Il 27 luglio 2026 la Commissione europea adotterà la decisione finale su una delle misure più discusse del Digital Markets Act: l'obbligo per Google di condividere con i motori di ricerca concorrenti i dati delle query effettuate dagli utenti, in forma anonimizzata. La proposta nasce da una logica procompetitiva chiara, ma incontra un problema tecnico e giuridico che rischia di ridefinire il significato stesso di "dato anonimo" nel diritto europeo.
⚖️ Il quadro normativo: l'articolo 6.11 del DMA
Il Digital Markets Act, entrato in vigore nel maggio 2023, si applica ai cosiddetti gatekeeper: Google, Apple, Meta, Amazon e ByteDance. L'articolo 6, comma 11 impone ai motori di ricerca designati come gatekeeper di fornire ad altri operatori, su base fair, reasonable and non-discriminatory, l'accesso ai dati di ranking, query, click e view information generati dagli utenti finali.
La logica è dichiarata: senza accesso a quei dati, i concorrenti di Google Search non possono migliorare i propri algoritmi e competere su basi eque. La condivisione dovrebbe avvenire in forma anonimizzata, così da preservare la riservatezza dei singoli utenti.
🔍 L'obiezione tecnica: l'AI re-identifica in due ore
Il punto critico non è la condivisione in sé, ma il metodo. Sergei Vassilvitskii, distinguished scientist di Google dal 2012, ha incontrato i funzionari antitrust UE per portare una prova concreta: l'AI red team interno dell'azienda ha re-identificato utenti a partire dai dataset anonimizzati proposti dalla Commissione in meno di due ore, come documentato in test di laboratorio.
I meccanismi che permettono l'identificazione sono più ordinari di quanto si pensi:
- molti utenti aprono le ricerche scrivendo direttamente il proprio nome ("Mi chiamo X e voglio sapere…"), comportamento più frequente di quanto si creda
- Google viene usato come traduttore in tempo reale, generando sequenze di query che ricostruiscono intere conversazioni private
- l'aggiunta della localizzazione geografica rende l'identificazione molto più precisa in aree a bassa densità abitativa
L'esempio diventato simbolo del dibattito è quello di una parrucchiera in zona rurale che cerca informazioni su una malattia cronica e su orari di lavoro compatibili: in una piccola zona con pochi saloni, i candidati possibili si riducono a una manciata di persone. Senza nome, senza cognome, senza identificativi diretti, l'identità emerge dalla combinazione.
📊 La soglia dei 50.000 utenti
La proposta della Commissione prevede una soglia tecnica per limitare il rischio: i dati sarebbero condivisi solo per query effettuate da più di 50.000 utenti registrati nell'arco di tredici mesi. Secondo Łukasz Olejnik, ricercatore indipendente affiliato al King's College di Londra, questa soglia è troppo bassa: lascia passare un'enorme quantità di termini sensibili — sintomi medici, nomi locali, farmaci — filtrando solo ciò che è assolutamente unico.
Olejnik ha definito la proposta uno dei maggiori rischi per la riservatezza e la sicurezza nazionale in Europa degli ultimi decenni. Posizioni critiche analoghe sono state espresse anche dall'European Centre for International Political Economy (ECIPE) e dall'Information Technology and Innovation Foundation, che in un commento formale di maggio 2026 ha sostenuto che le misure proposte vanno oltre quanto necessario, con effetti negativi su riservatezza degli utenti, incentivi all'innovazione e praticabilità commerciale.
⚙️ Il cortocircuito tra DMA e GDPR
Il vero nodo giuridico è la nozione di dato anonimo. Il considerando 26 del Regolamento UE 2016/679 considera anonimi solo i dati la cui re-identificazione sia impossibile "tenendo conto di tutti i mezzi ragionevolmente disponibili". Se un sistema di intelligenza artificiale rende ragionevolmente possibile la re-identificazione in due ore, quei dati restano dati personali a tutti gli effetti, e quindi soggetti all'intero impianto del GDPR.
Si apre così una tensione strutturale tra due regolamenti europei: il DMA spinge per la condivisione in nome della concorrenza, il GDPR pretende un livello di protezione che la condivisione stessa rischia di compromettere. La decisione del 27 luglio dovrà necessariamente prendere posizione su quale dei due valori prevale, e con quali contrappesi tecnici.
⏱️ Il metodo procedurale sotto critica
Google contesta anche i tempi del procedimento. Le misure preliminari sono state pubblicate intorno alla metà di aprile 2026, il periodo di consultazione pubblica è durato due sole settimane, la decisione finale è attesa entro fine luglio. Tempi giudicati troppo stretti per questioni che, secondo lo stesso Vassilvitskii, si collocano "al limite della ricerca attuale". Molti esperti indipendenti di anonimizzazione, sentiti nel dibattito pubblico, hanno dichiarato di non sapere nemmeno che il procedimento fosse in corso fino a pochi giorni prima della scadenza per i commenti.
💰 Le sanzioni e il quadro geopolitico
Le sanzioni previste dal DMA possono arrivare al 10% del fatturato globale annuo: per Alphabet, decine di miliardi di euro. Secondo quanto riportato dal quotidiano tedesco Handelsblatt, è in arrivo anche una multa nell'ordine delle centinaia di milioni di euro per il caso parallelo di auto-preferenziamento nei risultati di ricerca. Sarebbe la più alta mai inflitta sotto il DMA, dopo i 500 milioni ad Apple e i 200 milioni a Meta nel 2025.
La cornice in cui si muove la Commissione è anche politica: ogni decisione contro le big tech statunitensi è diventata potenziale terreno di scontro commerciale transatlantico. Ma il principio in gioco è normativo e travalica il singolo caso: stabilire se l'anonimizzazione, così come oggi concepita, sia ancora una garanzia sufficiente in un ecosistema dove l'AI è capace di ricostruire identità a partire da frammenti apparentemente innocui.
📌 Cosa resta della protezione del dato
La vicenda Google-DMA porta in superficie una questione che riguarda tutti i titolari del trattamento, non solo i gatekeeper. La pseudonimizzazione e l'anonimizzazione sono state per anni il principale strumento operativo per riutilizzare i dati nel rispetto del GDPR: nella ricerca, nel marketing, negli studi clinici, nelle analisi statistiche. Se la soglia tecnica di sicurezza si abbassa al ritmo dell'evoluzione dell'AI, l'intero impianto va riconsiderato.
La decisione attesa per il 27 luglio non chiuderà solo un procedimento amministrativo: orienterà la prassi sull'utilizzo dei dataset cosiddetti anonimi per gli anni a venire. La domanda di fondo resta una: cosa significa proteggere un dato quando proteggerlo richiede di anticipare le capacità di chi potrebbe re-identificarlo.
#dma #anonimizzazione #googlesearch
