Diritti Digitali Post

Il 6 ottobre l’Europa processa Facebook e lo spionaggio americano?

5 Ottobre 2015 11 min lettura

author:

Il 6 ottobre l’Europa processa Facebook e lo spionaggio americano?

Iscriviti alla nostra Newsletter

10 min lettura

Aggiornamento 6 ottobre 2015: La Corte di Giustizia europea si è pronunciata. Come era prevedibile ha stabilito che la semplice esistenza dell'accordo Safe Harbor, negoziato dalla Commissione europea nel 2000, e che all'epoca stabiliva che le misure dalle aziende americane a tutela della privacy fornite dei cittadini europei erano adeguate, non impedisce che un'autorità di garanzia (nel caso specifico il DPA irlandese) in presenza di una denuncia circostanziata di possibili violazioni dell'accordo in questione, debba riconsiderare la situazione a valutare se effettivamente il livello di protezione è adeguato.
Inoltre, la Corte ha invalidato l'accordo Safe Harbor del 2000.

-----

Il 6 ottobre la Corte di Giustizia Europea (CGUE) si occuperà di un caso molto importante. La Corte di Lussemburgo, infatti, discuterà il ricorso di Max Schrems (presentato insieme ad altri 25mila utenti) col quale si accusa la sorveglianza di massa degli Stati Uniti condotta attraverso le aziende americane del web. Il ricorso sostanzialmente conclude chiedendo la disapplicazione dell'accordo Safe Harbor con gli Usa.

Convocazione per l'udienza del 6 ottobre
Convocazione oer l'udienza del 6 ottobre

Degli antefatti e dell'importanza della questione ne abbiamo già parlato in un precedente articolo.
Tutto nasce con la sorveglianza di massa degli Usa, il programma PRISM, che dovrebbe prevenire il terrorismo. Non si sa se ha mai avuto successo in questo senso, ma si conoscono, invece, i costi (quantificati in circa 10 miliardi l'anno), e le conseguenze del programma: da un lato la riduzione dei diritti dei cittadini, specialmente in tema di privacy, e dell'altro, la conseguente sfiducia degli stessi nell'utilizzo dei servizi online, con evidenti ricadute economiche sulle aziende.
La sorveglianza di massa americana determina un clima di sfiducia anche negli altri paesi, specialmente in Europa, i quali si sentono spiati, anche se bisogna dire che molti altri Stati (es. Francia, Germania) hanno regimi di sorveglianza come gli americani, generalmente però limitatamente ai confini nazionali. La risposta è evidente, gli altri governi cercano di alzare muri per impedire lo spionaggio americano sui propri cittadini e sulle proprie aziende, con la conseguenza di una frammentazione di internet in tante sottoreti nazionali.

 

Safe harbor

Il ricorso di Schrems si appunta contro il trasferimento dei dati da Facebook Irlanda a Facebook USA alla luce dell'accesso generalizzato da parte dell'NSA ai dati che riceve Facebook USA. Schrems sostanzialmente chiede che il trasferimento dei dati verso gli USA sia ritenuto in violazione degli accordi e quindi di invalidare il Safe Harbor.

Il Safe Harbor è un accordo tra USA e Unione Europea che consente il trasferimento dei dati verso gli Usa. È necessario perché la legislazione europea in materia non consente il trasferimento dei dati degli europei verso paesi con una normativa meno tutelante rispetto a quella dell'Unione (articolo 25, comma 1, della Direttiva 95/46/CE), a meno che (art. 26) non vi sia il consenso espresso del titolare dei dati oppure un accordo contrattuale specifico con il Paese estero che garantisca una pari tutela. Il Safe Harbor fa appunto questo, garantendo standard di sicurezza americani adeguati per i dati degli europei.

I punti salienti della questione sono:
1) l'accordo Safe Harbor è basato per lo più sull'autocertificazione delle aziende che dichiarano di rispettare degli standard specifici. L'FTC americana fa dei controlli annuali, ma non particolarmente approfonditi. Negli anni si sono avvicendati vari studi che hanno evidenziato come alcune aziende non rispettassero detti standard. Inoltre non esistono sanzioni in caso di violazioni.
2) dopo l'entrata in vigore del Safe Harbor, nel 2000, la legislazione americana è stata modificata in modo sostanziale con l'introduzione del Patriot Act, che concede maggiori poteri di intrusione nelle vite degli individui da parte delle istituzioni americane.
3) lo scandalo delle intercettazioni dell'NSA ha reso evidente che la raccolta dei dati da parte del governo americano è senza confini. L'accesso dei servizi di informazione americani sembra estendersi non solo ai metadati, ma anche al contenuto delle comunicazioni elettroniche così compromettendo l'essenza del diritto fondamentale al rispetto della vita privata degli individui.
4) l'accesso dei servizi di intelligence americani copre tutti gli individui senza alcuna distinzione e non solo quelli che possono rappresentare un pericolo per la sicurezza nazionale, questo compromette il fondamentale diritto alla tutela della privacy.
5) a seguito del trasferimento dei dati verso gli USA un cittadino europeo non ha alcuna possibilità di far valere i propri diritti contro l'azienda o l'ente americano, in quanto né la FTC né gli organismi privati di risoluzione delle controversie hanno il potere di monitorare eventuali violazioni da parte degli enti pubblici come le agenzie di sicurezza, con violazione dell'art. 28 il quale garantisce il diritto del cittadino europeo di rivolgersi all'autorità di vigilanza a fini di tutela. Infatti la protezione contro la sorveglianza da parte dei servizi pubblici di cui alla sezione 702 del Foreign Intelligence Surveillance Act del 1978 si applica solo ai cittadini degli Stati Uniti e agli stranieri legalmente residenti in modo permanente negli Stati Uniti.

 

Sorveglianza globale

Il 23 settembre l'avvocato generale ha rassegnato le sue conclusioni. Secondo Yves Bot i Garanti nazionali sono vincolati dalle decisioni della Commissione Europea, e quindi dall'accordo del 2000 Safe Harbor, e devono rispettarlo. Ma sono altresì obbligati, in presenza di una circostanziata denuncia di un cittadino, ad effettuare le indagini del caso e verificare se effettivamente l'accordo Safe Harbor è rispettato nella sua applicazione, arrivando fino, conclude Bot, a disapplicare l'accordo in caso di evidenze di mancato rispetto degli standard sulla tutela dei dati.

Mr Schrems wished to challenge the terms and the functioning of the safe harbour scheme itself on the ground that the mass surveillance of the personal data transferred to the United States shows that there is no meaningful protection of that data in the law and practice in force in that third country (parere dell'avvocato generale della CGUE)

Proprio il governo italiano ha sostenuto che l'adottare una decisione di adeguatezza da parte della Commissione europea (con il Safe Harbor) non può limitare i diritti dei cittadini riducendone la protezione e le possibilità di adire un'autorità di vigilanza.

Ovviamente anche se Facebook è espressamente citato nel ricorso di Schrems, non è contro di esso (ma contro il Garante irlandese) che si appunta l'azione giudiziaria e non è il social in blu a violare le norme europee. Facebook Usa è tenuto a rispettare la legislazione degli Stati Uniti che lo obbliga a girare i dati degli europei all'NSA o altre autorità nazionali. Il nucleo della decisione del 6 ottobre è, quindi, la compatibilità del sistema di sorveglianza globale degli USA con il diritto primario dell'Unione europea.
La Corte dovrà stabilire se la semplice esistenza del Safe Harbor è sufficiente a garantire l'adeguatezza del trattamento da parte degli USA, oppure se le novità emerse dal 2000 ad oggi (Patriot Act, scandalo NSA) devono portare il Garante privacy irlandese (DPA) a rivalutare la situazione e verificare di nuovo l'adeguatezza del trattamento da parte degli americani.

 

Usa vs Ue

L'amministrazione americana non si rassegna all'etichetta di un paese a rischio privacy, e risponde tramite una nota del 28 settembre, sostenendo che gli USA non svolgono una sorveglianza di massa generalizzata, e il programma PRISM è autorizzato dalla legge, conforme alle limitazioni normative e mirato su particolari obiettivi.
Gli USA è da tempo che hanno intrapreso un'azione lobbistica contro la riforma europea della normativa per la tutela dei dati personali, e questa azione sta ricevendo nuovi impulsi proprio in questi giorni, in attesa della sentenza dalla CGUE. Gli USA accusano l'Europa di voler isolare il continente dietro un muro di leggi protezionistiche, impedendo il normale flusso di dati transfrontaliero.

