Una decisione che cambia la nostra percezione di quanto siamo al sicuro e cambia i rapporti tra Europa e Stati Uniti, che fa da apripista come ai tempi della sentenza del 1979 “Cassis de Dijon” che mise le basi per la libera circolazione delle merci nel continente.

Ieri la Corte di Giustizia europea ha riconosciuto che gli Stati Uniti con “taluni programmi di sorveglianza” possono ancora “frugare” tra i dati dei cittadini europei perché non solo la protezione della privacy negli Usa è meno avanzata che nell’Ue, ma i non-americani non godono neppure delle stesse tutele di base dei cittadini Usa. Se una compagnia trasferisce i nostri dati negli Usa, il governo di Washington può ancora intromettersi e invadere la nostra privacy.

La Corte boccia così il lavoro svolto finora dalla Commissione europea e conclude che il quadro per gli scambi di dati Ue-Usa messo in piedi da Bruxelles (il cosiddetto Privacy Shield, lo “scudo per la privacy”) non è valido.

La storia

Max Schrems, austriaco, è ancora un universitario ventenne che studia e sogna da avvocato, e come tanti suoi coetanei è iscritto a Facebook, quando nel 2011, durante un viaggio-studio in California, comincia a interrogarsi su quanto Facebook sappia di lui.

Nel 2013 Edward Snowden rivela la sorveglianza di massa praticata dagli Stati Uniti e Schrems è già in prima linea: un suo reclamo finisce sulla scrivania del garante irlandese per la privacy e prosegue poi una lunga trafila giudiziaria; tra i punti critici c’è la privacy e il passaggio transfrontaliero dei dati.

Quanto è sicuro che i dati degli europei vengano trasferiti (da Facebook e da altre aziende) negli Stati Uniti? Nell’ottobre 2015 la Corte di giustizia europea ha concluso con una sentenza che il sistema utilizzato fino a quel momento per spostare i dati, l’accordo commerciale “Safe Harbor”, non è più valido, alla luce dell’attività di sorveglianza praticata dagli Usa. La Commissione trova quindi un nuovo accordo con Washington; nasce così il Privacy Shield, una nuova “cornice” per il passaggio di dati da un continente all’altro.

La sentenza

Sin da subito il Privacy Shield attira le perplessità non solo degli attivisti della privacy, ma dello stesso Garante per la privacy europeo di allora, Giovanni Buttarelli, che esprime le sue preoccupazioni.

Nel frattempo l’Unione europea modernizza la propria disciplina per la privacy, approvando nel 2016 il Regolamento generale per la protezione dei dati (GDPR), operativo dal 2018. Mentre l’Europa rafforza le sue norme per la privacy, gli Stati Uniti invece rimangono fermi: da questo squilibrio nasce la sentenza di ieri, con la quale la Corte di giustizia conferma che i nostri dati se trasferiti negli Usa non sono al sicuro. E dichiara che il Privacy Shield non è valido.

“Sono davvero felice che la Corte ci abbia di fatto dato ragione, ma la verità è che non avremmo neppure avuto bisogno di finire alla Corte: già anni fa, la authority irlandese aveva ordinato a Facebook di fermare il trasferimento dei dati” dice Max Schrems. “E’ inutile che la Commissione ora cerchi un’ennesima soluzione che verrà poi bocciata per l’ennesima volta dalla Corte; sono gli Stati Uniti che devono riformare le loro leggi sulla sorveglianza E invece noi siamo ancora qui a discutere di SCC”.

Le “Standard contractual clauses” sono contratti stipulati tra il soggetto che esporta dati e quello che li importa. Molte aziende, compresa Facebook, usano questa cornice (e non il Privacy Shield) per trasferire i dati.

La Commissione europea si appiglia ora al fatto che la Corte abbia dichiarato valide le SCC (diversamente dallo Scudo); Schrems e i suoi sostenitori non la pensano così.

Stefano Rossetti è un avvocato milanese di 32 anni che per lavorare con Schrems nel suo “centro per i diritti digitali” Noyb si è trasferito a Vienna: “Non sono il solo: fino a un anno fa Max lavorava a Noyb assieme ad atri due avvocati, ora siamo almeno in sei, tra cui me, un tedesco, una polacca, una lituana…”.

Il gruppo di giuristi e attivisti per la privacy è convinto che l’esecutivo di Bruxelles debba pretendere una riforma della sorveglianza Usa. “La Corte dice che le SCC sono valide, ma sottintende che se una delle due parti si rende conto di non poter garantire la sicurezza dei dati deve interrompere il trasferimento”. Ciò vale se negli Usa un governo può chiedere a Facebook l’accesso ai dati degli europei, per esempio.

La sovranità digitale europea

Che succederà adesso? I trasferimenti effettuati con il Privacy Shield vanno interrotti. Sembra un duro colpo per i giganti tech americani, ma Facebook e altre compagnie utilizzano già le SCC e ora, spiega Rossetti, “i garanti nazionali devono verificare che il paese dove arrivano i dati rispetti la privacy”. Se ciò non dovesse avvenire, anche quel modello per i trasferimenti dovrebbe essere sospeso.

Come si esce dallo stallo se gli Stati Uniti non garantiscono un livello adeguato di protezione della nostra privacy? Una strada alternativa, che la sentenza di ieri contribuisce ad aprire, è il mantenimento dei dati nell’Unione europea con sistemi cloud.

Le compagnie che utilizzano il trasferimento di dati per il loro business potrebbero così uscire dall’incertezza giuridica conservando i dati sul territorio europeo.

“I nostri cittadini stanno perdendo sempre più il controllo sui loro dati e ciò desta crescente preoccupazione” attesta infatti il Parlamento europeo in un recente report. Oltre ai diritti c’è pure il business i dati sono un asset strategico e mantenerli “in casa” darebbe all’Europa potere oltre che potenziali profitti.

La sentenza della Corte - e la caparbietà di un giovane austriaco - potrebbero contribuire a riequilibrare i rapporti tra Stati Uniti ed Europa.

© Riproduzione riservata