Congratulations, @MaxSchrems. You've changed the world for the better. http://t.co/HmGpRq5Dgt pic.twitter.com/rTLYHhvmoY

— Edward Snowden (@Snowden) 6 Ottobre 2015

Cosa ha detto la Corte europea

La Corte di Giustizia europea (articolo di Carola Frediani su La Stampa) ha posto un nuovo mattone nel muro che sta faticosamente erigendo, insieme al Parlamento europeo, per la tutela dei diritti dei cittadini.
Ancora una volta l'Europa mostra di essere costituita sul rispetto dei diritti fondamentali degli individui e di credere fermamente nella necessità della tutela effettiva e concreta di tali diritti.
Così come nell'aprile del 2014 la Corte ha invalidato la direttiva sulla Data Retention, con la decisione del 6 ottobre la Corte ha invalidato anche il Safe Harbor.

Già abbiamo scritto di come si è arrivati alla decisione della Corte, e del quadro nel quale detta decisione si inserisce (articolo di Fabio Chiusi sulle conseguenze della decisione).
Mentre il Garante irlandese aveva respinto il ricorso di Schrems, giudicandolo “frivolo e vessatorio”, la Corte europea lo ha ritenuto fondato, sancendo che in presenza di una denuncia circostanziata di un cittadino il Garante nazionale non può far finta di nulla e ritenersi soddisfatto dall'adesione formale dell'azienda al Safe Harbor, ma deve indagare in concreto se i diritti fondamentali sono lesi o meno.

Ma la Corte va ben oltre, invalidando lo stesso Safe Harbor. Il Safe Harbor era di per sé un compromesso (The Register lo definisce “accordo foglia di fico”), l'Europa temeva che le aziende americane avessero potuto prendere i dati degli europei, portarli fuori dagli Usa e farci quello che volevano, quindi chiesero degli accordi per garantirne la tutela che mai si realizzarono, e alla fine la Commissione se ne uscì con la Decisione (che non è un accordo) del Safe Harbor, in sostanza una versione annacquata della normativa europea. Bastava la semplice adesione al Safe Harbor per essere ritenuti rispettosi delle regole europee.

Con la Decisione del 2000 la Commissione europea di fatto ha, però, impedito alle autorità di garanzia europee di intervenire a tutela dei diritti dei cittadini europei, e ciò in violazione dell'articolo 28 della direttiva europea 95/46. Questo perché col trasferimento dei dati negli Usa un cittadino europeo non ha alcuna possibilità di ricorso legale per far valere i propri diritti contro l'Nsa o le agenzia di sicurezza. Infatti l'FTC e le agenzie private per la risoluzione delle controversie hanno competenza solo sulle questioni commerciali e quindi contro le aziende. Il cittadino europeo, quindi, non ha alcun giudice a cui rivolgersi. È tutto qui il succo della sentenza della CGUE.

A questo proposito occorre rimarcare il differente approccio tra Usa e UE alla protezione dei dati personali. Negli Usa non esiste un'autorità che si occupi di tutelare la privacy degli utenti, ma tale compito è affidato alla Federal Trade Commission, la Commissione per il Commercio, perché la privacy è considerata solo una limitazione alla libertà di commercio, e quindi va tutelata solo entro certi limiti, a differenza dell'Europa. Mentre negli Usa la raccolta dei dati è ammissibile quasi senza limiti, laddove la tutela si appunta sulla fase successiva dell'utilizzo dei dati, impedendo appunto usi illeciti o eccessivi degli stessi, in Europa la tutela è anticipata e la normativa regolamenta già la raccolta impedendola nei casi in cui essa sia eccessiva e sproporzionata rispetto allo scopi per i quali viene effettuata.
Ciò implica che le aziende americane nel momento in cui asseriscono di non realizzare alcuna sorveglianza di massa, di fatto dicono il vero in base alla normativa Usa, in quanto la semplice raccolta (storage, making available) è per loro ammissibile quasi senza restrizioni. Ma tale azione, invece, è regolamentata dalla normativa europea e quindi può costituire una violazione.

Tornando alla sentenza, la Corte europea conclude sostenendo che nell'adottare l'articolo 3 della Decisione 2000/520 (cioè il Safe Harbor) la Commissione ha ecceduto i poteri conferitigli dalla Direttiva 95/46, per cui, essendo gli articoli del Safe Harbor interconnessi, l'intero accordo deve essere ritenuto invalido. La sentenza della Corte appare, quindi, anche uno schiaffo alla Commissione europea che per oltre un anno ha ignorato le istanze del Parlamento europeo in merito alla sospensione del Safe Harbor a fini di sicurezza nazionale.

