“I trasferimenti di dati che ancora hanno luogo sulla base della decisione Safe Harbour dopo la decisione della Corte di Giustizia dell’Unione Europea sono illegali”: così il Gruppo di Lavoro Article 29, che riunisce i garanti della privacy europei, ha ricordato che le istituzioni e le aziende dei due continenti separati dall’Atlantico non possono ignorare che i dati personali dei cittadini europei esportati negli States sulla base delle autocertificazioni che vigono dal 2000 non godono delle adeguate garanzie.
La sentenza della Corte di Giustizia dell’Unione Europea, che nel contesto di un caso incentrato su Facebook sollevato dall’attivista Max Schrems nei giorni scorsi ha invalidato la decisione della Commissione Europea del 2000 che consentiva alle aziende statunitensi di certificare le proprie garanzie in termini di privacy sulla base dei principi del controverso accordo Safe Harbor , impone agli stati membri di prendere posizione, e di affrettarsi nel negoziare con gli USA un nuovo accordo. Un accordo, ribadisce Article 29, che agisca alla luce della “sorveglianza massiva e indiscriminata” operata negli USA dall’intelligence, ritenuta “incompatibile con il quadro normativo dell’Unione Europea”.
Le autocertificazioni emesse dalle aziende sulla base degli accordi Safe Harbor in essere fino ai primi giorni di ottobre non sono più valide , e le Binding Corporate Rules e le cosiddette Model Contract Clauses , stilate dalle multinazionali per assicurare la tutela dei dati dei cittadini europei in mancanza di un quadro di riferimento come Safe Harbor, “possono ancora essere usate”, spiegano i garanti. Ma questo non basterà a “evitare che le autorità di protezione dei dati indaghino su particolari casi, ad esempio sulla base di segnalazioni, ed esercitino le loro funzioni per proteggere i diritti degli individui”.
Il necessario processo di adeguamento è stato sollecitato anche dalle aziende, anche in Italia , e le authority riunite in Article 29 ribadiscono che ciò passerà dalla “negoziazione di un accordo fra governi che offra garanzie più solide ai soggetti dei dati europei”: le trattative in atto da due anni per costruire delle tutele per la privacy sulla base di un Safer Safe Harbor , così com’è stato definito a ridosso della decisione dei giudici di Lussemburgo, “possono rappresentare una parte della soluzione”, ma saranno da affiancare da “meccanismi chiari e vincolanti” e “dovranno includere almeno degli impegni relativi alla necessaria supervisione da parte delle autorità pubbliche, in materia di trasparenza, proporzionalità, ricorsi e diritti alla protezione dei dati”.
Il gruppo Articolo 29 fissa altresì una scadenza : “se alla fine di gennaio 2016 non si sarà individuata una soluzione appropriata con le autorità statunitensi (…) i garanti europei si impegneranno ad avviare tutte le azioni necessarie e appropriate, che possono includere una azione di enforcement coordinata”.
È evidentemente prematuro azzardare previsioni riguardo all’efficacia delle pressioni dei Garanti europei nello sciogliere una situazione complessa e in evoluzione su diversi fronti, dal caso irlandese che ha per oggetto Facebook, che si dipanerà presso la giustizia locale, alla frammentazione che si sta creando presso le aziende con gli adeguamenti ai contratti stipulati con gli utenti, passando per l’ evoluzione del contesto internazionale dettata dai trattati come TPP ( Trans-Pacific Partnership ), TTIP ( Transatlantic Trade and Investment Partnership ) e TISA ( Trade in Services Agreement ).
Gaia Bottà