazione della privacy”, sulla base di violazioni a diverse norme federali, statali e costituzionali americane (si ricordi che negli U.S.A. non esiste una normativa organica sulla privacy affine al GDPR).

La class action intrapresa nei confronti di Oracle, considerando la dichiarata ampiezza dei trattamenti incriminati, impone alcune riflessioni.

Preliminarmente, è opportuno considerare che il GDPR si applica anche ai trattamenti effettuati fuori dai confini dell’Unione ma che coinvolgano dati relativi ai cittadini europei: l’art. 3 comma 2 del Regolamento sancisce infatti che lo stesso “si applica al trattamento dei dati personali di interessati che si trovino nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione” quando queste operazioni riguardino l’offerta di beni o la prestazione di servizi ovvero il monitoraggio del comportamento degli utenti nella misura in cui detto comportamento abbia luogo all’interno dell’Unione.

Stante la portata della violazione denunciata, la vicenda giudiziaria dovrà essere seguita con estrema attenzione da parte delle autorità garanti presenti sul territorio italiano ed europeo che potrebbero prendere i propri provvedimenti nei confronti della società americana indipendentemente dalle deliberazioni dell’autorità giudiziaria interpellata.

La vicenda potrebbe inoltre gettare ombre sul recente accordo in ambito di trasferimento di dati personali tra Stati Uniti ed Unione Europea; nel marzo di quest’anno il presidente americano Joe Biden e la presidente della Commissione Europea Ursula Von Der Leyen avevano annunciato, nel corso di una conferenza stampa, di aver raggiunto un nuovo accordo in materia, del quale ancora si attende di conoscere il testo.

Tuttavia, già più volte in passato le intese tra Unione e Stati Uniti per garantire un più agevole trasferimento dei dati sono stati invalidati dalle iniziative intraprese da attivisti del settore per denunciare un uso illecito dei dati raccolti da parte dei titolari d’oltreoceano e portare le violazioni all’attenzione della Corte di Giustizia dell’Unione Europea. Si pensi alle famose sentenze Schrems I e II, rispettivamente pronunciate nelle cause C-362/14 e C-311/18, a cui si è arrivati grazie all’intervento del noto attivista.

La vicenda descritta dai promotori dell’azione giudiziaria nei confronti di Oracle, dai tratti orwelliani, ove trovasse conferma nelle risultanze del procedimento, attirerebbe certamente l’attenzione tanto degli attivisti europei quanto delle competenti autorità che non potrebbero esimersi dal pronunciarsi su una violazione così grave ed estesa.

In conclusione, è certo che il procedimento in questione sarà oggetto di forti attenzioni e costante monitoraggio sia oltreoceano che nel territorio dell’Unione: resta da comprendere, in esito agli accertamenti operati dall’autorità giudiziaria statunitense, se vi saranno provvedimenti da parte delle autorità garanti e in che modo questo influirà sugli accordi esistenti tra Unione e Stati Uniti in materia di trasferimento dei dati.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su