I giudici del Lussemburgo invalidano la decisione della Commissione e stabiliscono che le esigenze della sicurezza nazionale americana "prevalgono sul regime dell’approdo sicuro" a cui sono sottoposti i dati dei privati cittadini europei trasferiti negli Stati Uniti. La conseguenza? A Facebook - come ad altri social media e aziende - si potrà vietare di "conservare" negli Usa i dati degli iscritti. Soro: "Corte sottolinea la necessità di tutela dei dati"
Gli Stati Uniti non proteggono adeguatamente la privacy dei cittadini europei. Quindi, d’ora in poi, a Facebook – come ad altri social media e ad aziende – si potrà vietare di “conservare” negli Usa i dati degli iscritti. A stabilirlo è stata la Corte Ue, che con questa sentenza invalida la decisione della Commissione del 2000, nell’ambito dell’accordo commerciale denominato Safe Harbour. La decisione dei giudici, secondo il Garante per la privacy, Antonello Soro “rimette al centro dell’agenda degli Stati il tema dei diritti fondamentali” e sollecita una “risposta coordinata a livello europeo anche da parte dei Garanti” che “in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”.
Il sistema di scambio dei dati è sotto accusa dal 2013, quando l’ex contractor della National security agency (Nsa) americana Edward Snowden rivelò le operazioni di sorveglianza di massa degli Stati Uniti. Uno scandalo che spinse lo studente austriaco Max Schrems a denunciare Facebook per fermare i trasferimenti di dati verso gli Stati Uniti, sostenendo che l’invio di informazioni sugli utenti europei ai server americani esponevano il materiale al rischio di spionaggio da parte degli Usa. “Grazie Europa“, ha commentato Snowden, che ha ringraziato Schrems. “Il risultato – ha scritto su Twitter – è che siamo tutti più sicuri”.
I giudici di Lussemburgo hanno quindi rilevato che le esigenze della sicurezza nazionale Usa “prevalgono sul regime dell’approdo sicuro” a cui sono sottoposti i dati trasferiti negli Usa. In questo modo “le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste”. Inoltre, “una normativa che consenta alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata”.
Facebook raccoglie infatti su un server basato in Irlanda i dati degli utenti europei e da lì li trasferisce negli Usa. Di conseguenza “il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone”. Inoltre un sistema come quello Usa che “autorizza in maniera generalizzata la conservazione di tutti i dati personali di tutte le persone i cui dati sono trasferiti dall’Unione verso gli Stati Uniti senza che sia operata alcuna differenziazione, limitazione o eccezione in funzione dell’obiettivo perseguito e senza che siano fissati criteri oggettivi intesi a circoscrivere l’accesso delle autorità pubbliche ai dati e la loro successiva utilizzazione” non si può considerare “limitato allo stretto necessario”, come prevede il diritto europeo sulla conservazione dei dati personali.
La decisione della Commissione Ue – La Commissione, poi, stabilendo con la sua decisione del 2000 che gli Usa garantivano un adeguato livello di tutela della privacy, ha privato le autorità nazionali di controllo dei loro poteri. Di conseguenza, spetta ora all’autorità irlandese di controllo “esaminare la denuncia” del cittadino austriaco Maximilien Schrems che si è rivolto a quest’ultima “con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato”.
“La Corte di giustizia dichiara che la decisione della Commissione europea sul Safe Harbour non è valida”, si legge in una nota del tribunale di Lussemburgo. Il comunicato fa riferimento a una decisione della Commissione risalente al 2000 in cui veniva affermato che gli Stati Uniti garantivano un livello di protezione adeguato dei dati personali trasferiti dall’Ue nell’ambito del Safe Harbour.
Il sistema Safe Harbour – Secondo la Corte, le compagnie americane sono “spinte a non rispettare, senza alcuna limitazione” le norme di salvaguardia della privacy previste dal Safe Harbour nel momento in cui emergesse una necessità riguardante la sicurezza nazionale, il pubblico interesse e i requisiti per il rispetto della legge. Senza il Safe Harbour, i trasferimenti di dati personali sono vietati, o permessi solo tramite operazioni molto più costose e prolungate, poiché le leggi europee vietano la condivisione di informazioni con Paesi che non hanno standard sulla privacy insufficienti.
Poiché Facebook ha la sua sede europea in Irlanda, Schrems si rivolse all’autorità irlandese di tutela dei dati, che chiese il parere della Corte di Lussemburgo sulla possibilità di sospendere unilateralmente l’accordo in caso di dubbi sulle norme di tutela della privacy americane. Vista la dichiarazione di invalidità del sistema Safe Harbour, l’autorità irlandese potrà investigare sulla denuncia di Schrems e quindi decidere se sospendere i trasferimenti di dati di Facebook verso gli Usa.
Soro: “Diritto alla privacy non deve essere compromesso” – Secondo il Garante italiano, Antonello Soro, con la sentenza di oggi la Corte di Giustizia europea rimette al centro “la necessità che i diritti fondamentali, primo fra tutti la protezione dei dati, vengano tutelati anche nei confronti di chi li usa al di fuori dei confini europei“.
“La Corte – prosegue – ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati Ue, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati”.
“E’ importante peraltro sottolineare – continua Soro – che questa sentenza, insieme ai recenti pronunciamenti della giurisprudenza europea, conferma come la Corte sempre più spesso intenda richiamare le istituzioni europee e gli Stati membri ad un rispetto reale e concreto dei principi sanciti dalla Carta dei diritti fondamentali dell’Ue. La Corte ricorda a tutte le parti in causa che il panorama dei diritti è mutato con l’ingresso della Carta quale parte integrante dei Trattati fondamentali dell’Ue, e che tutti gli strumenti e gli atti comunitari, passati e presenti, devono essere guardati con occhi nuovi, attraverso la lente della Carta“.
“E’ la stessa ottica, del resto – sostiene ancora il Garante -, in cui si muove il ‘pacchetto protezione dati’ con il futuro Regolamento generale e la direttiva “polizia e giustizia”: entrambi rafforzano, fra le altre cose, i diritti degli interessati in Ue e i poteri delle autorità nazionali di protezione dati”.