Le autorità europee, a ridosso della scadenza del termine fissato, si sono rimangiate la comunicazione con cui si dolevano del ritardo e hanno annunciato il raggiungimento di un accordo con le controparti statunitensi: denominato EU-US Privacy Shield, è volto a riscrivere alle basi il controverso Safe Harbor, invalidato dopo 15 anni dalla Corte di Giustizia dell’Unione Europea per l’incapacità di garantire adeguate tutele rispetto ai dati dei cittadini che vengano trattati Oltreoceano. Finché si tratta di semplici dichiarazioni d’intenti, l’Article 29 Working Party, nel quale sono rappresentati i garanti della privacy europei, ha scelto di non prendere posizione: temporeggerà ancora per un mese, prima di iniziare ad esercitare i poteri di vigilanza sul trasferimento dai dati personali a cavallo dell’Atlantico, prima di avviare indagini e di irrogare eventuali sanzioni.
Il parere del Gruppo di Lavoro, che nei mesi scorsi ha agito da pungolo per accelerare il processo di negoziazione, era atteso e temuto . I garanti si sarebbero dovuti confrontare con un testo, per soppesarlo sulla base del quadro normativo e sulla base della decisione della Corte di Giustizia dell’Unione Europea: in mancanza di documenti , il parere è solo rimandato. Pur “accogliendo con favore la conclusione delle negoziazioni”, il Gruppo di Lavoro “attende di ricevere i relativi documenti per valutarne con precisione i contenuti, comprendere se siano vincolanti ai sensi della legge e stabilire se sappiano rispondere alle problematiche sollevate dalla decisione emessa nel caso Schrems”.
In attesa di un testo, o almeno delle assicurazioni scritte che gli Stati Uniti hanno accettato di fornire all’Europa ma che non sono ancora state vergate, i garanti europei ricordano che lo EU-US Privacy Shield dovrà fissare delle regole precise per il trasferimento dei dati, soprattutto a favore del cittadino che desideri tenere traccia del trattamento delle informazioni relative alla propria persona, e che voglia eventualmente rivolgersi ad un’autorità per esprimere i propri reclami mediante una procedura agevolmente percorribile. Queste regole, sottolineano i garanti, dovranno essere guidate dal principio di proporzionalità , soprattutto per quanto attiene l’accesso da parte di tutti gli stati , gli Stati Uniti come gli stati membri UE, che operino in vista della sicurezza nazionale e che dovrebbero limitare l’ingerenza al minimo indispensabile .
L’accesso da parte degli stati ai dati di cui vive il mercato, emerso con il Datagate, ha infranto le certezze fondate sulle rassicurazioni fornite dagli USA nel lontano 2000, alla firma dei primi accordi Safe Harbor. Ora queste rassicurazioni non sono che promesse di rassicurazioni . E in questo contesto l’Article 29 Working Party osserva che “nonostante si riconosca che nel 2014 e nel 2015 gli USA hanno compiuto degli sforzi per migliorare la protezione dei dati dei soggetti non statunitensi, è ancora in dubbio che l’attuale quadro normativo sappia offrire le necessarie garanzie”.
In attesa di un testo, tutto è rimandato alla fine di febbraio : è inevitabilmente rimandata l’analisi di accordi ancora da formalizzare, è rimandata l’analisi della posizione delle aziende, che in questi mesi hanno proseguito le loro attività aggrappandosi alle Binding Corporate Rules e alle cosiddette Model Contract Clauses. Se le multinazionali tirano un sospiro di sollievo, le autorità devono affrettarsi per dare concretezza ai propri propositi.
Il Commissario europeo per la giustizia Vera Jourová, incaricata per l’UE di gestire le negoziazioni con gli States, si è detta “sicura al cento per cento di aver ricevuto delle rassicurazioni concrete dagli Americani”.
Gaia Bottà