“Gli europei possono stare certi che i loro dati personali saranno completamente protetti mentre le nostre imprese, in particolare le più piccole, avranno una cornice giuridica certa per sviluppare le loro attività oltre l’Atlantico. Seguiremo da vicino l’attuazione dell’accordo”.
Sono queste le parole con le quali, lunedì scorso, il Commissario europeo al mercato unico digitale, Andrus Ansip, ha annunciato l’avvenuto, attesissimo dopo quattro mesi di trattative, nuovo accordo tra Europa e Usa sul trasferimento dei dati personali dal Vecchio al Nuovo continente.
“Il nuovo accordo Ue-Usa protegge i diritti fondamentali dei cittadini europei nel momento i cui i dati personali vengono trasferiti a società statunitensi”, gli aveva fatto eco, sempre lunedì, la sua collega Vera Jourova, Commissario europeo per la giustizia, la tutela dei consumatori e l’uguaglianza di genere.
“Per la prima volta in assoluto gli Stati Uniti ci hanno rassicurato, in maniera vincolante, che l’accesso da parte delle autorità pubbliche per motivi di sicurezza nazionale sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo. Inoltre i cittadini europei potranno beneficiare di meccanismi di ricorso”, aveva, infine, aggiunto la commissaria.
Affermazioni precedute e seguite da dichiarazioni ufficiali e comunicati stampa, tutti egualmente carichi di ottimismo e rassicuranti circa il fatto che la partita apertasi lo scorso sei ottobre, all’indomani della decisione con la quale la Corte di Giustizia dell’Unione europea ha annullato la decisione sul c.d. safe harbour – l’accordo in forza del quale dal 2000 i dati personali dei cittadini europei sono sin qui stati trasferiti negli Stati Uniti d’america – potesse, finalmente, considerarsi chiusa e che gli Stati Uniti potessero di nuovo considerarsi un “approdo sicuro” per i dati dei cittadini europei.
Ieri, tuttavia, sempre da Bruxelles, è arrivata una doccia fredda o, almeno, un forte e qualificato invito alla prudenza.
“Non abbiamo ancora avuto modo di leggere il testo dell’accordo raggiunto tra la Commissione europea ed il Governo americano. Abbiamo solo ricevuto rassicurazioni verbali e l’impegno che riceveremo un testo entro le prossime tre settimane”.
Sono queste le parole che la presidente del Gruppo ex art. 29 dei , la francese Isabelle Falque-Pierrottin, scandisce più e più volte nel corso della conferenza stampa di chiusura della due giorni di meeting di tutti i garanti europei.
E, sebbene ingessato nel rigore del linguaggio istituzionale non è sostanzialmente diverso il messaggio che gli stessi garanti europei affidano ad un loro comunicato stampa: “Il Gruppo ex art. 29 accoglie con favore il fatto della conclusione dei negoziati tra l’Ue e gli Stati Uniti sull’introduzione di un “EU – USA Privacy Shield “, nel rispetto del termine termine fissato dal WP29 nella sua dichiarazione del 16 ottobre . Si attende [ora] di ricevere i relativi documenti al fine di conoscere con precisione il contenuto e la sua vincolatività giuridica e di valutare se risponda alle preoccupazioni più ampie sollevate dalla Sentenza Schrems [ndr quella dello scorso 6 ottobre] per quanto riguarda i trasferimenti internazionali di dati personali”.
Non c’è ancora, dunque un vero e proprio nuovo accordo tra Europa e Stati Uniti per il trasferimento dei dati personali. Al suo posto c’è “solo” un’intesa politica, per quanto importante e – auspicabilmente – condivisa ad alto livello, il cui contenuto e i cui principi attendono di essere tradotti in un autentico accordo. E il diavolo – specie in questo genere di cose – si annida spesso proprio tra i dettagli. Difficile, dunque, dare per chiusa la partita come, forse, troppo affrettatamente la Commissione europea ha suggerito lunedì, anche perché non è scontato che il contenuto dell’accordo, quale che esso sia, soddisfi i garanti europei che pure la Corte di Giustizia, nella Sentenza all’origine dell’intera vicenda, ha ribadito essere i garanti ultimi della privacy nel Vecchio continente anche in relazione alle questioni connesse al trasferimento dei dati personali al di fuori dei confini europei.
E lascia perplessi, in questo contesto la circostanza – solo parzialmente spiegabile con il rigido riparto dei ruoli politici e di garanzia – che i Garanti europei siano, di fatto, rimasti estranei alla negoziazione del nuovo accordo e siano, tuttora, all’oscuro del contenuto di tale accordo.
Non sorprende, dunque, che il Gruppo dei garanti europei per la privacy si riservi di esaminare l’accordo e di pronunciarsi sulla sua effettiva conformità al diritto dell’Unione europea, né che ribadisca con determinazione – per bocca della sua presidente – che chiunque stia continuando a trasferire i dati personali extra-Ue, in forza delle vecchie regole annullate dalla Sentenza della Corte di Giustizia, è fuori legge. L’unica apertura di credito che i garanti europei fanno alla Commissione europea e al mercato è impegnarsi a continuare a considerare valido, ancora per qualche mese, l’utilizzo degli strumenti giuridici alternativi che, nelle more del perfezionamento del nuovo accordo, consentono alle aziende di trasferire i dati tra Europa e Usa.
La partita, dunque, è lontana dal potersi considerare conclusa. Il clima di incertezza rimane e rimarrà, probabilmente, almeno fino ad aprile, quando il Gruppo dei Garanti europei tornerà ad incontrarsi ed a pronunciarsi sul nuovo accordo che, auspicabilmente, frattanto gli verrà comunicato.
Fino ad allora poche certezze e tante incertezze per una vicenda che, almeno vista da lontano, lascia perplessi e ha il sapore di una politica europea fatta di annunci più che di fatti e di negoziazioni sui diritti fondamentali di centinaia di milioni di cittadini condotte senza coinvolgere i garanti ultimi di quei diritti.