La sede europea di Facebook è localizzata in Irlanda, i dati dei cittadini europei raccolti da Facebook sono trasferiti negli States per essere gestiti dal social network, e si è dimostrato che non siano passati inosservati all’occhio della NSA: il garante della privacy irlandese aveva alzato le mani di fronte alle denunce dell’attivista Max Schrems, una vita trascorsa a combattere contro gli abusi sulla vita privata digitale dei cittadini. Deferita la questione alle autorità dell’UE, l’opinione dell’avvocato generale della Corte di Giustizia dell’Unione Europea potrebbe sbarrare il canale nel quale fino ad ora sono fluiti i dati fra i due continenti.
La denuncia presso le autorità irlandesi mossa da Schrems, utente di Facebook dal 2008 e dal 2011 nemico giurato delle pratiche di tracciamento del social network, era stata depositata nel 2013, a ridosso delle prime rivelazioni del Datagate: Facebook, che ha sede in Irlanda come numerosi colossi della Rete statunitensi ma che tratta i dati raccolti in Rete anche negli States sulla base dei principi del controverso accordo Safe Harbor siglato tra UE e USA nel 2000, non è risultato immune al tecnocontrollo della NSA, del quale si sospetta fosse in qualche modo consapevole. Schrems chiedeva l’intervento delle autorità irlandesi affinché proibissero al social network di trasferire di dati sui server statunitensi : a Facebook Ireland Schrems aveva concesso i propri dati personali, dati che Facebook avrebbe esposto a pratiche di tecnocontrollo da parte dell’intelligence statunitense, violando le garanzie previste dall’accordo Safe Harbor. Il Garante della privacy irlandese si era ritenuto impossibilitato ad agire proprio perché la Commissione Europea nel 2000 aveva giudicato legittimi i principi Safe Harbor, il caso era rimbalzato presso la High Court locale che, pur ammettendo che ai sensi della legge irlandese le attività della NSA sbilanciassero il delicato equilibrio fra rispetto della privacy e diritto alla sicurezza, a sua volta aveva chiesto consiglio alla Corte di Giustizia dell’Unione Europea.
La Corte di Lussemburgo deve ancora pronunciarsi, ma l’ avvocato generale Yves Bot ha esaminato il caso, emanando un parere che, qualora fosse recepito, potrebbe sgretolare l’accordo che da 15 anni regola lo scambio di dati fra le due sponde dell’Atlantico.
L’avvocato generale, esaminando il contesto del caso sollevato da Schrems, il quadro normativo e la giurisprudenza dell’Unione Europea, ritiene che “per assicurare l’adeguata protezione dei diritti fondamentali dell’individuo rispetto al trattamento dei dati personali, le autorità di controllo nazionali debbano avere il potere di condurre delle indagini, nel momento in cui si sollevi una denuncia di violazione di questi diritti”. Il garante irlandese, dunque, non si sarebbe potuto fare scudo della decisione dell’Europa riguardo agli accordi Safe Harbor, ma avrebbe dovuto poter prendere in considerazione le denunce di Schrems , soppesarle sulla base delle proprie analisi, ed eventualmente “qualora si rilevassero dei solidi indizi di una violazione avrebbe detentuto il potere di sospendere il trasferimento dei dati al soggetto che li riceve in un paese terzo”.
Entrando poi nel merito del caso sollevato da Schrems, il trasferimento da parte di Facebook dei dati di cittadini europei fuori dall’UE verso i propri server localizzati in un paese che non saprebbe offrire la tutela dei diritti fondamentali del cittadino, Bot suggerisce alla Corte di Lussemburgo di spostare l’attenzione sul quadro normativo e di esaminare con cura la decisione della Commissione Europea del 2000, alla luce del contesto che si è stagliato con le rivelazioni del Datagate . Come si stabilisce l’adeguatezza del livello di protezione dei dati personali da parte di un paese non UE? L’avvocato generale sostiene che si possano definire adeguate le garanzie di un paese che offra le stesse tutele previste dalla direttiva 95/46/CE sulla protezione dei dati personali, anche se perseguite con diversi mezzi.
Un primo punto messo in rilievo dall’avvocato generale è la labilità del sistema di autocertificazioni adottato dai soggetti che operano il trasferimento dei dati, privo di qualsiasi controllo da parte delle autorità indipendenti, a differenza di quanto avviene in seno all’UE: la Federal Trade Commission, osserva Bot, ha potere solo nel contesto in cui i dati vengano gestiti in ambito commerciale e non avrebbe potuto in alcun modo prendere in esame le attività della NSA.
In secondo luogo, Bot sottolinea che l’operato della NSA, definito “una sorveglianza indiscriminata di massa”, sia “sproporzionato e costituisca una interferenza ingiustificata con i diritti garantiti dagli articoli 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea”, che stabiliscono il diritto alla vita privata a alla protezione dei dati personali. Sono le deroghe alle garanzie fissate nell’accordo Safe Harbor , che con termini oltremodo generali permettono di transigere per “esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”, a far rientrare le pratiche della NSA nel quadro dell’accordo con l’UE. Poiché gli accordi Safe Harbor accolgono queste deroghe, il cittadino europeo stipula contratti con le aziende che trattano altrove i suoi dati senza essere informato delle ingerenze cui sono esposti .
Peraltro, nel contesto attuale, il cittadino europeo non avrebbe modo di contestare alcuna violazione alle autorità statunitensi: le decisione della corte statunitense FISC (Foreign Intelligence Surveillance Court) sono perlopiù segrete, e ciò configura una potenziale violazione dell’articolo 77 della Carta dei Diritti Fondamentali dell’Unione Europea che stabilisce il diritto ad una giusta amministrazione di un processo .
L’avvocato generale ha dunque suggerito alla Corte di Giustizia di adottare un approccio radicale, che potrebbe portare all’ invalidazione dei trattati che definiscono gli approdi sicuri verso cui i dati personali dei cittadini europei possono essere trasferiti. Invalidato il trattato, verrebbero a mancare alcune delle basi sulle quali le aziende che operano in Rete, da Facebook a Google, passando per gli operatori più piccoli, possono gestire in maniera flessibile le proprie attività, spesso fondate proprio sull’analisi di questi dati. Se gli operatori della Rete associati in Digital Europe sono già allarmati per i potenziali ostacoli al loro business, complicato anche dalle eventuali divergenze nelle decisioni che i garanti europei potrebbero adottare nei loro confronti, Max Schrems ha già analizzato il parere dell’avvocato generale, rilevando come gli operatori dei servizi di supporto alle transazioni o nell’e-commerce restino liberi di svolgere le loro attività nel regime delle eccezioni previste dal quadro normativo europeo, mentre gli operatori di servizi trasversali come Facebook potrebbero dover riorganizzare la propria infrastruttura per gestire i dati dei cittadini europei sul territorio europeo .
In attesa del parere della Corte di Giustizia dell’Unione Europea, altre forze si muovono tra le due sponde dell’Atlantico: mentre l’Europa consolida l’ intenzione di dotarsi di un nuovo quadro normativo in materia, anche alla luce delle rivelazioni del Datagate, all’inizio di settembre la Commissione Europea ha comunicato di aver concluso le negoziazioni con gli USA in materia dei cosiddetti Umbrella Agreements che dovrebbero regolare la cooperazione e il trasferimento dei dati personali tra le forze di polizia degli stati membri UE e degli States e che dovrebbero garantire anche ai cittadini europei la possibilità di denunciare gli abusi dei propri dati personali trattati oltreoceano.
Gaia Bottà