Diritti

Dati personali, l’Europa agli Usa: non siete più un ‘porto sicuro’

facebook 675

Dopo le rivelazioni di Eduard Snowden sul programma Prism e sull’attività di spionaggio di massa posta in essere per anni dalle agenzie di intelligence statunitensi, le Autorità per la tutela della privacy nazionali non possono continuare a dare per scontato che gli Stati uniti siano un “approdo sicuro” per i dati personali dei cittadini europei.

La decisione con la quale la Commissione europea, nel 2000, ha, sostanzialmente, acceso il “semaforo verde” per i trasferimenti di dati personali verso gli Usa, ritenendo che questi ultimi fossero in grado di garantire ai cittadini europei un adeguato livello di tutela della privacy, è invalida e deve essere rivista.

E’ questa la sintesi delle conclusioni che Yves Bot, Avvocato Generale presso la Corte di giustizia dell’Unione europea ha formulato ai giudici della Corte nell’ambito della vicenda che vede contrapposti un giovane studente di giurisprudenza austriaco a Facebook e al Garante per la privacy irlandese.

La storia all’origine di quello che ora rischia di trasformarsi in un autentico conflitto politico e diplomatico internazionale tra Usa ed Europa, rassomiglia a quella di Davide contro Golia, anche se il Davide austriaco – al secolo Maximillian Schrems – negli ultimi anni è cresciuto così tanto da diventare una delle spine nel fianco più fastidiose per il gigante dei socialnetwork Facebook, promuovendo una serie infinita di procedimenti e azioni in ogni sede.

La vicenda all’origine del giudizio attualmente pendente dinanzi alla Corte di giustizia dell’Unione europea inizia nel giugno del 2013, quando Max Schrems chiede al Garante per la privacy irlandese di ordinare a Facebook di sospendere il trasferimento dei dati personali dei propri utenti europei negli Stati uniti, giacché questi ultimi – a seguito delle rivelazioni di Snowden – non potevano considerarsi in grado di garantire adeguatamente la sua privacy e quella degli altri utenti europei.

Il Garante irlandese, tuttavia, risponde picche, ricordando allo studente di legge viennese che la Commissione europea, con una propria decisione del 2000, aveva battezzato gli Usa “approdo sicuro”, considerandoli in grado di offrire agli europei un livello di privacy non inferiore a quello garantitoci dalle leggi di casa nostra.

Lo studente austriaco, però, non ci sta e chiede ai giudici irlandesi di far cambiare idea al Garante e, soprattutto, di verificare con la Corte di giustizia se, effettivamente, la decisione della Commissione europea del 2000, precludesse alle Autorità nazionali per la privacy di verificare se, in concreto, negli Stati uniti i dati personali dei cittadini europei nel 2015 possono dirsi al sicuro.

Ed è questa la questione che i giudici della Corte di Lussemburgo ora si trovano a dover decidere con l’Avvocato Generale Bot che firma un duro j’accuse all’indirizzo della Commissione europea alla quale rimprovera, in sostanza, di continuare a considerare sicuri – sotto il profilo privacy – gli Stati Uniti a dispetto degli inequivocabili indizi di segno contrario rimbalzati oltre oceano, nelle rivelazioni di Snowden e non solo.

E non ha dubbi l’Avvocato Generale Bot nel suggerire ai Giudici di porre nel nulla la decisione della Commissione europea ormai superata dai fatti degli ultimi anni, e di autorizzare tutte le autorità per la privacy dei diversi Paesi membri a derogare alla decisione della Commissione, verificando caso per caso se gli Usa possano davvero considerarsi ancora un Paese in grado di garantire ai nostri dati personali un livello di tutela non inferiore a quello di casa nostra.

Ora, naturalmente, bisognerà attendere la decisione della Corte di giustizia che potrebbe far suoi i suggerimenti dell’Avvocato Generale o disattenderli, in tutto o in parte. E’ però, fuori di dubbio che se la Corte confermasse la posizione del suo avvocato Generale gli effetti della decisione sarebbero dirompenti sia in termini politici che commerciali.

Sotto il primo profilo – benché non sia questo il cuore del giudizio e non sarà questo il cuore della decisione della Corte – è difficile pensare che gli Stati Uniti restino in silenzio mentre i supremi Giudici europei mettono nero su bianco dubbi e sospetti – pure ormai diffusi – sull’affidabilità degli USA in termini di tutela della privacy dei cittadini europei. Ed è difficile pensare che le accuse europee agli Stati uniti non vengano rispedite al mittente, ricordandoci che, proprio a Milano, nel cuore dell’Europa, ha sede la Hacking Team, la società che sembrerebbe aver venduto alle agenzie d’intelligence di mezzo mondo il software-spia più usato e più potente della storia del web moderno.

Sotto il profilo commerciale, d’altra parte, se la Corte di giustizia “autorizzasse” davvero, come suggerito dall’Avvocato Generale, i singoli garanti nazionali a decidere autonomamente della legittimità di ogni trasferimento di dati personali verso gli Stati uniti o ogni altro Paese extra-europeo, ci si ritroverebbe nello spazio di una manciata di mesi con Internet in ginocchio e centinaia di servizi online – ben altri e ben diversi rispetto a quelli forniti da Facebook – a rischio di sospensione dell’attività perché basati proprio sul trasferimento di dati di ogni genere dall’Europa agli Stati uniti.

Senza contare la confusione che verrebbe a crearsi tra le decisioni di Authority che potrebbero legittimamente continuare a ritenere gli Stati uniti un “approdo sicuro” e Authority che concluderebbero in senso diametralmente opposto. Ciò non toglie, tuttavia, che il problema che solleva Bot è reale e concreto e che è urgente verificare se gli Usa – e non solo – possano ancora considerarsi, ammesso che ciò sia mai stato davvero possibile, un approdo sicuro per i nostri dati personali.

E’, però, indispensabile che a questa verifica, l’Europa proceda compatta e che la decisione sia una ed una soltanto, valida – come è stato sin qui – per tutti i paesi e per tutti i garanti. Non c’è spazio in un ecosistema globale come quello di Internet per ipotizzare che della legittimità o illegittimità di un trasferimento di dati all’estero possano giudicare 28 Autorità diverse con altrettanto diversi mezzi e sensibilità.