In realtà, anche se è vero che c'è una sempre più diffusa tendenza degli Stati europei di limitare il più possibile l'attività delle grandi aziende americane del web, soprattutto per creare gli spazi per l'ingresso nel mercato di competitori europei (non dimentichiamo che l'Europa è partita tardi nella corsa ad internet, e tutt'ora alcuni paesi -es. l'Italia- sono enormemente indietro per quanto riguarda l'informatizzazione e la qualità delle connessioni), c'è da dire che la tutela dei cittadini europei rispetto a quelli americani è inferiore in caso di violazione da parte delle aziende americane. E sono stati documentati alcuni casi in cui le aziende americane non avrebbero rispettato le norme europee.

In ogni caso è comunque vero che l'Europa fin dal 2014 discute di una sorta di chiusura del mercato digitale, e in particolare la Germania ha proposto una realizzazione di un cloud europeo (Schengen cloud, dal quale verrebbe esclusa anche la Gran Bretagna considerata una quinta colonna degli USA), al fine di impedire lo spionaggio degli USA. L'approccio dovrebbe confluire nella revoca del Safe Harbor.
Tale discussione è nata in Germania a seguito di una proposta di Deutsche Telekom (l'amministratore delegato Obermann addirittura parlava di una internet nazionale, Schland-Net), che fu discussa ai più alti vertici del governo. Già all'epoca, però, il Commissario europeo deputato alle problematiche digitali, Kroes, ne sostenne l'irrealizzabilità, pur richiamando la forte esigenza di una maggiore sicurezza dei dati.

 

Balcanizzazione

L'opzione della balcanizzazione di internet che, ricordiamo, è nata al WCIT del 2012, quando i fautori di una creazione di tante internet nazionali erano i russi e i cinesi, spinti soprattutto dall'esigenza, pensa un po', di evitare uno spionaggio da parte degli USA, sembra oggi sempre più vicina.
All'epoca gli americani accusarono questi tentativi nazionalistici, portando avanti la loro idea di un internet il meno regolamentato possibile, a mezzo di accordi paritari tra aziende private che si occupano di internet. Anche allora non era tanto un approccio disinteressato per il bene di internet quanto piuttosto una difesa degli interessi commerciali di parte. La delegazione USA, composta da oltre 120 membri (tra i quali esponenti di Facebook, Google, ecc…), col richiamo ad un internet “libero e aperto” in realtà sosteneva le imprese tecnologiche americane i cui profitti dipendono ampiamente dalla rete e dallo sfruttamento il più vasto possibile dei dati degli utenti. E non solo, come poi è emerso chiaramente quella difesa era anche per l'orecchio privilegiato che il governo USA, tramite le suddette aziende, poteva poggiare sulla rete globale.

Il punto è che gli USA hanno una posizione di supremazia su internet, perché le aziende americane di fatto controllano le infrastrutture, anche perché, bisogna dirlo, hanno compreso per primi l'importanza (anche economica) di questo nuovo mezzo tecnologico, mentre altri paesi se ne disinteressavano (es. Europa).

È quindi comprensibile che gli Usa fin dal primo momento abbiano criticato la riforma europea in materia di tutela dei dati personali, nonché le posizioni della Germania, svolgendo attività lobbistica per depotenziarla, e oggi moltiplichino i loro sforzi per paventare come l'accoglimento del ricorso di Schrems potrebbe danneggiare gravemente internet e isolare l'Europa. Il rappresentante Usa per il commercio (USTR) spiega che in un libero mercato è il consumatore che deve scegliere il prodotto, per cui limitazioni protezionistiche imposte dai governi andrebbero a scapito della concorrenza, così paventando un ricorso al WTO.
Stiamo parlando di un mercato da circa 180 miliardi di euro, interrompere il flusso verso gli USA da un lato darebbe l'avvio ad un mercato del cloud europeo, dall'altro costringerebbe i giganti americani ad investire milioni per infrastrutture sul suolo europeo.

