Il dibattito sullo scandalo Prism, poi declassato a semplice gossip estivo dalle istituzioni americane e inglesi che ne hanno decretato la piena legalità, sembra ormai sopito. Non ha ottenuto, nonostante le premesse, quella risposta dell'opinione pubblica che qualcuno forse sperava.
Anche le istituzioni europee, dopo un primo momento di indignazione culminato in una lettera di fuoco inviata dal Commissario Reding al Procuratore americano Holder con annessa richiesta di informazioni sul trattamento dei dati di cittadini europei, sembrano essersi acquietate.
Uno dei motivi di fondo è, ovviamente, l'esistenza di negoziati in corso tra Usa ed Europa, il trattato TAFTA, ora TTIP. Il rispetto dei diritti fondamentali dei cittadini europei, come puntualizzato dalla Reding, diventa quindi fondamentale per mantenere la fiducia tra le parti sedute allo stesso tavolo di trattative.

Le ripercussioni si sono però viste anche su altri tavoli, sui quali invece, non giocavano, almeno non direttamente, gli Usa. Parliamo della riforma europea della privacy, in discussione dal 2012 e ormai soggetta ad un fuoco di sbarramento da parte delle lobby, principalmente americane, che ne stanno strappando pezzi dopo pezzi, ritardandone l'entrata in vigore (ormai fissata per il 2016).
E c'è anche da rimarcare, come al solito, una perdurante scarsa trasparenza da parte della Commissione europea, per cui le informazioni in merito vengono diffuse con notevole ritardo. Quando vengono diffuse.

La riforma in questione parte come Regolamento - che entra in vigore immediatamente per tutti gli Stati europei senza necessità di leggi di attuazione - ma dopo Prism la Gran Bretagna, la quale  partecipa a Prism dal 2010 con il programma Tempora, ha chiesto di modificarne l'impianto trasformandolo in Direttiva. Ciò vuol dire che la normativa entrerà in vigore solo dopo una legge di attuazione che entro certi limiti può modificare le norme.

Il Ministro alla Giustizia Grayling ha sostenuto che le imprese devono essere protette dall'eccesso di burocrazia e da questo draconiano Regolamento.

L'ultimo esempio è risalente nel tempo, ma se ne è avuta notizia solo un anno dopo, nel giugno del 2013. Il Washington Post e il Financial Times rivelano che gli Usa hanno ottenuto l'eliminazione di norme della riforma che avrebbero impedito il funzionamento di Prism così come opera adesso. Si tratta in particolare dell'art. 42 della riforma in preparazione, che è stato emendato.

Dopo lo scandalo Prism alcuni membri del Parlamento europeo hanno anche proposto di reinserire l'articolo:

No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State.

Nel suo complesso l'articolo 42 vietava ai titolari del trattamento (i cosiddetti controller, cioè le aziende come Google, Facebook, ecc..., che avendo sede europea in Irlanda sono soggette alla normativa irlandese ed europea) il trasferimento (come potrebbe essere quello usato dalla National Security Agency nell'ambito del programma Prism) di dati personali verso un Paese terzo (rispetto all'Unione europea) a seguito di richiesta di autorità giudiziarie o amministrative, a meno che tale trasferimento non sia autorizzato da un accordo internazionale o da trattati di mutua assistenza giudiziaria o approvato da un'autorità di vigilanza.

Il punto è che esistono canali ufficiali di assistenza giudiziaria tra Usa e UE, per cui non sono ammissibili accessi diretti ai dati dei cittadini europei saltando la trafila legale. Di fatto l'art. 42 mette fuori legge Prism in Europa.

Però, dopo ripetute visite di alti funzionari americani a Bruxelles, tra cui Cameron Kerry, avvocato del dipartimento del commercio e fratello del segretario di stato Usa John Kerry, l'articolo in questione è stato emendato in modo da consentire i suddetti trasferimenti. La scusa ufficiale era che l'impatto dell'articolo in ultima analisi sarebbe stato limitato visto che i server delle grandi aziende sono dislocati negli Usa.

L'Unione europea, quindi, nel tempo ha ceduto sul trasferimento di dati finanziari verso gli Stati Uniti, ha approvato l'accordo con gli Usa sul trasferimento dei dati dei passeggeri aerei (PNR directive), e infine ha ceduto anche su Prism.

Appare abbastanza ovvio che la Commissione europea soffra di subalternità agli americani, tendendo ad acconsentire ad ogni loro richiesta, finendo per annacquare le normative europee in preparazione. La riforma privacy europea a questo punto si presenta, sotto alcuni aspetti, anche meno tutelante per i cittadini rispetto alla direttiva Privacy del 1995.

Quanto sia grave tutto ciò appare di solare evidenza. Mentre gli Usa non hanno un effettivo quadro normativo in materia di privacy, cosa che comporta fatalmente delle violazioni da parte della grandi aziende e non solo, l'Europa lo ha, e avrebbe potuto sfruttare tale differenza. Lo scandalo Prism poteva essere l'occasione buona per imporre uno standard di tutela della privacy a livello mondiale, standard il cui rispetto, in un settore, quello del cloud computing, che vale 45 miliardi di euro entro il 2020 e ben 4 milioni di posti di lavoro, poteva diventare un vantaggio competitivo per le aziende europee rispetto a quelle americane, laddove queste ultime non possono garantire uno standard di sicurezza adeguato essendo soggette all'indiscriminato saccheggio di dati del programma Prism.

Purtroppo, la Commissione europea appare incerta, e quindi incapace non solo di portare avanti una normativa adeguata alle nuove tecnologie e in grado di garantire l'effettiva tutela dei cittadini, ma anche di avvantaggiare le aziende europee che, a costo di minori guadagni, operano con maggiore rispetto degli utenti-cittadini europei.

La delicatezza del momento è sottolineato da una recente decisione del Garante per la privacy tedesco, il quale ha formalmente chiesto alla Commissione europea di valutare la sospensione dell'accordo Safe Harbor con gli Stati Uniti. Ricordiamo che in considerazione del fatto che le norme americane in materia non garantiscono uguale protezione rispetto a quelle dell'Unione europea, nel 2000 è stato approvato il cosiddetto Safe Harbor, un accordo che consente alle aziende americane il trattamento dei dati dei cittadini europei.