Riservatezza, entra in vigore il Privacy Shield – ma proteggerà davvero i nostri dati?
Il 12 luglio scorso la Commissione europea ha adottato il Privacy Shield, la nuova normativa sui trasferimenti dati tra UE e USA. Il primo agosto l’accordo è divenuto pienamente operativo. Di che cosa si tratta esattamente? Proviamo a fare il punto su quella che è stata definita una “svendita di diritti europei agli USA“.
Non più (Un)Safe Harbour
Prima del Privacy Shield c’era Safe Harbour, decisione della Commissione Europea con la quale le aziende americane aderenti si impegnavano a rispettare le norme europee in materia di privacy – o, meglio, una loro versione del tutto annacquata. La decisione attuava la direttiva Ue 95/46 entrata in vigore nell’ottobre 1998 sulla protezione dei dati personali e aveva come scopo l’impedire la perdita accidentale o la rivelazione di dati personali. Un atto necessario, in quanto la legislazione europea non consente il trasferimento dei dati degli europei verso paesi con una normativa meno tutelante rispetto a quella dell’Unione.
Coinvolte più di 4500 aziende americane – in primo luogo quelle attive nel business di Internet come Facebook e Google, ma non solo – che, per poter aderire al programma, dovevano auto-certificare il rispetto di sette principi:
- Gli utenti devono essere avvertiti della raccolta e l’utilizzo dei propri dati personali;
- Ciascuno è libero di rifiutare la raccolta dei dati e il loro trasferimento a terzi;
- I dati possono essere trasferiti soltanto a organizzazioni che seguono principi adeguati di protezione dei dati;
- Le aziende devono fornire garanzie contro il rischio che i dati siano smarriti;
- Devono essere raccolti solo i dati rilevanti ai fini della rilevazione
- Gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente a correggerli o cancellarli se sono inesatti;
- Queste regole devono essere efficacemente attuate.
In realtà, però, Safe Harbour non proteggeva affatto la riservatezza dei dati: al contrario, la decisione ha sottratto ai cittadini europei qualsiasi possibilità di tutelare i propri diritti contro le aziende americane. La semplice esistenza della Decisione Safe Harbor e l’adesione di una azienda bloccava infatti qualsiasi indagine di un Garante nazionale contro una azienda americana.
Il caso contro Facebook e la sentenza Schrems
A dirlo è stata una importantissima sentenza della Corte di Giustizia dell’Unione Europea (CGUE) che, nell’ottobre 2015, ha invalidato la decisione Safe Harbour.
La CGUE ha infatti accolto il ricorso di Max Schrems (e di altri 25mila utenti) col quale si accusava la sorveglianza di massa degli Stati Uniti condotta attraverso le aziende americane del web. Un vero e proprio “caso contro Facebook“, germinato dal reclamo di un cittadino austriaco all’Autorità garante della privacy irlandese, nel quale si affermava che, alla luce delle rivelazioni di Edward Snowden in merito alle attività dei servizi di intelligence statunitensi, le leggi degli Stati Uniti non offrivano sufficienti protezioni dalla sorveglianza attuata dalle pubbliche autorità sui dati trasferiti negli USA. L’autorità irlandese archiviò però il reclamo, sostenendo che la Commissione Europea avesse già verificato l’assicurazione di un’adeguato livello di protezione da parte degli Stati Uniti nell’ambito del programma Safe Harbour.
La CGUE ha invece ritenuto che l’esistenza di una decisione della Commissione, secondo la quale un paese terzo assicura un adeguato livello di protezione dei dati personali, non può né escludere né ridurre i poteri delle Autorità garanti nazionali. Ancora più significativamente, la Corte ha dichiarato invalida la Decisione Safe Harbour, ritenendo che la stessa non impedisse affatto alle pubbliche autorità degli Stati Uniti di interferire con i diritti fondamentali delle persone.
Insomma: una vera e propria “discesa in campo dei giudici europei contro la sorveglianza americana, Facebook e gli altri colossi tech”.
Il nuovo Privacy Shield, e perché non basta
Dopo oltre due anni di negoziati, il 2 febbraio 2016 è stato annunciato un nuovo accordo tra UE ed USA in materia di protezione dati personali in rete: il nuovo Privacy Shield è così divenuto ufficialmente operativo questa estate.
Ma cosa prevede esattamente l’accordo e, soprattutto, può davvero essere efficace nel salvaguardare la privacy digitale dei cittadini europei anche nel momento i cui i dati personali viaggiano da server europei verso server statunitensi (come nel caso di Facebook, Amazon, Google, Twitter e un infinità di altri servizi online)?
Il nuovo accordo prevede una serie di misure che dovranno essere sottoposte a verifiche e aggiornamenti costanti (il primo è previsto già allo scadere del primo anno). Le autorità USA e UE dovranno monitorare insieme l’esecuzione dello scudo, effettuando analisi congiunte con l’ausilio di esperti di intelligence e data protection da entrambe le parti; da parte degli USA ci si aspettano poi controlli e sanzioni per chi non rispetta le regole.
Tre i punti fondamentali del nuovo accordo:
- Obblighi sul trattamento dati per le aziende;
- (Tendenzialmente) no alla sorveglianza di massa;
- Diritto di ricorso e accesso a un Difensore Civico.
Vengono introdotte infatti linee guida molto rigide per le aziende che vogliono accedere ai dati personali di cittadini europei, con dure sanzioni e inserimenti in “lista nera” in caso di più infrazioni.
Non solo regole per i privati, però. Tra le altre cose, si afferma infatti il divieto di attività di sorveglianza indiscriminata sui dati da parte dell’intelligence nazionale – anche se restano comunque margini, in alcuni casi, per una raccolta mirata e concentrata per esigenze specifiche. Insomma: l’accesso delle autorità di pubblica sicurezza ai dati per motivi di sicurezza nazionale non è vietato ma è, quantomeno in teoria, soggetto a forti limitazioni.
In caso di violazioni sono in ogni caso a disposizione dei cittadini europei dei meccanismi di ricorso: l’accordo disciplina la possibilità di accesso gratuito a una procedura alternativa di risoluzione e quella di intervento diretto delle autorità nazionali sulla protezione dei dati (ruolo che in Italia è svolto dal Garante sulla Privacy), nonché l’istituzione di un apposito Difensore Civico.
Questa quantomeno la teoria. In pratica, lo “scudo” è stato contestato da più parti: criticato per la sua debolezza, già quando era solo in bozze, dal Parlamento Europeo e dal Garante Europeo per la protezione dati (l’italiano Giovanni Buttarelli), l’accordo viene oggi definito assolutamente inadeguato da organizzazioni non governative e attivisti – come l’EDRi, Privacy International, Access Now e l’ormai noto Max Schrems.
Si sottolinea infatti come l’accordo non sia affatto chiaro, ma soprattutto come le procedure siano estremamente farraginose e vi siano decisamente troppi elementi lasciati alla discrezionalità delle autorità coinvolte. Si evidenziano inoltre la grave inadeguatezza dei fragili meccanismi di tutela legale predisposti e soprattutto le profonde problematicità relative alla terzietà del neo-istituendo Difensore Civico.
Insomma: tante parole, ma nei fatti il Privacy Shield parrebbe fare decisamente poco per migliorare effettivamente la protezione dei nostri dati online e si presenterebbe come un testo opaco, pieno di “buchi neri di sorveglianza di massa”, su cui già si promette di dare battaglia nelle aule di giustizia. E la lotta per la protezione della nostra privacy online pare ancora lunga.
FOTO DI COPERTINA: Yuri Samoilov / Flickr Creative Commons.