Il 6 ottobre scorso, con una sentenza che farà storia, la Corte di Giustizia Europea ha dichiarato che l’atto della Commissione Europea conosciuto come “Safe Harbour decision” non è più valido.
La sentenza C-362/14 dice una cosa molto semplice. La Commissione Europea non può privare i cittadini dell’Europa di un controllo sulla privacy delle loro informazioni digitali.
Tutto nasce dall’iniziativa di un giovane avvocato austriaco (Maximilian Schrems) contro Facebook. Secondo Schrems, Facebook trasferisce i dati dei cittadini europei dall’Irlanda verso server posizionati negli Stati Uniti, mettendoli quindi di fatto a disposizione dei controlli di sicurezza della NSA, l’Agenzia per la Sicurezza Nazionale statunitense.
Il Safe Harbour e la sentenza
Il Safe Harbor è una decisione della Commissione europea del 26 luglio 2000, che attestava – recependo un precedente trattato commerciale di fine anni ’90 – che gli Stati Uniti garantivano un adeguato livello di protezione dei dati personali trasferiti negli USA, e riguardava, nello specifico, solo imprese private americane.
Secondo la Corte di Giustizia Europea oggi, invece, le autorità pubbliche USA si sono assegnate autorità di manovra che vanno oltre il diritto di rispetto fondamentale della vita privata dei singoli cittadini, come emerso dalle dichiarazioni di Edward Snowden del 2013 sul programma di sorveglianza di massa attuato dalla NSA.
Secondo la Corte di Lussemburgo inoltre il cittadino europeo dovrebbe avere rimedi giuridici diretti per accedere ai dati personali che lo riguardano, ottenerne la cancellazione o rettifica (il cosiddetto Diritto all’Oblio). Una difesa che dovrebbe poter avvenire all’interno del proprio stato di residenza. Secondo la Corte infatti ogni cittadino deve poter far valere il proprio diritto relativo alla privacy, esprimendolo a un tribunale del suo Stato di residenza, e chiedendo che i dati non siano trasferiti in Paesi in cui non si ha lo stesso livello di riservatezza del dato garantito in EU.
In generale quali saranno le conseguenze della sentenza della Corte di Giustizia europea?
Da un punto di vista legale, la sentenza non agisce direttamente sulle aziende americane (circa 4.000, oltre ai big come Facebook, Google, ecc.) che oggi gestiscono archivi con dati sensibili in area UE. Piuttosto dichiara illegittima la precedente decisione della Commissione, rimandando alle Corti di Giustizia dei singoli Stati Europei il fatto di esaminare in piena indipendenza se il trasferimento dei dati di una persona verso un paese terzo rispetti i requisiti stabiliti dalla vigente direttiva sulla Privacy.
La Commissione ha reagito prontamente: in un comunicato il vice presidente Frans Timmermans ha spiegato che la sentenza conferma l’intenzione dell’esecutivo comunitario di rinegoziare il trattato.
Preoccupazione invece per il Dipartimento del Commercio USA, che si è impegnato a fornire linee guida alle aziende americane che le richiedano. Le aziende USA hanno soprattutto bisogno di maggiori certezze legali, e al momento è prevedibile che il trasferimento dei dati continuerà, anche perché qualcuno ha osservato che metodi alternativi possono essere realizzati, ma avrebbero un aggravio di costi e aumenterebbero i tempi.
In prospettiva è prevedibile che tutte le aziende, non solo quelle USA, si impegneranno maggiormente a identificare e prendere tutte le misure necessarie per conformarsi alle leggi specifiche sulla protezione dei dati nei paesi in cui operano. La privacy dei dati non dovrebbe essere più una questione secondaria ma piuttosto andrà inclusa nel disegno iniziale del business model di un’azienda.
Cosa è previsto nel nuovo Regolamento sulla Protezione dei dati (GDPR) di prossima emissione
La “Safe Harbour decision” ieri, e la sentenza relativa alla sua invalidità oggi, si inquadrano nella vigente normativa europea sulla privacy che risale al 1995, quando era stata emessa la Direttiva 95/46/EC, poi ratificata dai singoli paesi dell’EU. Questa normativa è ormai datata, anche alla luce della trasformazione digitale in atto, con la diffusione dei Social Network e l’affermarsi dei nuovi giganti del web, ed in effetti la Commissione Europea ha deciso da tempo lo sviluppo e l’approvazione di un nuovo regolamento in materia di privacy, lo “European General Data Protection Regulation”, atteso per fine 2015.
La prima versione del Regolamento è del 2012, ma ancora oggi sono in corso le trattative tra i vari organismi dell’EU (Commissione, Consiglio e Parlamento), per giungere ad una versione concordata. Non a caso le maggiori difficoltà e divergenze di vedute riguardano proprio aspetti come quelli legati al trasferimento dei dati personali al di fuori dall’EU, per l’intenso lavoro di lobbying delle aziende d’oltreoceano, che non vorrebbero sostenere costi proibitivi per garantirsi una presenza sul mercato europeo.
La soluzione prospettata ha come presupposto che i dati personali, da qualsiasi parte vengano conservati, devono godere dello stesso grado di protezione richiesto dal Regolamento per i dati raccolti e conservati nell’EU. Il nuovo Regolamento infatti si applicherà anche alle Società con sede extra EU, che offrono beni o servizi a soggetti interessati residenti nell’EU o ne monitorano il comportamento, sostituendo così il principio di «ubicazione della strumentazione utilizzata per il trattamento» con quello di «domicilio dei soggetti interessati». Esse dovranno quindi nominare un Data Controller (titolare del trattamento dei dati), che designerà un proprio rappresentante in uno dei paesi dell’EU, alla cui Autorità di Controllo esse saranno assoggettate, secondo il principio del “one-stop shop”.
In ogni caso il nuovo regolamento andrà in vigore a due anni dalla sua approvazione, e nel frattempo una nuova soluzione andrà comunque cercata, per evitare di muoversi in assenza di un accordo tra le parti.
E nel settore del Cloud Computing, come cambieranno le cose?
Da un punto di vista legale, la sentenza apre uno scenario difficile per le aziende del Cloud. Di fatto chi oggi trasferisce dati tra EU e USA non ha più una copertura valida come poteva essere il Safe Harbor, e potenzialmente va incontro a cause intentate dai suoi utenti. Qualcosa dovrà necessariamente cambiare. Una prima domanda a cui dobbiamo rispondere è: oggi come vengono gestiti i dati nel Cloud? Dove risiedono, come sono archiviati?
Continua a leggere l'Articolo