Aggiornamento 3 agosto 2016: Il 12 luglio scorso la Commissione europea ha adottato il Privacy Shield, nonostante le critiche e le perplessità. Il primo agosto l'accordo è divenuto pienamente operativo. Le aziende americane possono già aderire al Privacy Shield attraverso il sito messo a disposizione dal Dipartimento del Commercio Usa, il quale Dipartimento si occuperà di verificare la conformità delle politiche aziendali ai principi del Privacy Shield.
La Commissione europea ha anche messo a disposizione una guida per i cittadini che spiega quali diritti essi hanno e come farli valere nei confronti delle aziende aderenti al Privacy Shield.

Si consiglia anche la lettura dell'articolo: USA vs Unione Europea, l'escalation della guerra dei dati

--------------------

(Un)Safe Harbor

Il 2 febbraio l'Unione Europea e gli Usa annunciano di aver raggiunto un accordo sul trasferimento dei dati tra UE e USA. La Commissione Europea e il Segretario al Commercio per il governo americano presentano il Privacy Shield che andrà a sostituire il Safe Harbour invalidato a seguito dell'importantissima sentenza della Corte di Giustizia Europea dell'ottobre del 2015, con la quale la Corte, in contrasto con la politica della Commissione, ha accolto il ricorso di Max Schrems contro il Garante irlandese e, in conseguenza della decisione, ha sostenuto che la Commissione europea nel 2000 ha ecceduto i poteri conferiti dalla Direttiva europea 95/46 adottando l'accordo Safe Harbour.

Il Safe Harbor (la dizione corretta è Safe Harbour, ma è comunemente accettata anche Safe Harbor) di fatto era già un compromesso quando nacque. L'Europa temeva che le aziende americane potessero sottrarre i dati degli europei portandoli negli Usa e trattandoli anche ben oltre i limiti fissati dalle leggi dell'Unione, con ciò non solo violando i diritti degli europei, ma nel contempo ottenendo un vantaggio commerciale rispetto alle aziende europee costrette a rispettare le norme dell'Unione. La Commissione con una decisione squisitamente politica decise di emanare una Decisione (il Safe Harbor non è un accordo nonostante si è detto diversamente) con la quale le aziende americane aderenti si impegnavano a rispettare una versione del tutto annacquata delle norme europee. In sostanza la semplice adesione alla Decisione, appunto il Safe Harbor, era ritenuta sufficiente indipendentemente dall'attuazione, visto che le violazioni (ad esempio le accuse reiterate a Facebook) del Safe Harbor si sono moltiplicate negli anni e che non esisteva alcuna effettiva possibilità di tutela per i cittadini europei contro tali violazioni da parte delle aziende americane.

In realtà l'assenza di tutela dipendeva proprio dall'esistenza del Safe Harbor, perché, come poi ha in effetti sostenuto il Garante irlandese nell'ambito della procedura relativa al ricorso di Max Schrems, la semplice esistenza della Decisione Safe Harbor e l'adesione di una azienda bloccava qualsiasi indagine di un Garante nazionale contro una azienda americana.
In realtà la Corte di Giustizia europea ha contestato questa prospettiva, ritenendo, appunto, che un Garante nazionale deve comunque verificare in concreto se l'azienda americana sta attuando correttamente la Decisione Safe Harbor. Sostenere diversamente è in violazione dell'articolo 28 della direttiva europea 95/46.
Insomma il succo della sentenza della CGUE è che il Safe Harbor ha sottratto ai cittadini europei qualsiasi possibilità di tutelare i propri diritti contro le aziende americane.

Sguinzagliamo i Garanti?

A seguito dell'invalidazione del Safe Harbor i Garanti nazionali hanno riacquistato (secondo la CGUE lo avevano anche prima) il potere di indagare sulle aziende americane per stabilire se queste violassero i diritti dei cittadini europei, ma stavolta non si tratta più di verificare se vi è una corretta attuazione della Decisione della Commissione, ma di un concreto rispetto delle norme europee. In tale prospettiva è piuttosto evidente che tutte le aziende americane si trovano a rischio, in quanto sono costrette, in base alla legislazione americana, a fornire i dati dei loro utenti alle agenzie di sicurezza americane (NSA in primis). Tale obbligo è in contrasto con le leggi europee, così come già stabilito dalla CGUE con le decisioni Sabam del 2011 e 2012 e soprattutto con l'annullamento della direttiva sulla Data Retention.

