Privacy1-1024x768

Ha causato un vero e proprio terremoto digitale la recente sentenza della Corte di Giustizia Europea che ha, di fatto, invalidato il c.d. Safe Harbour (l’accordo che rendeva lecito il trasferimento dei dati personali tra Europa e Stati Uniti). La pronuncia dei giudici del Lussemburgo ha stabilito che la legislazione americana in materia di tutela dei dati personali non offre un sufficiente livello di protezione e, pertanto, gli Stati Uniti d’America non costituiscono un approdo sicuro al punto da poter ospitare i dati dei cittadini europei. Questa decisione condurrà a una radicale ridefinizione dei rapporti tra vecchio continente e Stati Uniti d’America in tema di privacy.

Ecco una ricostruzione ordinata della vicenda.

Il Safe Harbour

È noto come gran parte dell’economia digitale si basi sulla gestione e sfruttamento commerciale dei dati personali degli utenti. La maggior parte delle aziende che adottano tale modello di business risiedono oltreoceano e l’Europa è da sempre preoccupata della sorte dei dati relativi ai cittadini europei che vengono acquisiti da queste aziende. La legislazione americana in materia è, difatti, poco coerente e lascia molti dubbi in ordine alle esigenze di riservatezza del dato. Basti solo pensare al fatto che negli USA la protezione dei dati personali non è un diritto fondamentale, al contrario di quanto sancito dalla Carta dei Diritti Fondamentali dell’Unione Europea (art.8) [1].

La direttiva europea sul trattamento dei dati personali [2] dispone che il trasferimento dei dati verso un paese terzo possa aver luogo solo se lo stesso garantisce, per quei dati, un adeguato livello di protezione [3]. La valutazione circa l’adeguatezza – secondo la direttiva – può essere effettuata anche dalla Commissione Europea [4], la quale, in ossequio a tale prerogativa, ha stipulato una convenzione con il Dipartimento del Commercio statunitense. Tale accordo, contenente una serie di principi in materia di protezione dei dati personali [5], consentiva a tutte le aziende aderenti (circa 5.000) di poter ospitare i dati di cittadini europei nei loro server.

Il caso concreto

L’episodio che ha dato impulso alla vicenda processuale riguarda un giovane austriaco, laureato in legge, che ha chiesto di bloccare il trasferimento dei suoi dati personali, forniti a Facebook, nei server americani dell’azienda. I dati degli iscritti al noto social network che risiedono nell’Unione, infatti, vengono trasferiti, in tutto o in parte, dalla filiale irlandese di Facebook ai data center situati in territorio statunitense, dove avviene il trattamento degli stessi.

L’istante, Maximilian Schrems, ha presentato un esposto all’autorità garante irlandese ritenendo che, alla luce delle rivelazioni di Edward Snowden in merito all’acclarata attività di sorveglianza di massa della National Security Agency (NSA), il diritto e le prassi statunitensi non offrano una tutela adeguata dei dati trasferiti verso gli Stati Uniti d’America [6].

L’autorità irlandese ha respinto il ricorso, mentre l’Alta Corte di Giustizia irlandese ha rimesso il caso alla Corte di Giustizia europea.

La sentenza della Corte di giustizia

La Corte di Giustizia dell’Unione Europea [7], investita del caso, ha definitivamente affermato che gli Stati Uniti non garantiscono un adeguato livello di protezione dei dati personali trasferiti dall’Europa, invalidando l’accordo di libera circolazione dei dati (il già citato Safe Harbour).

In particolare, la Corte ha stabilito che:

  • il regime americano autorizza ingerenze da parte delle autorità pubbliche nei diritti fondamentali delle persone (come dimostrato dal caso Snowden, in cui è stato appurato che la National Security Agency attua un controllo massivo sulle informazioni residenti negli Stati Uniti).
  • il Safe Harbour non costituisce un’adeguata garanzia per i cittadini europei perché le imprese americane sono tenute a disapplicarlo nel caso in cui le autorità pubbliche degli Stati Uniti pongano esigenze di sicurezza nazionale.
  • una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del diritto fondamentale al rispetto della vita privata. Inoltre, la mancata facoltà per il singolo di esperire rimedi giuridici diretti ad accedere ai dati personali che lo riguardano o ad ottenerne la rettifica o la cancellazione, viola il diritto fondamentale ad una tutela giurisdizionale effettiva.
  • la Commissione non aveva la competenza di limitare i poteri delle autorità nazionali di controllo. Dunque, anche quando esista una decisione della stessa Commissione, le autorità nazionali di controllo, investite di una domanda, devono poter esaminare in piena indipendenza se il trasferimento dei dati di un utente verso un paese terzo rispetti i requisiti stabiliti dalla direttiva.

A seguito di tale sentenza l’autorità irlandese di controllo sarà tenuta a esaminare la denuncia di Schrems e decidere se occorra sospendere il trasferimento verso gli USA dei dati degli iscritti europei a Facebook.

La posizione del WP 29 e della Commissione Europea

I Garanti della privacy Europei, riuniti nel gruppo di lavoro denominato WP29, suffraga le considerazioni della Corte dichiarando che la sorveglianza massiccia e indiscriminata è incompatibile con il quadro legale dell’Ue. Gli stessi hanno rilasciato una nota in cui si chiede all’Unione Europea di aprire con urgenza i negoziati con gli Stati Uniti al fine di addivenire ad un accordo idoneo a garantire la privacy dei cittadini europei i cui dati sono esportati negli USA dichiarando che, in caso contrario, sarà dovere delle singole autorità garanti coordinarsi tra di loro al fine di adottare provvedimenti idonei a tutelare i dati personali europei [8].

La Commissione europea ha promesso che nelle prossime settimane presenterà un piano per dare attuazione alla sentenza, sottolineando come un accordo di massima con gli Stati Uniti sia stato raggiunto; benché sempre basato su un meccanismo di autocertificazione (come il Safe Harbour), esso sarà inserito in un quadro di controllo più rigido e proattivo.

Possibili soluzioni

Di seguito, una serie di possibili soluzioni per venir fuori da questo impasse:

  • Spostamento dei server delle compagnie americane in Europa, quantomeno fino a quando non ci si avrà un quadro normativo ben definito. Tale soluzione, però, appare irrealizzabile in concreto, specialmente per le big corporation che sono dotate di data center enormi.
  • Aggiornare i contratti con gli utenti, inserendo delle apposite clausole che autorizzino le società, dietro consenso dell’utente, alla ricezione dei dati [9]. C’è da rilevare che tali clausole potrebbero risultare illegittime, perché, come censurato dalla Corte, le leggi e le prassi degli Stati Uniti permettono in ogni caso un ampio accesso delle autorità ai dati personali, travalicando, quindi, ogni possibile “rassicurazione” contenuta nelle clausole stesse. L’utilizzo di tali clausole, inoltre, non eviterà che le autorità di protezione dei dati possano indagare su particolari casi venuti in rilievo sulla base di segnalazioni degli utenti.
  • Definire un nuovo accordo tra Commissione europea e Stati Uniti, sulla base delle indicazioni della Corte di Giustizia europea, che garantisca la continuazione del flusso dei dati verso le aziende americane. Questa è la soluzione più probabile e anche la più ragionevole, in grado di salvaguardare gli interessi delle aziende statunitensi che trattano dati e, al tempo stesso, assicurare ai cittadini europei un adeguato livello di protezione dei loro dati.

Conclusioni

Al di là della stipula o meno di un accordo, è indispensabile un nuovo quadro normativo con regole chiare e certe, che tenga conto, da un lato, dei diritti fondamentali della persona e dall’altro della protezione del business model delle aziende che erogano servizi per il tramite del trattamento di dati personali in formato digitale. L’auspicio è che il nuovo regolamento europeo che a breve (si spera!) sostituirà la direttiva 95/46 CE possa finalmente far chiarezza sul punto.

In definitiva, la pronuncia della Corte di Giustizia europea non ha fatto altro che scoperchiare il vaso di Pandora. Questo, però, se servirà ad alimentare una necessaria discussione attorno al tema della protezione dei dati personali, non costituisce la base giuridica per ritenere, in assoluto, invalidi i trasferimenti di dati verso i server delle aziende statunitensi.

Biagio Francesco Rizzo

Note

[1] Art. 8 – Protezione dei dati di carattere personale: Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

[2] Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[3] Art. 25 Direttiva 95/46/CE: Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate[…]. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali […] ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona […].

[4] Decisione 2000/520/CE della Commissione del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro.

[5] L’adesione allo schema “Safe Harbour” obbliga le aziende statunitensi al rispetto di sette principi: 1. informare l’interessato su modalità di raccolta e utilizzo dei dati 2. consentire all’interessato di rifiutare il trasferimento dei dati a terzi 3. vincolare i terzi cui siano trasferiti i dati ad applicare adeguate misure di protezione 4. garantire la protezione dei dati contro perdite, intrusioni, alterazioni 5. utilizzare i dati per le sole finalità per cui sono stati raccolti 6. consentire agli interessati l’accesso e la correzione o cancellazione dei dati 7. attivare meccanismi di verifica della conformità dei sistema di raccolta a questi principi.

[6]Per un approfondimento sul c.d. DataGate: https://it.wikipedia.org/wiki/Divulgazioni_sulla_sorveglianza_di_massa_del_2013

[7] Corte di Giustizia Europea, C-362/14 Maximillian Schrems/Data Protection Commissioner.

[8] Dando una sorta di ultimatum, il gruppo di lavoro ha indicato il 31 gennaio 2016 come data ultima per addivenire ad una nuova intesa.

[9] In particolare, si fa riferimento a due tipi di clausole: le Binding Corporate Rules che consentono il trasferimento di dati tra società dello stresso gruppo e le Model Contract Clauses che garantiscono che i dati trasferiti in forza del contratto saranno trattati conformemente ai principi stabiliti dal diritto europeo anche nel paese terzo di destinazione.

Comments are closed.

%d bloggers like this: