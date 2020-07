I dati personali degli europei non possono più finire negli Stati Uniti

Le app di Facebook, Twitter e Google (foto di Volkan Furuncu/Anadolu Agency/Getty Images)Nei giorni in cui si parla moltissimo degli attacchi a TikTok per la potenziale condivisione di dati con la Cina e di sovranità digitale in ottica di cloud nazionale e gestione dei dati in Europa, il caso della Corte di giustizia europea sul trasferimento di dati tra Europa e Stati Uniti ci ricorda che quei problemi già li stiamo vivendo, i rischi sono stati documentati dal leak di Edward Snowden e che una soluzione già esiste.

Oggi la Corte ha pubblicato la propria sentenza sul caso C-311/16 – Facebook Ireland e Max Schrems, presidente pro bono dell’associazione noyb.eu. Di fatto, la Corte ha annullato la validità del Privacy Shield, ovvero quegli accordi che permettono alle aziende europee di trasferire i dati dei propri utenti verso server negli Stati Uniti. La Corte riconosce che le leggi sulla sorveglianza statunitensi non offrono garanzie per i cittadini di altri stati: mancano infatti meccanismi giuridici per l’approvazione della raccolta dei dati e strumenti per fare ricorso.

Il caso in questione ha al centro i meccanismi complessi che permettono lo scambio di dati tra aziende europee e statunitensi. Quando usiamo Facebook ci interfacciamo con la divisione irlandese, Facebook Ireland, la quale poi condivide i dati con la casa madre statunitense. Quel trasferimento di dati ora non è più valido.

E la stessa Corte ha ribadito che l’annullamento del Privacy Shield “non è suscettibile di creare un vuoto giuridico” per il trasferimento di dati. In ottica più ampia, questa decisione non riguarda solo Facebook ma anche aziende come Google, Apple, Microsoft e Twitter. In totale più di 5.000 aziende statunitensi. Tutti i trasferimenti di dati considerati necessari—pensiamo per esempio alle mail inviate a persone che si trovano negli Stati Uniti o ai servizi che permettono di prenotare aerei o hotel—rimangono validi. E lo stesso vale per tutti i trasferimenti di dati che non sono da ritenersi dati personali.

“Sono molto felice per questa decisione,” ha dichiarato Schrems in un comunicato stampa subito dopo la sentenza, “A prima vista sembra che la Corte ci abbia seguito sotto tutti gli aspetti. Questo è un duro colpo per l’Autorità irlandese e Facebook”. E ha aggiunto: “È chiaro che gli Stati Uniti dovranno cambiare seriamente le loro leggi di sorveglianza se le società statunitensi vogliono continuare ad avere un ruolo nel mercato dell’Ue”.

Come siamo arrivati qui

Nel 2015 Schrems ha ottenuto la vittoria sul cosiddetto Safe Harbor, il sistema che garantiva la possibilità di scambiare dati con gli Stati Uniti. In quell’occasione la Corte di Giustizia europea ha confermato che la sorveglianza di massa attuata dagli Stati Uniti viola i diritti fondamentali europei. Al posto del Safe Harbor è nato il Privacy Shield, una sorta di versione aggiornata dei precedenti accordi.

Nella decisione sul Privacy Shield, la Commissione europea aveva sostenuto che le leggi sulla sorveglianza statunitensi erano compatibili con i diritti previsti in Europa. Oggi la Corte di Giustizia europea ha sostanzialmente negato questo fatto. Dopo quella decisione, Facebook aveva affermato che, per quanto riguarda il trasferimento di dati al di fuori dell’Europa, non fa riferimento al nuovo nato Privacy Shield ma si basa sulle Standard contractual clauses (Scc): si tratta di contratti che regolano lo scambio di dati tra aziende europee e straniere, in cui le seconde si impegnano a garantire il rispetto della privacy dei cittadini europei.

A quel punto Schrems ha richiesto all’Autorità per la protezione dei dati irlandese di applicare l’articolo 4 delle Scc: uno strumento che permette all’Autorità di interrompere in maniera mirata lo scambio di dati se non vi sono adeguate misure di protezione per i diritti degli interessati. Le leggi sulla sorveglianza negli Stati Uniti non erano cambiate. L’Autorità, però, ha deciso di non agire e anzi di citare in giudizio Facebook e Schrems alla Irish High Court, che a sua volta ha inviato il caso alla Corte europea. A dicembre 2019 l’avvocato generale della Corte ha pubblicato un parere consultivo non vincolante in cui, in larga parte, appoggiava le posizioni di Schrems. Oggi è arrivata la decisione finale della Corte.

