I dati dei cittadini europei esportati per essere trattati negli States non sono al sicuro dai tentacoli dell’intelligence e della sua sorveglianza indiscriminata, ha stabilito la Corte di Giustizia dell’Unione Europea in una sentenza incentrata su Facebook, chiamato in causa dall’attivista austriaco Max Schrems presso il garante della privacy irlandese. L’authority locale dovrà entrare nel merito del caso, hanno stabilito i giudici di Lussemburgo, dovrà valutare se Facebook abbia rispettato i diritti del cittadino europeo Max Schrems o se abbia permesso che la NSA sconfinasse, violandone la privacy. Ma nella stessa posizione di Facebook ci sono le altre migliaia di multinazionali statunitensi che trattano in terra statunitense i dati dei cittadini del Vecchio Continente: rendendo invalida la decisione della Commissione Europea del 2000 che consentiva alle aziende statunitensi di certificare le proprie garanzie sulla base dei principi del controverso accordo Safe Harbor , la Corte di Giustizia dell’Unione Europea ha minato alle basi il sistema che da 15 anni sorregge il business di una moltitudine di aziende IT. Punto Informatico ha tracciato un’analisi delle prospettive che si vanno delineando insieme all’ avvocato Fabrizio Sanna , Partner di Orsingher Ortu – Avvocati Associati.
Punto Informatico: Facciamo chiarezza a proposito dei principi Safe Harbour: in sintesi quali sono le garanzie a cui le aziende aderiscono ad oggi?
Fabrizio Sanna: Con l’adesione allo schema Safe Harbour le aziende statunitensi si vincolano al rispetto di sette principi, che sono: (i) informare l’interessato su modalità di raccolta e utilizzo dei dati; (ii) consentire all’interessato di rifiutare il trasferimento dei dati a terzi; (iii) vincolare i terzi cui siano trasferiti i dati ad applicare adeguate misure di protezione; (iv) garantire la protezione dei dati contro perdite, intrusioni, alterazioni; (v) utilizzare i dati per le sole finalità per cui sono stati raccolti; (vi) consentire agli interessati l’accesso e la correzione o cancellazione dei dati; (vii) attivare meccanismi di verifica della conformità dei sistema di raccolta a questi principi.
PI: Si conciliano con i diritti dei cittadini europei?
FS: Secondo la Corte di Giustizia i principi del Safe Harbor non si conciliano con i diritti dei cittadini europei, dal momento che successivamente al caso Snowden è stato appurato che la National Security Agency attua un controllo massivo tra l’altro sulle informazioni residenti negli Stati Uniti.
PI: Quali sono le deroghe ammesse fino ad ora a questi principi? In Europa non sono previste nel quadro normativo deroghe analoghe per il bilanciamento tra privacy e sicurezza?
F.S.: Il rispetto per la vita privata è uno dei principi della Carta dei Principi Fondamentali dell’Unione Europea. La Corte di Giustizia dell’Unione Europea aveva già avuto modo di sottolineare che deroghe a questo principio sono ammissibili solo nei limiti dello stretto necessario. L’approccio statunitense, invece, è stato ritenuto sproporzionato rispetto alle esigenze di sicurezza.
PI: Il garante irlandese dovrà decidere se gli USA offrono un “livello di protezione adeguato” o semplicemente se il trasferimento di dati operato da Facebook è lecito?
F.S.: La Corte di Giustizia dell’Unione Europea rimanda all’autorità irlandese di esaminare il claim del sig. Schrems, con riguardo al trattamento dei suoi dati verso gli Stati Uniti. Questa valutazione dovrà essere basata sulla adeguatezza del livello di protezione offerto da questo Paese.
PI: Su cosa si baserà il Garante irlandese per la propria analisi? Gli sarà affidato anche il compito di valutare l’operato dell’intelligence statunitense
F.S.: Le autorità decideranno in base alla normativa nazionale e a quella dell’Unione Europea. Sotto questo profilo, la Corte di Giustizia dell’Unione Europea ha indicato l’articolo 25 della cd. Direttiva Privacy e gli articoli 7, 8 e 47 della Carta dei Diritti Fondamentali dell’Unione Europea. Partendo da queste norme le autorità valuteranno “la legge e le prassi” in vigore nel paese terzo, in questo caso gli Stati Uniti. Il riferimento alle prassi sembra un particolare importante, considerando quanto emerso dallo “scandalo” datagate.
PI: Nel frattempo, fino alla decisione del garante irlandese, resta tutto com’è?
F.S.: Non proprio. La sentenza della Corte di Giustizia ha già dichiarato illegittima la decisione della Commissione che aveva ritenuto il Safe Harbour adeguato. E quindi questo schema non può più ritenersi di per sé una valido strumento per trasferire i dati negli Stati Uniti.
PI: Le autocertificazioni Safe Harbor delle aziende sono di fatto in un limbo?
F.S.: Esatto. Proprio per questo le associazioni di categoria si stanno spendendo in queste ore per ottenere provvedimenti transitori da parte delle istituzioni UE.
PI: Per le aziende c’è necessità di aggiornare nell’immediato i loro contratti con gli utenti?
F.S.: È consigliabile che le imprese interessate predispongano degli strumenti alternativi rispetto ai principi di Safe Harbour. In particolare, le Binding Corporate Rules (uno strumento che consente il trasferimento di dati tra società dello stresso gruppo) e le cosiddette Model Contract Clauses (clausole contrattuali che garantiscono che i dati trasferiti in forza del contratto saranno trattati conformemente ai principi stabiliti dal diritto europeo anche nel paese terzo di destinazione). Tuttavia, anche in relazione a questi strumenti, potrebbero in teoria essere sollevati in futuro dubbi di legittimità, dal momento che essi non consentono di superare quanto censurato dalla Corte di Giustizia dell’Unione Europea, e cioè le leggi e prassi degli Stati Uniti che permettono in ogni caso l’accesso ampio delle autorità ai dati.
PI: Se il garante irlandese dovesse decidere di sospendere il trasferimento dei dati per Facebook, che succederà alle altre aziende che implementano le stesse certificazioni? Tutto va bene fino a nuova denuncia o ci sarà un effetto a cascata su tutte le aziende che adottano le autocertificazioni?
F.S.: A rigore il trasferimento dei dati sulla base dello schema del Safe Harbour è già illegittimo, in quanto è venuta meno la base giuridica che lo consentiva (e cioè la decisione della Commissione che aveva ritenuto questo schema adeguato). Naturalmente perché sia effettivamente sanzionato è necessario un provvedimento dell’Autorità competente, eventualmente alla luce delle denunce degli interessati.
PI: Quali sono le conseguenze che si possono immaginare sul mercato?
F.S.: È difficile fare previsioni, anche in considerazione del fatto che potrebbero essere adottate disposizioni transitorie che evitino alle imprese di trovarsi in una situazione di impasse.
PI: Nell’ambito delle speculazioni, si prospetta un trattamento dei dati confinato ai server europei fino a quando un nuovo quadro normativo autorizzerà i trasferimenti o potrebbero bastare della clausole aggiuntive nelle condizioni d’uso che le aziende sottopongono agli utenti?
F.S.: Confinare il trattamento dei dati ai server europei fino a che non sia apprestato un nuovo quadro normativo sembra di difficile attuazione pratica, specialmente per società di grandi dimensioni. Per il momento gli strumenti alternativi al Safe Harbour sopra citati rappresentano senz’altro un’alternativa più percorribile.
a cura di Gaia Bottà