Successivamente il Gruppo di lavoro Article 29 ha emesso un comunicato col quale richiamava la necessità di una stretta applicazione della sentenza della Corte europea, valorizzando la necessità dell'apertura di un dialogo con gli Usa per la fissazione di regole comuni ma stavolta rispettose dei principi europei come interpretati dalla CGUE. Article 29 fissava il termine del 31 gennaio per concludere i negoziati per un nuovo accordo tra UE e USA, così di fatto sospendendo temporaneamente eventuali azioni dei Garanti nazionali, tra i quali alcuni (specialmente quello tedesco) letteralmente scalpitavano per avviare procedure di infrazione contro le multinazionali americane, ree di accaparrarsi vantaggi concorrenziali rispetto alle imprese europee.

Proprio dalla Germania, infatti, viene la proposta della realizzazione dello Schengen Cloud europeo con l'obiettivo di tenerne fuori dai confini dell'Unione sia le aziende americane che quelle dell'Inghilterra, considerata la quinta colonna degli Usa.

If by the end of January 2016, no appropriate solution is found with the US authorities and depending on the assessment of the transfer tools by the Working Party, EU data protection authorities are committed to take all necessary and appropriate actions, which may include coordinated enforcement actions (Article 29)

Nel corso dei negoziati (i quali in realtà sono iniziati ben prima, cioè da quando il Parlamento europeo ha accusato gli Usa di spionaggio, almeno 3 anni quindi), però, non si è visto alcun avvicinamento tra la posizione degli americani e quella europea. Gli americani si sono limitati ad un paio di lettere di intenti piene di promesse e niente più.

In the eyes of our citizens, the US is guilty of espionage and data theft. There is no confidence in these negotiators. As long as the Americans do not want to commit to protecting EU citizens' data and to respect us, there is no basis for a trade agreement (Helmut Scholz, membro del Parlamento europeo, durante le negoziazioni sul TTIP)

È per questo motivo che tutti gli esperti in materia erano sicuri che il termine concesso da Article 29 sarebbe scaduto senza alcun accordo e i Garanti nazionali avrebbero avviato le loro indagini.
Invece a tempo scaduto, il 2 febbraio, si è avuto l'inaspettato annuncio. Il Privacy Shield sostituirà il Safe Harbor così salvando i trasferimenti extra UE delle aziende americane.

Ma no, prendiamo tempo

Ma cosa è il Privacy Shield? Nonostante nell'annuncio si dice che le parti hanno concordato una nuova regolamentazione per i flussi transfrontalieri, in realtà non esiste alcun accordo giuridico, ma solo un accordo meramente politico. Visto che alla scadenza del termine gli Usa non hanno voluto concedere praticamente nulla, la Commissione europea prende per buona l'ultima posizione degli Usa e decide di utilizzarla per stendere un nuovo testo regolamentare. In breve la Commissione ha semplicemente preso tempo.

Il vicepresidente Ansip e il commissario Jourová sono stati incaricati di preparare un progetto da sottoporre al Gruppo Article 29 per una decisione di adeguatezza. Fermo restando che Article 29 potrebbe ben decidere che il testo non è adeguato, cioè non conforme alle norme europee e rigettare il progetto. Superato l'ostacolo di Article 29 il testo poi sarà portato dinanzi al Collegio per poi essere finalizzato.

Perciò il Privacy Shield non è altro che l'annuncio di qualcosa che ancora non esiste e che potrebbe non esistere mai. Ma, semmai verrà alla luce, è comunque una sonora sconfitta per l'Unione Europea, in particolare per la Commissione, che ancora una volta si rivela prona agli interessi commerciali degli Usa, e che non ha più alcuna leva nei confronti degli americani, i quali potranno tranquillamente imporre i loro interessi agli europei. Come potrebbe la Commissione abbandonare il tavolo delle trattative dopo aver già annunciato un accordo?

Il vero vincitore di questi negoziati sono gli americani che di fatto non si sono mossi dalle loro posizioni, limitandosi a vaghe promesse di non effettuare più alcuna sorveglianza di massa sui cittadini europei. Che poi era quello che avrebbero dovuto fare anche prima. E abbiamo visto come è andata.
Non è certo credibile che gli Usa recedano dalle loro posizioni dopo aver speso miliardi per creare un apparato di sorveglianza così complesso realizzando addirittura un nuovo data center a Bluffadale, in grado di contenere 12 exabyte di dati (poco meno di quanto può conservare Google). E soprattutto dopo aver approvato il CyberSecurity Act che prevede, appunto, la condivisione segreta di dati tra aziende e governo.

