Ventisei gennaio 2016, nei corridoi di Palazzo Berlaymont la tensione è ormai tangibile, la si respira nei corridoi. Dalla Silicon Valley migliaia di aziende invocano risposte certe per poter continuare il loro lavoro, l’attività di lobbying è decuplicata, alcuni funzionari americani ormai stazionano costantemente nell'edificio. I tedeschi, però, ipersensibili alle violazioni dei diritti, non recedono dalle loro posizioni.

La telefonata tra il Commissario alla Giustizia e l’omologo americano non ha dato alcun frutto, gli Usa non possono offrire le garanzie che l’Europa vuole. La Commissione Libertà Civili ha ascoltato il rapporto sullo stato di avanzamento dei negoziati con gli Usa in gelido silenzio. I nodi da sciogliere sono ancora troppi, in primo luogo l’effettiva tutela dei cittadini. L’incontro termina alle 21. A questo punto non sembra esserci altro spazio di manovra. La scadenza del 31 gennaio è ormai prossima.

È ormai notte inoltrata quando arriva una telefonata. È il segretario di Stato americano. John Kerry.

Scadenze

Continuano le brutte notizie per Facebook, ma anche in generale per tutte le aziende americane. A partire dalle rivelazioni di Snowden gli accordi Usa-UE per il trasferimento di dati verso gli Usa sono stati oggetti di critiche sempre più dure man mano che venivano fuori ulteriori particolari sulle attività dell'agenzia americana NSA (National Security Agency). Poi, ad ottobre del 2015, la Corte di Giustizia europea ha ribaltato il tavolo, con l'invalidazione del Safe Harbor, l'accordo tra UE e Stati Uniti che consentiva alle imprese americane di conservare i dati personali degli utenti europei. A quel punto è iniziata una corsa contro il tempo per raggiungere un nuovo accordo tra Usa e Unione europea al fine di impedire il blocco del trasferimento dei dati dei cittadini europei verso gli Usa, blocco che avrebbe conseguenze importanti per tutte le aziende americane.

If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions (comunicato WP29)

Il 31 gennaio scadeva il termine fissato dal Gruppo Articolo 29, oltre il quale le autorità di controllo europee avrebbero avuto carta bianca anche per bloccare i flussi trasnazionali dei dati, ma il 2 febbraio, quindi già a tempo scaduto, la Commissione europea annuncia la nascita del Privacy Shield, accordo che andrebbe a sostituire il Safe Harbor garantendo la continuità del business degli statunitensi.

In realtà, il Privacy Shield si presenta come una sconfitta per i negoziatori europei che di fatto accettano le condizioni degli americani, i quali sostanzialmente non si sono mossi dalle loro posizioni. Non dimentichiamo che stiamo parlando, infatti, del trattamento dei dati dei cittadini europei.
Cosa era accaduto? Era intervenuto addirittura il segretario di Stato americano, John Kerry, per sbloccare la situazione in fase di stallo. Ma la questione è tutt’altro che risolta.

Il nascente Privacy Shield riceve le prime critiche dai Garanti europei, con le autorità tedesche in prima linea nel contestare alle aziende americane le reiterate violazioni della privacy. E il Gruppo Articolo 29 ribadisce le perplessità. Secondo i dettami del Working Party europeo occorrono 4 requisiti perché il trattamento sia legittimo:

1. Deve essere basato su regole chiare, precise e riconoscibili;
2. La necessità e la proporzionalità relativamente ai legittimi obiettivi perseguiti deve essere dimostrata;
3. Occorre un ente indipendente, efficace e imparziale, per il controllo del trattamento;
4. Occorrono rimedi effettivi che consentano agli individui di tutelare i propri diritti dinanzi all’organismo indipendente.

Qual è, quindi, il vero problema?

EU-US #PrivacyShield needs further improvements, #EPlenary says. Press release: https://t.co/7dcbFZMQ8y

— LIBE Committee Press (@EP_Justice) 26 maggio 2016

(un)Safe Harbor

Facciamo un passo indietro. È il settembre del 2011, quando lo studente austriaco Maximilian Schrems chiede a Facebook l'ostensione dei suoi dati che il social in blu mantiene e tratta. In base alla normativa europea invia una richiesta all’azienda. In prima battuta Facebook rifiuta la completa ostensione dei dati perché considerati: “trade secret or intellectual property of Facebook Ireland Limited or its licensors” (stiamo parlando di dati, informazioni e immagini inserite da Schrems). Schrems insiste, e finalmente riceve tutti i suoi dati: in un compact disk sono stipati dati per l'equivalente di 1200 pagine in formato A4. Secondo Schrems alcuni di quei dati non dovevano nemmeno più essere nella disponibilità di Facebook, essendo da lui stati cancellati.
Insomma, una massiccia violazione delle norme europee in materia di privay.