Questo il quadro politico ed economico all'interno del quale si incastonerà la decisione del 6 ottobre. Anche se, ovviamente, la Corte di Lussemburgo non è chiamata a decidere sulla legittimità del sistema PRISM, né potrebbe farlo, e neppure sulle azioni delle aziende tecnologiche americane, ma è evidente che questa decisione influirà politicamente sulla riforma della normativa in materia di tutela dei dati personali in preparazione, nonché sui rapporti commerciali e diplomatici tra UE e gli Usa, compreso le negoziazioni per il trattato transatlantico (TTIP).
Non si tratta di consentire ad un'autorità di vigilanza nazionale di chiudere il flusso dei dati verso gli USA,questione anacronistica all'epoca di una rete globale, quanto piuttosto di stabilire se un Garante nazionale ha il diritto di valutare le modalità di attuazione dell'accordo con gli USA da parte delle aziende, e quindi, in ultima analisi, se un cittadino europeo ha un giudice, o un'autorità, cui rivolgersi in caso di violazioni della propria privacy. Diversamente noi europei non potremmo fare altro che fidarci, tra l'altro sulla base dell'autocertificazione di un'azienda di rispettare un accordo pure molto risalente nel tempo, senza alcuna possibilità di tutela.

Il DPA irlandese, invece, rigettò il ricorso di Schrems perché, a suo parere, il Safe Harbor impedisce ulteriori discussioni sul tema.

 

Chiuderà Facebook?

Ma cosa potrebbe accadere a seguito di un eventuale accoglimento del ricorso di Schrems?
Il funzionamento dei servizi online forniti da aziende USA sarebbe salvo specialmente per quelle che hanno server in Europa (come Facebook in Irlanda, ma anche Twitter che probabilmente in previsioni di decisioni di questi tipo ha trasferito i dati degli europei su server in Irlanda), ma anche gli altri servizi difficilmente subirebbero contraccolpi. Esistono altri accordi giuridici per il trasferimento dei dati al di fuori dell'UE, per cui l'impatto sul funzionamento dei servizi online sarebbe davvero minimale. L'impatto economico a carico delle aziende sarebbe più rilevante, ma soprattutto l'impatto politico sarebbe estremamente forte: le aziende americane non potrebbero portare i dati degli europei negli Usa e quindi il governo americano non vi avrebbe più accesso.
L'altra faccia della medaglia sarebbe che il trasferimento dei dati potrebbe essere consentito da alcuni Garanti nazionali e vietato da altri, con ovvie difficoltà da parte delle aziende a rapportarsi con tante regolamentazioni diverse. Sotto questo aspetto occorrerebbe sicuramente una raccordo a livello europeo, previsto, tra l'altro, con la riforma sulla Data Protecion tramite il principio del "one stop shop".

Iscriviti alla nostra Newsletter


Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.

La decisione del 6 ottobre, comunque, appare l'ultima spiaggia per ricostruire un rapporto di fiducia tra Usa e Unione europea ormai incrinato da tempo. L'Unione già nel 2013 inviò al governo americano una lista di 13 modifiche legislative che avrebbero ricostruito la fiducia negli Usa in relazione al trattamento dei dati degli europei. A quella richiesta non è seguito alcun impegno concreto.
L'approvazione della riforma europea in materia di tutela dei dati personali renderebbe l'accordo Safe Harbor sostanzialmente inutile, in quanto la riforma prevede che un'azienda debba applicare al cittadino europeo le regole dell'Unione e non necessariamente ottemperare alle richieste dei tribunali locali (art. 43A definita clausola anti-FISA). Ma quella riforma è ancora lontana. Le promesse del governo americano ormai non bastano più, occorre qualcosa di più concreto.

Forse però è vero che la risposta tedesca appare la soluzione sbagliata, che porterebbe ad una frammentazione della rete internet, realizzando in rete la nuova cortina di ferro.
Probabilmente il mezzo migliore sarebbe incentivare misure di protezione online, come la cifratura delle comunicazioni. Il problema è che le misure di protezione tecnologiche tese ad impedire lo spionaggio Usa, poi impedirebbero anche ai governi europei di monitorare i propri cittadini. E questo per alcuni appare un problema.

(Foto copertina FB > Getty Images/Stocktrek images)

Segnala un errore