Facebook è in questo frangente il semplice casus belli , l’Irlanda il paese europeo in cui è maturato il contenzioso, ma di impatto globale è la decisione della Corte di Giustizia dell’Unione Europea, che ricalca il parere già reso dall’avvocato generale: le aziende statunitensi che trattano negli States i dati dei cittadini europei offrono delle garanzie sancite dall’accordo Safe Harbor che, nei fatti, sono schiacciate dal bilanciamento di diritti che gli USA fanno pendere a favore della sicurezza nazionale e dalle pratiche di tecnocontrollo messe in atto dalle agenzie di intelligence, hanno osservato i giudici di Lussemburgo. Per questo motivo l’Europa dovrebbe riconsiderare la possibilità, data per scontata da 15 anni, di consentire che le multinazionali trasferiscano dati su server oltreoceano e li elaborino dove sia loro più agevole.
La sentenza della Corte di Giustizia dell’Unione Europea è stata espressa in merito al caso che opponeva l’attivista Max Schrems all’autorità irlandese della privacy: a ridosso delle prime rivelazioni del Datagate, il giovane aveva scelto di giocare su un campo di battaglia a lui familiare , quello di Facebook e della privacy, per sollevare dubbi sulla sicurezza dei dati dei cittadini europei, trasferiti negli States per essere gestiti sulla base delle rassicurazioni offerte dalle aziende che abbiano sottoscritto le proprie certificazioni nel quadro del controverso accordo Safe Harbor. Nella pratica l’accordo, sancito da una decisione della Commissione Europea del 2000, stabilisce che gli USA rappresentino un approdo sicuro per i dati personali dei cittadini europei: Schrems, invece, chiedeva al garante della privacy irlandese, riferimento per la sede europea di Facebook, di verificare che i diritti dei cittadini europei fossero al sicuro. Il garante irlandese, potenzialmente al centro di altre sollevazioni analoghe in quanto punto di riferimento di gran parte delle multinazionali statunitensi dell’IT che hanno sede in Europa, si era dichiarato impossibilitato a procedere, in virtù della decisione della Commissione che riconosceva gli accordi Safe Harbor. Il caso era rimbalzato alla High Court irlandese, che a sua volta aveva chiesto consiglio ai giudici di Lussemburgo in merito alle libertà di azione delle autorità nazionali di controllo rispetto a decisioni fissate a livello europeo.
La Corte di Giustizia muove dalla direttiva 95/46/CE sulla protezione dei dati personali, uno dei cui cardini è “l’adeguato livello di protezione” offerto dal paese di destinazione dei dati: una definizione, osservano i giudici, che non implica che un paese terzo debba assicurare un livello di protezione pari a quello garantito dal quadro normativo europeo. Anzi: formalmente è il quadro normativo del paese destinatario dei dati a fissare i riferimenti utili a stabilire se “l’adeguato livello di protezione” è garantito. Questo aspetto appare riflesso nella Decisione 2000/520/CE, che stabilisce gli accordi Safe Harbor: i principi che le aziende statunitensi devono rispettare per trattare i dati dei cittadini europei, e che devono garantire attraverso un meccansimo di autocertificazione, sono stati stabiliti dal Dipartimento del Commercio statunitense . Principi che, peraltro, decadono a favore di “esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”.
La Corte di Giustizia dell’Unione Europea, nel confrontarsi con la Decisione del 2000, sottolinea però che la stessa Commissione europea, nel 2013 , lamentava che “le autorità degli Stati Uniti sono state in grado di accedere ai dati trasferiti dagli stati membri agli USA e di processarli in una maniera incompatibile, in particolare, con gli obiettivi per i quali sono stati trasferiti” e che non esistessero regole che “limitino l’interferenza con i diritti fondamentali delle persone i cui dati sono trasferiti”, né alcun sistema di gestione delle controversie sollevate da privati che dubitassero del rispetto dei principi Safe Harbor da parte degli Stati Uniti, né meccanismi per cui i cittadini europei potessero chiedere l’accesso, la rettifica o la cancellazione dei propri dati trattati negli USA, a differenza di quanto stabilisce la direttiva in materia di privacy. È in questo contesto che entrano in gioco i principi dettati dalla Carta dei Diritti Fondamentali dell’Unione Europea .
Di fatto, la decisione del 2000 “autorizza, su una base generalizzata, la conservazione di tutti i dati personali di tutte le persone i cui dati sono stati trasferiti dall’Unione Europea agli Stati Uniti, senza differenziazioni, limitazioni o eccezioni” che delineino i propositi per cui questi dati sono trattati e delimitino i limiti entro i quali le autorità pubbliche possano accedere e impiegate questi dati. La Carta dei Diritti Fondamentali dell’Unione Europea, però, all’articolo 7 stabilisce il diritto dei cittadini europei al rispetto della vita privata.
Allo stesso modo, una normativa che, come la decisione 520 sull’accordo Safe Harbor, “non preveda alcuna possibilità per un individuo di accedere ai dispositivi legali per accedere ai dati personali che lo riguardano, o per ottenerne la rettifica o la cancellazione” stride con l’articolo 47 della Carta che garantisce il diritto a un ricorso effettivo e a un giudice imparziale. Sono questi motivi che hanno spinto i giudici di Lussemburgo a stabilire che la Decisione della Commissione Europea che sancisce gli accordi Safe Harbor sia da ritenersi non valida .
Sul fronte procedurale, invece, la Corte di Giustizia ha decretato le autorità nazionali di controllo , i garanti della privacy, non debbano essere ostacolati nell’esercizio dei loro poteri volti a garantire la protezione dei dati personali , così come delineata nell’articolo 8 dalla Carta dei Diritti Fondamentali dell’Unione Europea: anche sulla base della direttiva 95/46/CE, i garanti possono vigilare sui trasferimenti dei dati verso paesi terzi. Ora che la Decisione del 2000 è stata resa invalida, il garante irlandese dovrà procedere ad analizzare il caso sollevato da Schrems, e valutare sulla base del quadro normativo europeo se sia opportuno sospendere il trasferimento dei dati degli utenti europei di Facebook verso i server statunitensi, qualora non si offra un adeguato livello di protezione dei dati personali.
Il garante della privacy italiano ha già dichiarato che, dal canto suo, non intende sottrarsi ad alcuna responsabilità: “La Corte ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati” ha sottolineato il presidente dell’authority italiana Antonello Soro. La strada da battere, per i garanti degli stati membri, è quella di “una risposta coordinata a livello europeo anche da parte dei Garanti nazionali”, di cui “in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”.
*YAY* #CJEU on #SafeHarbor :
SH invalid. DPC had to investigate.
#EUdataP
– Max Schrems (@maxschrems) 6 Ottobre 2015
Da parte dell’attivista Max Schrems , prevedibilmente, c’è la piena volontà di proseguire nella propria causa: “le aziende statunitensi non possono semplicemente supportare i tentativi delle agenzie di spionaggio statunitensi che violino i diritti fondamentali dei cittadini europei” ha affermato nella sua prima analisi della decisione della Corte di Giustizia. Secondo Schrems la sentenza, pur dirompente, non influirà sulle attività degli utenti europei di servizi con base negli USA, ma avrà piuttosto un impatto sulle aziende: citando Apple, Google, Facebook, Microsoft e Yahoo, che però hanno sempre negato di essere state informate delle pratiche dell’intelligence americana, Schrems prevede “possano affrontare serie conseguenze legali nel momento in cui le autorità dei 28 paesi membri prenderanno in esame la loro collaborazione con le agenzie di spionaggio USA”. Le associazioni che si battono per i diritti dei cittadini connessi, come Open Rights Group e EFF , attendono al varco.
Facebook , dal canto suo, si affretta a ribadire la propria innocenza e il suo ruolo tangenziale rispetto alla decisione dei giudici europei: “lo stesso avvocato generale ha riferito che non abbiamo fatto nulla di male” ha dichiarato un portavoce del social network. “È prioritario – afferma il portavoce – che l’UE e gli USA continuino ad assicurare soluzioni affidabili per trasferimenti di dati legali e risolvano ogno questione riguardo alla sicurezza nazionale”.
Sulla stessa linea d’onda c’è la Computer & Communications Industry Association, che rappresenta i colossi dell’IT statunitense, da Google a Microsoft, da eBay a PayPal, naturalmente fra i 5mila soggetti che si affidano agli accordi Safe Harbor per operare, e che paventa “un impatto negativo sull’economia europea, in grado di arrecare danno alle aziende medio-piccole e soprattutto ai consumatori che utilizzano i loro servizi”. “L’Europa – e l’invocazione suona quasi come una minaccia – non deve diventare un’isola disconnessa nell’economia digitale globale”.
L’ Europa farà di tutto per agire tempestivamente, hanno assicurato il vicepresidente della Commissione Europea Frans Timmermans e il Commissario alla giustizia Vera Jourová nel corso della conferenza stampa del primo pomeriggio: mentre già si lavora a un “safer safe harbor” e continua l’iter di approvazione degli Umbrella Agreements che dovrebbero regolare la cooperazione e il trasferimento dei dati personali tra le forze di polizia degli stati membri UE e degli States, le priorità sono la protezione dei dati che fluiscono oltreoceano con adeguate garanzie fissate in accordi internazionali, e la compattezza degli stati membri nell’applicazione del quadro normativo dell’Unione.
Gaia Bottà