Schrems presenta una serie di ricorsi al Garante irlandese, competente in relazione alla sede europea di Facebook, il quale rigetta definendo il ricorso "frivolo e vessatorio". Ma Schrems non si perde d’animo e impugna dinanzi all’autorità giudiziaria. Ed è questa che deferisce il caso alla Corte di Giustizia europea, che poi con la sentenza dell’ottobre del 2015 invalida il Safe Harbor.

E quali sono le motivazioni? In breve, la Corte europea stabilisce che il monitoraggio indiscriminato e generalizzato dei dati dei cittadini europei è incompatibile col diritto primario dell’Unione europea e, poiché a seguito del trasferimento negli Usa i dati degli europei sono accessibili da parte delle autorità americane (anche se la CGUE non ha giurisdizione sulle autorità di sicurezza), e a tale accesso non è offerto alcun tipo di ricorso legale, quel trasferimento deve ritenersi illegittimo.

Dopo l’invalidazione del Safe Harbor, Facebook Ireland Ltd ha continuato a trasferire i dati degli europei negli Stati Uniti, dove sono soggetti a raccolta indiscriminata (bulk collection) da parte delle agenzie di sicurezza, utilizzando al posto del Safe Harbor le “model clauses”, che consentono il trasferimento in base ad accordi tra Facebook Ireland e Facebook Usa.

Model clauses

La normativa europea, infatti, consente il trasferimento di dati verso paesi terzi che non garantiscono un adeguato livello di protezione dei dati (come gli Usa), se il titolare del trattamento (cioè Facebook Ireland) dimostra di avere una base giuridica per il trasferimento e la presenza di misure atte a garantire un'adeguata tutela dei dati presso il destinatario. La stessa Commissione europea, con l’ausilio del Gruppo Articolo 29, ha elaborato dei modelli di clausole standard, anche se le aziende possono redigerne ad hoc purché abbiano un contenuto minimo previsto dalla Commissione.

L'esportatore dei dati deve, quindi, incorporare tali clausole nel contratto per il trasferimento dei dati, e con esse garantisce che nel paese di destinazione i dati saranno trattati conformemente ai principi stabiliti dalla normativa europea. Le clausole in questione devono prevedere la possibilità per i cittadini interessati di esercitare i propri diritti e tutelarli anche nei confronti del soggetto ricevente i dati.

Nelle model clauses utilizzate da Facebook (se ne può trovare copia sul sito Europe vs Facebook di Max Schrems), tuttavia, non esiste alcune effettivo mezzo di ricorso per i cittadini europei.

Nei giorni scorsi, a seguito della decisione della Corte di Giustizia europea, è ripreso il procedimento dinanzi all’autorità di garanzia dell’Irlanda contro Facebook. L’autorità di controllo irlandese ha, infine, deferito il giudizio alla Corte di Giustizia europea, che dovrà determinare lo status giuridico dei trasferimenti dei dati in base alle model clauses.

Il punto è che, qualsiasi sia lo strumento utilizzato dalle aziende per il trasferimento dei dati (Safe Harbor, Privacy Shield, model clauses, o altro), la legislazione Usa rimane sempre la stessa. E tale legislazione prevede poteri di sorveglianza che sono semplicemente incompatibili con le norme europee. Quindi, a prescindere dallo strumento utilizzato, qualsiasi trasferimento di dati negli Usa non può che essere considerato illegittimo perché in violazione dell’articolo 28 della direttiva europea 95/46, perché nessuna azienda americana può realmente garantire che il trattamento dei dati negli Usa avverrà in maniera tale da fornire una tutela adeguata ai cittadini europei. Il cittadino europeo non ha alcun giudice a cui rivolgersi.

