Il 6 ottobre 2015 la Corte di giustizia europa ha invalidato l’accordo tra Unione Europea e Stati Uniti sullo scambio di dati personali. Il vuoto legislativo provocato dalla sentenza rischia di mettere in ginocchio l’economia del vecchio continente in nome di una cattiva applicazione di giusti principi.
di Andrea Monti – PC Professionale n. 296
La direttiva sul trattamento dei dati personali emanata nel 1995 impone, fra le altre cose, il divieto di esportare o comunque scambiare dati con paesi che non garantiscono adeguata protezione giuridica dei dati in questione. Fra questi paesi ci sono gli Stati Uniti d’America che hanno un approccio diametralmente opposto a quello europeo. Per esempio, oltreoceano la regola cardine per il trattamento e l’opt-out (tratto i dati, se non sei d’accordo dimmelo e smetto… Forse), nell’Unione Europea vale il principio dell’opt-in (prima ti chiedo il consenso e poi tratto i dati – salve alcune eccezioni per le quali non serve autorizzazione).
Essendo irrealistico pensare di impedire lo scambio dei dati con gli USA, nel 2000 la Commissione Europea ha stipulato un accordo, il Safe Harbour, che a certe condizioni (sostanzialmente, il rispetto di fatto dei principi europei) consente l’attività che prima era vietata. Aderendo al Safe Harbour le autorità di protezione dei dati personali, pur conservando il loro potere di controllo, potevano presumere che lo scambio di dati avvenisse in modo regolare, salve verifiche caso per caso.
Tutto è andato più o meno bene fino a quando la Corte di giustizia europea ha “improvvisamente” scoperto che i servizi segreti americani accedono anche ai dati degli europei che sono memorizzati nei server oltreoceano. A questo punto, dice la Corte, prendiamo atto che rispetto alla direttiva sulla protezione dei dati personali, il Safe Harbour è insufficiente a proteggere i dati dei cittadini europei dalle attenzioni dei servizi e quindi lo dichiariamo invalido.
Prima di analizzarne le conseguenze, va detto però che la sentenza è sbagliata e ipocrita. È sbagliata perché ha basato la sua decisione su un presupposto, l’attività di sorveglianza globale, che è espressamente escluso dal campo di applicazione della direttiva. L’art. 3.2 di quest’ultima dice chiaramente che le questioni di sicurezza nazionale e ordine pubblico non sono regolate dalla norma europea. E nessuna azienda privata può essere costretta a impedire o ostacolare le attività di intelligence del proprio Stato. Vale per le aziende americane in America, e per quelle europee in Europa. Dunque, il Safe Harbour era (ed è) valido nei limiti in cui deve “funzionare” nei rapporti fra privati e con il potere giudiziario (che da entrambi i lati dell’oceano è una cosa diversa dalla difesa o dagli interni e che opera sul campo solo tramite ordini della magistratura). Ma non ha senso per quanto attiene ad aspetti militari e di intelligence.
È ipocrita perché fino dagli anni ’80 del secolo scorso era nota l’esistenza di progetti di sorveglianza globale come Echelon e dunque la questione della validità del Safe Harbour si sarebbe posta anche all’epoca della usa emanazione. La realtà è che si è andati avanti con la logica “occhio non vede, cuore non duole”.
Con la cancellazione del Safe Harbour si è creata una situazione di totale vuoto legislativo che, letteralmente dall’oggi al domani, ha reso illegale scambiare dati con gli USA. E nemmeno si può sperare – come hanno chiesto gli americani – che la Commissione europea garantisca un periodo di sospensione dell’efficacia della sentenza, che conservi il valore degli altri strumenti giuridici che è possibile usare per realizzare lo scambio di dati internazionale, o che affermi la non responsabilità delle aziende che hanno operato nell’ambito del Safe Harbour. Per come è fatta la direttiva sul trattamento dei dati personali e per come sono strutturati i rapporti gerarchici fra Commissione europea e autorità locali, nessuna di queste richieste è ammissibile in termini giuridici e dunque le autorità locali di protezione dei dati personali hanno letteralmente una pistola puntata alla tempia di tutte le imprese che operano internazionalmente.
Questo può essere un vantaggio per gli ISP italiani che hanno data-centre in Italia e in Europa, e che dunque non hanno il problema del Safe-Harbour, ma è certamente un danno per i loro clienti (istituzioni, aziende e professionisti) che operano internazionalmente: le conseguenze della decisione della Corte europea, infatti, impattano più sugli utilizzatori finali dei servizi della società dell’informazione piuttosto che sui suoi fornitori. Chi basa la propria attività su servizi di hosting, housing o comunque basati su data-centre dovrà intanto scegliere se risolvere i contratti con i fornitori americani per rivolgersi solo a risorse localizzate in Europa, così rimanendo vittima di un effetto distorsivo del mercato che li costringerà a subire maggiori costi.
E dove ciò non fosse possibile chiunque – non solo gli ISP, ma anche banche, enti di ricerca, ospedali e così via – dovrebbero semplicemente smettere di scambiare dati con gli USA. Il che è palesemente irrealistico.
Questo apre due scenari: o le autorità garanti locali applicano rigorosamente la normativa sul trattamento dei dati personali e, semplicemente, paralizzano le imprese nazionali.
O fanno “finta di niente” e allora si è fatto tanto rumore per nulla.
E allora sorge spontanea la domanda: che senso ha avuto, da parte della Corte di giustizia, emettere una sentenza che sta da qualche parte fra lo sbagliato e l’inutile?
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte