Gaia Bottà

Safe Harbor, le garanzie non bastano

La Corte di Giustizia dell'Unione Europea ha dichiarato non valida la decisione con cui l'UE accoglieva l'accordo sul trasferimento dei dati. Gli USA, di fatto, da 15 anni possono violare la privacy dei cittadini europei

Safe Harbor, le garanzie non bastanoRoma - Facebook è in questo frangente il semplice casus belli, l'Irlanda il paese europeo in cui è maturato il contenzioso, ma di impatto globale è la decisione della Corte di Giustizia dell'Unione Europea, che ricalca il parere già reso dall'avvocato generale: le aziende statunitensi che trattano negli States i dati dei cittadini europei offrono delle garanzie sancite dall'accordo Safe Harbor che, nei fatti, sono schiacciate dal bilanciamento di diritti che gli USA fanno pendere a favore della sicurezza nazionale e dalle pratiche di tecnocontrollo messe in atto dalle agenzie di intelligence, hanno osservato i giudici di Lussemburgo. Per questo motivo l'Europa dovrebbe riconsiderare la possibilità, data per scontata da 15 anni, di consentire che le multinazionali trasferiscano dati su server oltreoceano e li elaborino dove sia loro più agevole.

Safe Harbor dopo la sentenza

La sentenza della Corte di Giustizia dell'Unione Europea è stata espressa in merito al caso che opponeva l'attivista Max Schrems all'autorità irlandese della privacy: a ridosso delle prime rivelazioni del Datagate, il giovane aveva scelto di giocare su un campo di battaglia a lui familiare, quello di Facebook e della privacy, per sollevare dubbi sulla sicurezza dei dati dei cittadini europei, trasferiti negli States per essere gestiti sulla base delle rassicurazioni offerte dalle aziende che abbiano sottoscritto le proprie certificazioni nel quadro del controverso accordo Safe Harbor. Nella pratica l'accordo, sancito da una decisione della Commissione Europea del 2000, stabilisce che gli USA rappresentino un approdo sicuro per i dati personali dei cittadini europei: Schrems, invece, chiedeva al garante della privacy irlandese, riferimento per la sede europea di Facebook, di verificare che i diritti dei cittadini europei fossero al sicuro. Il garante irlandese, potenzialmente al centro di altre sollevazioni analoghe in quanto punto di riferimento di gran parte delle multinazionali statunitensi dell'IT che hanno sede in Europa, si era dichiarato impossibilitato a procedere, in virtù della decisione della Commissione che riconosceva gli accordi Safe Harbor. Il caso era rimbalzato alla High Court irlandese, che a sua volta aveva chiesto consiglio ai giudici di Lussemburgo in merito alle libertà di azione delle autorità nazionali di controllo rispetto a decisioni fissate a livello europeo.

La Corte di Giustizia muove dalla direttiva 95/46/CE sulla protezione dei dati personali, uno dei cui cardini è "l'adeguato livello di protezione" offerto dal paese di destinazione dei dati: una definizione, osservano i giudici, che non implica che un paese terzo debba assicurare un livello di protezione pari a quello garantito dal quadro normativo europeo. Anzi: formalmente è il quadro normativo del paese destinatario dei dati a fissare i riferimenti utili a stabilire se "l'adeguato livello di protezione" è garantito. Questo aspetto appare riflesso nella Decisione 2000/520/CE, che stabilisce gli accordi Safe Harbor: i principi che le aziende statunitensi devono rispettare per trattare i dati dei cittadini europei, e che devono garantire attraverso un meccansimo di autocertificazione, sono stati stabiliti dal Dipartimento del Commercio statunitense. Principi che, peraltro, decadono a favore di "esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia".
La Corte di Giustizia dell'Unione Europea, nel confrontarsi con la Decisione del 2000, sottolinea però che la stessa Commissione europea, nel 2013, lamentava che "le autorità degli Stati Uniti sono state in grado di accedere ai dati trasferiti dagli stati membri agli USA e di processarli in una maniera incompatibile, in particolare, con gli obiettivi per i quali sono stati trasferiti" e che non esistessero regole che "limitino l'interferenza con i diritti fondamentali delle persone i cui dati sono trasferiti", né alcun sistema di gestione delle controversie sollevate da privati che dubitassero del rispetto dei principi Safe Harbor da parte degli Stati Uniti, né meccanismi per cui i cittadini europei potessero chiedere l'accesso, la rettifica o la cancellazione dei propri dati trattati negli USA, a differenza di quanto stabilisce la direttiva in materia di privacy. È in questo contesto che entrano in gioco i principi dettati dalla Carta dei Diritti Fondamentali dell'Unione Europea.

Di fatto, la decisione del 2000 "autorizza, su una base generalizzata, la conservazione di tutti i dati personali di tutte le persone i cui dati sono stati trasferiti dall'Unione Europea agli Stati Uniti, senza differenziazioni, limitazioni o eccezioni" che delineino i propositi per cui questi dati sono trattati e delimitino i limiti entro i quali le autorità pubbliche possano accedere e impiegate questi dati. La Carta dei Diritti Fondamentali dell'Unione Europea, però, all'articolo 7 stabilisce il diritto dei cittadini europei al rispetto della vita privata.
Allo stesso modo, una normativa che, come la decisione 520 sull'accordo Safe Harbor, "non preveda alcuna possibilità per un individuo di accedere ai dispositivi legali per accedere ai dati personali che lo riguardano, o per ottenerne la rettifica o la cancellazione" stride con l'articolo 47 della Carta che garantisce il diritto a un ricorso effettivo e a un giudice imparziale. Sono questi motivi che hanno spinto i giudici di Lussemburgo a stabilire che la Decisione della Commissione Europea che sancisce gli accordi Safe Harbor sia da ritenersi non valida.

Sul fronte procedurale, invece, la Corte di Giustizia ha decretato le autorità nazionali di controllo, i garanti della privacy, non debbano essere ostacolati nell'esercizio dei loro poteri volti a garantire la protezione dei dati personali, così come delineata nell'articolo 8 dalla Carta dei Diritti Fondamentali dell'Unione Europea: anche sulla base della direttiva 95/46/CE, i garanti possono vigilare sui trasferimenti dei dati verso paesi terzi. Ora che la Decisione del 2000 è stata resa invalida, il garante irlandese dovrà procedere ad analizzare il caso sollevato da Schrems, e valutare sulla base del quadro normativo europeo se sia opportuno sospendere il trasferimento dei dati degli utenti europei di Facebook verso i server statunitensi, qualora non si offra un adeguato livello di protezione dei dati personali.

Il garante della privacy italiano ha già dichiarato che, dal canto suo, non intende sottrarsi ad alcuna responsabilità: "La Corte ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall'esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l'ordinamento europeo sulla protezione dei dati" ha sottolineato il presidente dell'authority italiana Antonello Soro. La strada da battere, per i garanti degli stati membri, è quella di "una risposta coordinata a livello europeo anche da parte dei Garanti nazionali", di cui "in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni".



Da parte dell'attivista Max Schrems, prevedibilmente, c'è la piena volontà di proseguire nella propria causa: "le aziende statunitensi non possono semplicemente supportare i tentativi delle agenzie di spionaggio statunitensi che violino i diritti fondamentali dei cittadini europei" ha affermato nella sua prima analisi della decisione della Corte di Giustizia. Secondo Schrems la sentenza, pur dirompente, non influirà sulle attività degli utenti europei di servizi con base negli USA, ma avrà piuttosto un impatto sulle aziende: citando Apple, Google, Facebook, Microsoft e Yahoo, che però hanno sempre negato di essere state informate delle pratiche dell'intelligence americana, Schrems prevede "possano affrontare serie conseguenze legali nel momento in cui le autorità dei 28 paesi membri prenderanno in esame la loro collaborazione con le agenzie di spionaggio USA". Le associazioni che si battono per i diritti dei cittadini connessi, come Open Rights Group e EFF, attendono al varco.

Facebook, dal canto suo, si affretta a ribadire la propria innocenza e il suo ruolo tangenziale rispetto alla decisione dei giudici europei: "lo stesso avvocato generale ha riferito che non abbiamo fatto nulla di male" ha dichiarato un portavoce del social network. "È prioritario - afferma il portavoce - che l'UE e gli USA continuino ad assicurare soluzioni affidabili per trasferimenti di dati legali e risolvano ogno questione riguardo alla sicurezza nazionale".
Sulla stessa linea d'onda c'è la Computer & Communications Industry Association, che rappresenta i colossi dell'IT statunitense, da Google a Microsoft, da eBay a PayPal, naturalmente fra i 5mila soggetti che si affidano agli accordi Safe Harbor per operare, e che paventa "un impatto negativo sull'economia europea, in grado di arrecare danno alle aziende medio-piccole e soprattutto ai consumatori che utilizzano i loro servizi". "L'Europa - e l'invocazione suona quasi come una minaccia - non deve diventare un'isola disconnessa nell'economia digitale globale".


L'Europa farà di tutto per agire tempestivamente, hanno assicurato il vicepresidente della Commissione Europea Frans Timmermans e il Commissario alla giustizia Vera Jourová nel corso della conferenza stampa del primo pomeriggio: mentre già si lavora a un "safer safe harbor" e continua l'iter di approvazione degli Umbrella Agreements che dovrebbero regolare la cooperazione e il trasferimento dei dati personali tra le forze di polizia degli stati membri UE e degli States, le priorità sono la protezione dei dati che fluiscono oltreoceano con adeguate garanzie fissate in accordi internazionali, e la compattezza degli stati membri nell'applicazione del quadro normativo dell'Unione.

Gaia Bottà

fonte immagine
Notizie collegate
  • AttualitàUSA: i dati europei sono al sicuroGli Stati Uniti condannano il parere dell'avvocato generale della Corte di Giustizia dell'Unione Europea: l'intelligence statunitense opera legalmente e non minaccia la privacy dei cittadini europei che affidano la propria vita digitale alle aziende d'Oltreoceano
  • Diritto & InternetPrivacy UE: gli USA sono un approdo sicuro?Il caso irlandese sollevato contro Facebook dall'attivista Max Schrems potrebbe interrompere il flusso di dati che sgorga dai server del Vecchio Continente. Gli abusi del Datagate dovrebbero spingere l'Europa a riformulare il proprio quadro normativo, suggerisce l'avvocato generale della corte di Giustizia dell'Unione Europea
  • Diritto & InternetLa melma della privacy americanaUE e USA hanno raggiunto un mezzo accordo sulla gestione dei dati personali degli europei. Ma negli States è proprio la concezione stessa di e-privacy ad essere diversa. Ci dovremo abituare a quel fango?
12 Commenti alla Notizia Safe Harbor, le garanzie non bastano
Ordina
  • un ringraziamento per l'articolo, chiaro, dettagliato, che va dritto al problema
    cordialmente
    non+autenticato
  • ma, per quanto riguarda la profilazione, le carte di credito nn sono x la maggior parte ammerrricane? dal punto di vista economico non sono forse più importanti del profilo Facebook? nessuno pensa di ravanare un po' anche li?
    O nn ci ho capito 'na mazza e sparo putt....te?
    non+autenticato
  • Dipende: VISA americana, Mastercard Europea, se togliamo naturalmente l'american express che chi può evita di accettare come fosse la peste viste le commissioni folli per l'esercente.
    Io ovviamente dalla mia banca mi son fatto mandare una mastercard.
    -----------------------------------------------------------
    Modificato dall' autore il 07 ottobre 2015 21.08
    -----------------------------------------------------------
  • Prima di dire cretinate, informatevi: VIsa in Europa e' gestita da Visa Europe, con base a Londra, Mastercard e' stra-americana, American Express e' l'unica ad operare dall'Italia (Roma).
    non+autenticato
  • Ammetto di aver detto una castroneria, un rapido controllo ha confermato quello che dici.
    Non ricordo quando e dove, ma lessi a suo tempo che Visa è un circuito principalmente americano, mentre MasterCard è "nato" in Europa, e non è vero, quindi o la mia testa ha stravolto questa informazione, oppure la fonte da cui ho letto diceva castronerie a sua volta.
    Peraltro, so benissimo che American Express ha una sede in italia, ci passo davanti relativamente spesso e una mia amica per un tot ci ha lavorato...
  • in effetti l'europa e' un grosso mercato che non si capisce perche debba sottostare ad un monopolio piuttosto pericoloso e gestito in modo direi banditesco.

