Lo scambio di dati, che ormai è alla base della nostra società digitale, deve rispettare il diritto alla privacy o può seguire banalmente le logiche del mercato? Piut tosto oggi possiamo considerare ancora il diritto alla privacy come uno dei diritti fondamentali dell’uomo? Su queste domande si sta giocando una partita importante tra Europa e Stati Uniti. Una partita che non è soltanto economica, ma che riguarda la direzione che prenderà il nostro futuro, alla luce di un presente in cui i dati di ognuno di noi sono nelle mani di pochi soggetti (in primis i Big della rete).

In attesa che l’Europa raggiunga l’accordo definitivo su una riforma storica per la privacy dei cittadini eu ropei (entro l’anno dovrebbe arrivare il via libera del Consiglio dei Ministri alla revisione dell’attuale diret tiva sulla tutela dei dati personali, che risale al 1995), la “guerra” dei dati con gli Stati Uniti è scattata. A decretarla, nei fatti, è stata la Corte di Giustizia dell’U nione Europea con la sua sentenza del 6 ottobre sul caso Schrems, che ha visto contrapposti uno studente austriaco e l’Autorità irlandese a proposito del trasfe rimento dei dati a Facebook.

Lo studente iscritto al social network – i cui dati ve nivano trasferiti a partire dalla filiale irlandese di Fa cebook ai server Usa – ha presentato una denuncia presso l’autorità irlandese per la protezione dei dati, ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Edward Snowden in merito alle attività dei servizi d’intelligence negli Stati Uniti (in particolare della National Security Agency), il diritto e le prassi statu nitensi non offrano alcuna reale protezione contro il controllo ad opera dello Stato americano dei dati tra sferiti verso tale paese.

L’autorità irlandese ha respinto la denuncia tirando in ballo la decisione con cui la Commissione Europea, a luglio del 2000, ha ritenuto che nel contesto del regi me di “Safe Harbour”, gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali tra sferiti. L’Alta corte di giustizia irlandese ha chiesto ai giudici UE se questa decisione impedisca a un’autorità nazionale di controllo di indagare sulla denuncia e se necessario di sospendere il trattamento dei dati.

La sentenza ha dichiarato invalido l’accordo Safe Harbour (Approdo Sicuro) che dal 2000 ha costituito la base giuridica per gli scambi di dati tra Europa e Stati Uniti, stabilendo la possibilità per gli Stati membri di sospendere il trasferimento dei dati di propri iscritti a Facebook verso gli Stati Uniti perché questi non offrono “un livello di protezione dei dati personali adeguato”. Al social network si potrà dunque vietare di conservare negli Usa i dati personali degli iscritti. Di conseguenza d’ora in avanti tutte le aziende che vogliono trasferire oltreoceano dei dati personali degli utenti dovranno avvalersi di strumenti alternativi di tutela.

Nel frattempo la Commissione ha intensificato il pro cesso negoziale con gli Stati Uniti per definire un quadro rinnovato e sicuro per il trasferimento dei dati per sonali: l’obiettivo è concludere l’accordo entro tre mesi.

La Corte, comunque, non ha fatto che confermare i dubbi espressi dalla Commissione già dal 2013 rispet to alla necessità di rivedere l’accordo Safe Harbour, sottolineando l’importanza del diritto fondamentale alla protezione dei dati, anche nel trasferimento verso paesi terzi. Per rendere più sicuri i trasferimenti dei dati per i cittadini europei, la Commissione aveva emanato 13 raccomandazioni ed ora fornisce orientamenti chiari per tutte le aziende sottolineando i seguenti punti:

  • l’accordo Safe Harbour non può più costituire la base giuridica per i trasferimenti di dati personali negli USA;
  • la Commissione proseguirà e concluderà i negoziati su un quadro rinnovato e solido per i trasferimenti transatlantici di dati personali, che devono conformarsi alla sentenza della Corte, in particolare per quanto riguarda le restrizioni e le salvaguardie per l’accesso ai dati personali da parte della pubblica amministrazione statunitense;
  • sarà necessario modificare altre decisioni di ade guatezza, per garantire che le autorità responsabili della protezione dei dati continuino ad essere libere di svolgere indagini a seguito delle denunce sporte da privati.

La  comunicazione  definisce le  basi  alternative  per i trasferimenti di dati personali verso gli Stati Uniti, che non pregiudicano l’indipendenza delle autorità di protezione dei dati e la loro facoltà di esaminare la legittimità di tali trasferimenti.

Attualmente le imprese possono effettuare trasferimenti dei dati sulla base di:

  •  soluzioni contrattuali: le clausole contrattuali devono prevedere obblighi, ad esempio misure di sicurezza, informazione dell’interessato, misure di sal vaguardia nel caso del trasferimento di dati sensibili e così via. Modelli di clausole contrattuali standard sono disponibili sul sito della Commissione qui;
  • norme vincolanti d’impresa per i trasferimenti all’interno di un gruppo: consentono di trasmettere liberamente i dati personali tra le diverse filiali di una multinazionale. Devono essere autorizzate dalle autorità di protezione dei dati in ciascuno Stato membro da cui la multinazionale intende trasferire i dati;
  • deroghe: la conclusione o l’esecuzione di un contratto (incluse le situazioni precontrattuali, ad esempio è consentito il trasferimento dei dati per sonali per prenotare un volo o una camera d’albergo negli Stati Uniti); l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; il consenso libero e informato dell’interessato, in assenza di altre motivazioni.

Il Vicepresidente della Commissione UE Andrus Ansip, responsabile per il mercato unico digitale, ha commentato: “L’UE è il più importante partner commerciale degli Stati Uniti, così come gli Stati Uniti lo sono per l’UE. I flussi di dati tra i nostri continenti sono essenziali per le persone e per le imprese. Sebbene esistano strumenti alternativi, un quadro nuovo e più sicuro è la soluzione migliore per proteggere i cittadini e ridurre gli oneri amministrativi che gravano sulle imprese, soprattutto sulle start-up. Il nostro obiettivo è spiegare in che modo le imprese possono trasferire legittimamente i dati nel periodo transitorio. Continueremo inoltre a collaborare strettamente con le autorità nazionali di protezione dei dati, che sono responsabili dell’applicazione delle norme in materia di protezione dei dati negli Stati membri”.

“La sentenza della Corte di Giustizia Europea rimet te al centro dell’agenda degli Stati il tema dei diritti fondamentali delle persone e la necessità che questi diritti, primo fra tutti la protezione dei dati, vengano tutelati anche nei confronti di chi li usa al di fuori dei confini europei – ha commentato il Presidente del Ga rante per la Privacy Antonello Soro – La Corte ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati. Questa sentenza, insieme ai re centi pronunciamenti della giurisprudenza europea, conferma come la Corte sempre più spesso intenda richiamare le istituzioni europee e gli Stati membri ad un rispetto reale e concreto dei principi sanciti dalla Carta dei diritti fondamentali dell’Ue. È chiaro ora – ha aggiunto Soro – che occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”.

Dopo la sentenza le 28 autorità nazionali di protezione dei dati (gruppo di lavoro “articolo 29”) hanno rilasciato una dichiarazione sulle relative implicazioni e il
6 novembre, il Garante della privacy italiano, in linea con le altre autorità europee, ha emanato il provve dimento che dichiara decaduta l’autorizzazione “Approdo sicuro”.

DIALOGO APERTO
LA NEWSLETTER
Archivio