.@Europarl_EN confirms #PrivacyShield inadequacy, but incomprehensibly rejects sunset clause https://t.co/h9XxBhMtY5 pic.twitter.com/WDFADiHqnI

— EDRi (@edri) 26 maggio 2016

Scudo bucato

La situazione non dovrebbe essere diversa nel caso di attuazione del Privacy Shield. Anche detto strumento, infatti, presenta varie non conformità col diritto primario dell’Unione.
Ad esempio, mentre la normativa europea trova quale suo pilastro la finalità del trattamento, che deve essere specifica, il Privacy Shield autorizza trattamenti senza alcun motivo specifico (ad esempio Facebook precisa di usare le informazioni per fornire e supportare i suoi servizi).

Il Privacy Shield non limita la raccolta indiscriminata (bulk) dei dati (che negli Usa non è considerato trattamento), ma solo l’utilizzo dei dati, permesso per motivi estremamente generici (es. cyberminacce, minacce alle forze armate Usa...).
Sopratutto, il Privacy Shield realizza un sistema di tutela dei diritti dei cittadini europei (rettifica, cancellazione dei dati) che appare decisamente limitato rispetto agli americani (la Costituzione americana si applica solo ai cittadini americani) e che per la sua complessità sembra voler rendere troppo difficile per gli europei ottenere effettiva tutela. L’ombudsman, cioè Catherine Novelli, figura creata proprio per superare le critiche dei Garanti europei, manca di indipendenza rispetto all’esecutivo Usa.

Tutto ciò è stata confermato in sede di approvazione di una risoluzione non legislativa, con la quale il 26 maggio il Parlamento europeo ha chiesto alla Commissione di proseguire i negoziati con gli Usa per porre rimedio alle carenze del Privacy Shield.

Le preoccupazioni si focalizzano, appunto:

• Sull’accesso delle autorità pubbliche Usa ai dati trasferiti.
• Sulla possibilità di raccolta indiscriminata dei dati non conforme ai criteri di necessità e proporzionalità.
• Sul ruolo del mediatore giudicato non sufficientemente indipendente.
• Sulla complessità dei meccanismi di ricorsa ritenuti né efficaci né semplici.

È vero che una simile risoluzione fu adottata nel 2000 in relazione al Safe Harbor e la Commissione l’ha disattesa per 15 anni, ma è difficile credere che questa volta la Commissione possa procedere quando già si sa che una decisione della Corte suprema europea è imminente.

Incertezze

Non si tratta, ovviamente, di un problema che riguarda solo Facebook, ma tutte le aziende americane (Google, Apple, Microsoft), le quali adesso agiscono in base alle model clauses, e in futuro, quando sarà applicato, dovrebbero agire in base al Privacy Shield.
Cosa accadrà se anche le model clauses verranno considerate insufficienti? Tutte le aziende americane non potranno più trasferire dati negli Usa. Ciò non vuol dire che i loro servizi smetteranno di funzionare, tutte le aziende più grandi hanno già server farm in Europa, ma semplicemente i dati degli europei dovranno rimanere sul suolo europeo.

L’impatto economico per le aziende Usa sarà rilevante, dovendo predisporre trattamenti su suolo europeo, e le aziende più piccole potrebbero non essere in grado di far fronte ai costi. Inoltre sarebbe una secca sconfitta per il governo americano che si vedrebbe sottratto l’accesso privilegiato ai dati degli europei.
Di contro le aziende europee finalmente potrebbero concorrere alla pari con quelle americane, che fino ad ora avevano goduto di un regime privilegiato potendo disattendere alcune delle regole dell’Unione in materia di protezione dei dati personali, e lo stesso mercato europeo ricaverebbe indubbi vantaggi.

Insomma, l’Europa potrebbe, finalmente, imporre agli Usa una modifica delle loro norme in materia di privacy, così dettando uno standard internazionale più tutelante per i cittadini, che finirebbe per divenire un vantaggio competitivo per le aziende in regola. E se tutto ciò accadrà sarà in gran parte merito di Max Schrems, il Davide contro Golia della vicenda, che ha commentato la notizia in questo modo:

Questo è un problema molto serio per l'industria tecnologica degli Stati Uniti e Unione europea. Finché si applicano le norme Usa ai flussi di dati, la CGUE non potrà mai dire che un contratto sia valido, dopo aver invalidato il Safe Harbor in conseguenza delle leggi sulla sorveglianza degli Usa. Fin quando gli Usa non modificano le proprie norme non vedo nessun soluzione possibile.