    il "fronte padronale" locale sembra terrorizzato dalla possibilita di rallentamenti dell'avanzamento della societa informatica del futuro, e cerca alleati nei piccoli imprenditori minacciando tracolli (es: la stampa di oggi), ma dovrebbero ragionare sugli sviluppi assurdi e monopolistici che la gestione dei dati sta prendendo, senza tutto sommato molta ragione, probabilmente piu per "calca nel bar del primo arrivato" che per motivi di reale dominanza tecnologica.

    insomma, che una volta tanto la burocrazia europea abbia un qualche significato?
    non+autenticato
  • Gli USA faranno salpare la sesta flotta nel mediterraneo da Napoli e le faranno fare "il giro" delle spiagge dell'europa mediterranea, al contempo "per caso" quattro sottomarini nucleari classe Ohio (dotati di una potenza tale da cancellare l'europa dallo stretto di gibilterra agli urali) incroceranno nel canale della manica, (spalleggiati dai loro amiconi inglesi) viaggiando in emersione ben attenti a farsi vedere dalla popolazione costiera di spagna, francia, onada, germania ecc. a Bruxelles si cagheranno addosso e tanti saluti ai nostri diritti.
    non+autenticato
  • E subito dopo Putin farà la stessa cosa, e poi la Cina, e poi l'india, che ricordo essere tutte potenze nucleari. La verità è che gli USA hanno rotto le palle a tutti.
    non+autenticato
  • a parte piu' pastoie burocratiche per le aziende (e forse qualche caso di 'inchiodamento giudiziario' in piu') non cambiera' molto. il GHCQ continuera' a spiare come e piu' di prima (per dire).
    non+autenticato
  • Ma questo è ovvio, ci mancherebbe altro! Come se per NSA e CIA fosse differente dove stanno i server per studiarne i dati. Che gli cambia? Nulla! Sono ovviamente decisioni che servono per far lavorare i burocrati europei
    non+autenticato
  • - Scritto da: Mrc
    > Come se
    > per NSA e CIA fosse differente dove stanno i
    > server per studiarne i dati. Che gli cambia?

    Quoto.
    Le solite scartoffie totalmente inutili.
    non+autenticato
  • - Scritto da: Mrc
    > Ma questo è ovvio, ci mancherebbe altro! Come se
    > per NSA e CIA fosse differente dove stanno i
    > server per studiarne i dati. Che gli cambia?
    si certo... il mio post era un po' piu' "sottile" pero'.....
    L'articolo dice
    " USA ..bla.. pratiche di tecnocontrollo messe in atto dalle agenzie di intelligence ..bla...
    Soluzione: noi Europei non ci fidiamo piu, non applichiamo piu' il Safe Harbor per questo-e-quello "

    E il bubba rompiballe: "si, ok, ma la fidanzata inglese di NSA chiamata GHCQ? e' in _europa_ lo sapete, si?"SorrideSorride
    non+autenticato