US NSA: stop mass surveillance now or face consequences, MEPs say

In breve la Corte europea sancisce che un monitoraggio dei dati dei cittadini europei senza limiti, che non sia mirato e collegato a situazioni ben specifiche, ad esempio indizi di reato, deve ritenersi incompatibile col diritto primario dell'Unione europea. Per come è attualmente strutturata la sorveglianza degli Usa essa è sicuramente in contrasto con la normativa europea, perché, per quanto si sa, essa si attua in relazione sì a persone specifiche, ma si allarga alla cerchia dei contatti e delle relazioni senza alcuna effettiva giustificazione, e in maniera esponenziale. Di fatto è una raccolta indiscriminata (vacuum cleaner dicono negli Usa).
Poiché a seguito del trasferimento negli Usa i dati degli europei sono accessibili indiscriminatamente da parte delle autorità americane, e a tale accesso non è offerto alcun tipo di ricorso legale, quel trasferimento deve ritenersi illegittimo.

Si tratta, in buona sostanza, degli stessi principi già asseriti in precedenti decisioni (sentenze 24 novembre 2011 e 16 febbraio 2012), e sopratutto nell'invalidare la Direttiva sulla Data Retention.

This judgment draws a clear line. It clarifies that mass surveillance violates our fundamental rights (Max Schrems)

Cosa accade adesso

I Garanti nazionali riacquistano il potere di verificare caso per caso i trasferimenti, nel momento in cui un cittadino europeo si rivolga loro.
La verifica andrà fatto in concreto, ed è ovvio che l'azienda dovrà provare di rispettare gli standard di tutela non potendo più trincerarsi dietro l'adesione al Safe Harbor. Ma è evidente, e lo ha sottolineato nella sua decisione la Corte, che se l'azienda consente l'accesso indiscriminato dei dati alle autorità americane, di fatto non rispetta gli standard di tutela dei dati.

In realtà ben poco dovrebbe cambiare, almeno nel breve periodo, perché comunque occorre che qualcuno si rivolga ad un Garante perché si abbia una valutazione del caso singolo. Ma è ovvio che sul lungo periodo le aziende americane dovranno modificare le regole del trattamento dei dati, laddove l'opzione preferibile in quanto più sicura è di mantenere i dati degli europei sul suolo europeo (come del resto già fanno i big di internet come Google, Facebook, Twitter, Microsoft, ecc… ).

Si paventa che vi potrebbero essere differenze nella gestione da parte delle autorità nazionali. Infatti l'autorità del Regno Unito è generalmente più attenta alle esigenze economiche delle aziende, e quindi potrà negoziare tempi per l'adeguamento, mentre invece il Garante tedesco, solitamente intransigente nei confronti delle lesioni dei diritti dei cittadini tedeschi, potrebbe avere un atteggiamento diverso.
Ma anche qui non occorre essere allarmistici, poiché la quasi totalità delle aziende americane risiede in Irlanda, e quindi il Garante irlandese si occuperà della maggior parte dei ricorsi. La DPA ha già annunciato che cercherà di decidere di concerto con le altre autorità nazionali.

In tale prospettiva occorre ricordare che la riforma della normativa sulla Data Protection, che è in discussione da tempo, bloccata dall'attività lobbistica delle aziende e dell'amministrazione americana, risolverebbe facilmente il problema col principio del “one stop shop”, cioè le aziende avranno a che fare solo con l’autorità di protezione dei dati del paese in cui hanno la sede principale, piuttosto che con le 28 autorità degli Stati nei quali operano, così apportando certezza legale nelle decisioni e maggiore efficienza.
Ed è, occorre sottolinearlo, una norma voluta a tutela delle aziende. Infatti i reclami di un cittadino di uno Stato europeo non saranno gestiti dall’autorità del paese ove risiede il cittadino, alimentando così l’immagine di una Unione europea burocratica e lontana dai cittadini. In effetti la distanza e la differenza di lingua potranno costituire barriere importanti che scoraggerebbero i cittadini dal presentare reclami, e quindi ottenere tutela.
Non dimentichiamo che tutta questa vicenda nasce da un ricorso dell'austriaco Max Schrems, che ha dovuto presentare i suoi reclami all'autorità dell'Irlanda (e non a quella austriaca).

La decisione della Corte, inoltre, riguarda i soli casi di outsourcing, cioè il trasferimento di dati tra aziende nell'Unione a quelle negli Usa, ma non altre forme di trasferimento come invio di mail verso gli Usa, ordini verso aziende Usa, ecc…, coperte da consenso del titolare dei dati. In tal senso già stanno partendo le prime mail verso gli utenti business per avvertirli della modifica delle policy, per integrare un nuovo consenso. Le aziende potranno, quindi, utilizzare le cosiddette model clauses, cioè contratti standard elaborati direttamente dalla Commissione per l'outsourcing, che solo in alcuni paesi (Francia e Paesi Bassi) richiedono l'autorizzazione del Garante nazionale. Salesforce si è già mossa in questo senso.
Infine è importante considerare che il Safe Harbor era richiamato dall'art. 25 della Direttiva 95/46, e garantiva una gestione dei dati privilegiata rispetto ad altri accordi di trasferimento dei dati legittimati dall'art. 26 della direttiva 95/46, il quale articolo pure autorizza il trasferimento ma con alcune limitazioni. C'è da evidenziare che moltissime aziende agiscono proprio in base all'art. 26, e già da tempo i consulenti suggeriscono di passare sotto la copertura dell'art. 26. Anche in questo caso, però, l'azienda dovrà dimostrare che i dati non vengono assoggettati alla sorveglianza dell'Nsa.

Insomma, la sentenza della Corte europea non dovrebbe avere alcuna conseguenza negativa sul funzionamento dei servizi online. Occorre però rimarcare che le aziende americane hanno goduto per anni di un regime privilegiato nell'accesso ai dati degli europei, sostanzialmente senza controllo alcuno, e quando è emerso lo scandalo delle intercettazioni dell'NSA, a fronte di un forte richiamo da parte del Parlamento e del Consiglio europeo a rinegoziare gli accordi con gli Usa, non solo l'amministrazione americana ha fatto orecchie da mercante (mentre nel frattempo le lobby sponsorizzavano articoli catastrofisti che accusavano l'Europa di nazionalismo, isolazionismo e di voler distruggere l'economia digitale), ma nessun reale ed effettivo passo in avanti è mai venuto dagli Usa.
La Commissione europea ha anche provato ad avviare un dialogo per aggiornare il Safe Harbor, purtroppo senza successo per l'inerzia degli americani, ma evidentemente il timore di danneggiare l'economia delle aziende americane ha frenato le iniziative in merito.

In tale prospettiva si è anche adombrato il fatto che la sentenza della CGUE danneggerebbe l'economia europea, eliminando le semplificazioni che sarebbero applicate anche alle aziende europee. In realtà le aziende europee sono soggette alla normativa europea, e non al Safe Harbor, quindi devono rispettare standard superiori rispetto alle aziende americane che si avvalgono della delega in bianco del Safe Harbor. Questa sentenza, invece, rimette tutti sullo stesso piano, aziende europee e americane adesso dovranno rispettare tutte gli stessi standard, e ciò consentirà una maggiore competizione tra le aziende.
Anzi, paradossalmente la sentenza della Corte finisce per essere un forte stimolo per l'innovazione e la competizione in Europa, alimentando il settore del cloud europeo, fino ad oggi schiacciato dalle aziende Usa che potevano, appunto, avvantaggiarsi di minori oneri burocratici e quindi minori costi.

È però augurabile un nuovo accordo tra gli Usa e la Commissione europea, fermo restando che dovrà rientrare nei paletti fissati dalla Corte europea. Un accordo che ammettesse l'accesso indiscriminato delle autorità americane ai dati degli europei non potrebbe mai ritenersi legittimo.
Gli Usa e l'Unione hanno da poco concluso i negoziati per un accordo di trasferimento diretto dei dati tra autorità (che però non copre il trasferimento di dati a fini commerciali e tra aziende), l'Umbrella Agreement, che attende solo di essere firmato. Quindi c'è la possibilità di realizzare nuovi accordi anche sul piano commerciale, ma finora gli Usa si sono sempre tirati indietro, costringendo l'Europa alle misure estreme, come avvertì nel 2013 il Commissario europeo Reding.

Adesso probabilmente saranno le stesse aziende americane, che da tempo criticano la normativa che consente all'Nsa di accedere ai loro dati sostenendo che tale normativa fa perdere fiducia ai clienti e quindi soldi a loro, a chiedere all'amministrazione Usa di mettersi a tavolino per una discussione che parta dalla necessità di una più efficace tutela dei diritti dei cittadini che non possono essere cancellati per questioni di sicurezza.