Sorveglianza made in Usa

Negli Stati Uniti, come rivelato dai documenti pubblicati da Snowden, l’Agenzia per la sicurezza nazionale (Nsa) ha accesso ai dati di diverse aziende, senza alcun tipo di garanzie per i cittadini stranieri (come per i progetti Prism e Upstream).

La legge Fisa 702, introdotta nel 2007, permette alla Nsa di inviare richieste ai fornitori di servizi di comunicazione elettronica per ottenere dati degli utenti, si tratta di una legge già ampiamente criticata, che ha mostrato di essere difficile da monitorare e che sostanzialmente rischia di offre carta bianca per raccogliere informazioni legate all’attività di intelligence all’estero. Una corte dedicata si occupa di valutare le richieste ma queste non sarebbero per il singolo caso bensì acconsentono alla raccolta dati fino a un periodo massimo di un anno, da rinnovare successivamente.

Ci sono anche due ulteriori riferimenti di legge, un executive order (Eo 12333) che concede quasi carta bianca al presidente degli Stati Uniti sulla raccolta di informazioni relative a cittadini non americani e una sorta di nuova protezione (PPD-28) introdotta da Obama nel 2014 che però permetterebbe comunque la raccolta indiscriminata di informazioni (bulk collection) e non contempla diritti specifici per chi è sospettato ed è vittima della raccolta di dati. Viste queste premesse, per Schrems, è impossibile accettare che vi siano adeguate protezioni per lo scambio di dati e pertanto il Garante irlandese avrebbe dovuto interrompere questa attività.

Cosa accade ora

“La Corte ha chiarito per la seconda volta che c’è uno scontro tra le leggi sulla privacy europee e quelle sulla sorveglianza statunitensi”, ha ribadito Schrems. Uno dei miti da sfatare è che questa decisione blocchi ogni tipo di scambio di dati tra i due continenti. I dati legati a servizi di logistica, bancari, di compagnie aeree, possono continuare a fluire senza problemi. Lo stesso vale per tutte le informazioni che non riguardano dati personali dei cittadini europei.

Per intenderci, non c’è rischio di chiusura di servizi di streaming e non sarà di certo la morte di internet. Si tratta invece della vittoria di un modello di internet che pone i diritti dei cittadini al primo posto rispetto alla sorveglianza indiscriminata da parte dello stato.

Nel Regolamento generale per la protezione dei dati personali (Gdpr) già esistono deroghe specifiche che permettono lo scambio dei dati, come quelle previste dall’articolo 49. Se un’azienda preferisce trasferire i dati negli Stati Uniti per risparmiare o per comodità dovrà ripensare il proprio approccio. La sorveglianza diventa un costo economico e un rischio per le aziende.

Inoltre, la Corte ha sì riconosciuto la validità delle Scc ma ha chiarito che le autorità per la protezione dei dati personali hanno l’obbligo di agire quando ricevono un reclamo. In questo caso quindi dovrebbero interrompere il trasferimento di dati da parte di Facebook. “La Corte non sta solo dicendo all’Autorità irlandese di fare il suo lavoro dopo sette anni di inazione, ma anche che i Dpa hanno il dovere di agire e non possono semplicemente guardare dall’altra parte”, ha sottolineato Schrems. E ha aggiunto: “Ai sensi del diritto dell’Ue, deve esserci una gestione rapida e gratuita del reclamo di un cittadino. Tuttavia, in questo caso, siamo stati in tribunale per 7 anni con oltre 45.000 pagine di documenti presentati. Il mito secondo cui uno studente di giurisprudenza può farlo da solo è purtroppo sbagliato”.

La sentenza della Corte è chiaramente un’occasione per puntare nuovamente la lente di ingrandimento sui problemi legati alla sorveglianza degli Stati Uniti. In questo caso, però, la Corte ha dato un’indicazione chiara.

Eva Nagle, Associate General Counsel di Facebook, fa sapere: “Accogliamo con favore la decisione della Corte di giustizia dell’Unione europea di confermare la validità delle clausole contrattuali standard per il trasferimento di dati verso paesi non Ue. Queste clausole sono utilizzate da Facebook e da migliaia di aziende in Europa e forniscono importanti garanzie per proteggere i dati dei cittadini dell’Ue. Come molte aziende, stiamo valutando attentamente i risultati e le implicazioni della decisione della Corte di Giustizia in relazione all’uso del Privacy Shield e attendiamo con fiducia una guida normativa a questo proposito. Faremo in modo che i nostri inserzionisti, clienti e partner possano continuare a usufruire dei servizi di Facebook mantenendo i loro dati al sicuro”.