Mi occupo di fare ciò che è nel migliore interesse dell'America, non dell'Unione Europea (Cornyn, senatore Usa)

Per quanto riguarda l'accordo che verrà, la Commissione sostiene che introdurrà una tutela maggiore dei cittadini europei, e che le aziende americane che vorranno trattare dati degli europei dovranno impegnarsi ad obblighi robusti. Che poi è quello che già doveva accadere col Safe Harbor. Il Dipartimento del Commercio Usa controllerà le aziende americane, ed anche questo obbligo c'era anche prima. La novità sarebbe che la Federal Trade Commission americana potrà imporre alle aziende americane il rispetto delle decisioni dei Garanti europei. Ma ci si chiede fin dove potrà, semmai lo vorrà, spingersi la FTC considerato che ha giurisdizione solo su questioni commerciali e non sui diritti umani. In questa prospettiva, infatti, occorre sempre rimarcare che nell'ambito della legislazione americana il rispetto dalla privacy e la data protection sono semplici eccezioni alla libertà di commercio, e quindi hanno una tutela ben più limitata rispetto all'Europa.

Nelle lettere di intenti il governo Usa ha promesso il rispetto di obblighi di trasparenza, assicurando che l'accesso ai dati degli europei da parte delle agenzie e forze di polizia americane sarà soggetto a limitazioni, garanzie e procedure di controllo. Gli Usa escludono una sorveglianza di massa degli europei. Anche qui c'è da considerare le diversa prospettiva tra Usa e Ue.
In Europa la tutela da trattamenti illeciti è anticipata, nel senso che occorre il consenso anche solo per la raccolta dei dati, laddove negli Usa la tutela è limitata all'uso dei dati, quindi la raccolta può essere indiscriminata o quasi, laddove i limiti riguardano solo la fase successiva di utilizzo dei dati stessi. In questa prospettiva per gli americani una raccolta indiscriminata di dati non è sorveglianza di massa (perché non è un trattamento di dati), laddove di sorveglianza (e quindi di limiti ad essa) si parla solo nel momento dell'utilizzo  degli stessi. In questo senso i funzionari del governo americano hanno potuto sostenere tranquillamente dinanzi al Congresso (e anche in una nota in risposta alle accuse dell'Unione Europea) che l'NSA non fa sorveglianza di massa, ma si limita a raccogliere dati che mette da parte e non legge, se non in casi specifici quando incombono motivi di sicurezza e tutela dell'ordine pubblico. Per loro questa è sorveglianza mirata. Appare evidente che la promessa degli Usa alla Commissione è quindi ben poco rassicurante.

Altra novità è la realizzazione di una commissione congiunta di esperti Usa e Ue per una revisione annuale delle politiche di trattamento e tutela dei dati, in special modo relativamente alla sicurezza nazionale. Un buon momento per convincere gli europei che le politiche americane funzionano meglio. Negli ultimi anni l'Europa non solo ha accettato modifiche alle norme per compiacere gli Usa (come accade per il copyright del resto), ma ha addirittura proposto e attuato modifiche legislative per realizzare una forma di sorveglianza dei propri cittadini che appare piuttosto simile a quella americana. Che dire, infatti, della direttiva Passenger Name Record che consente la raccolta dei dati di tutti i soggetti imbarcati sui voli intercontinentali? Dati che ovviamente vengono condivisi con gli americani (i principali sistemi elettronici di interscambio dei PNR sono tutti americani).

Infine l'Europa istituirà la figura del difensore civico che si dovrà occupare delle denunce dei cittadini europei. Una figura priva di poteri che dovrà interfacciarsi con il Dipartimento del Commercio e la FTC, con le limitazioni sopra precisate, soprattutto considerando che le recenti modifiche della legislazione americana prevedono per gli individui residenti fuori degli Usa eventualmente solo dei risarcimenti (Judicial Redress Act).

In sintesi il Privacy Shield non è altro che un modo per guadagnare tempo al fine di far continuare il commercio transatlantico, nell'attesa di trovare una soluzione più stabile per garantire il flusso dei dati tra aziende e, perché no, tra i governi europei e americano. Ciò che importa è innanzitutto far proseguire l'economia, e i soldi delle multinazionali americane, specialmente in periodo di crisi, all'Europa servono, e parecchio. Certo, molti spingono per la realizzazione di barriere all'ingresso che possano incentivare le imprese tecnologiche europee creando un mercato tutto europeo, ma al momento non si vede all'orizzonte niente di nuovo. Ed è in questo complesso quadro politico economico che si inserisce la promessa di un futuro Privacy Shield. E i diritti dei cittadini europei?

La proposta della Commissione europea è un affronto alla Corte di giustizia europea, che ha ritenuto illegale il Safe Harbour, così come per i cittadini di tutta Europa. La proposta si basa solo su una dichiarazione da parte delle autorità statunitensi e sulla loro interpretazione della situazione giuridica relativa alla sorveglianza da parte dei servizi segreti degli Stati Uniti. Si tratta della svendita del diritto fondamentale alla protezione dei dati da parte della UE
(Jan Philipp Albrecht, membro del Parlamento europeo, portavoce dei Verdi)

[foto via taliainprimapagina.it]