Trasferimenti dati negli Usa, massima allerta verso i web provider
Nel limbo il traffico di dati personali verso gli Usa. Dopo la sentenza della Corte di giustizia dell'Unione Europea (Cgue) del 16 luglio 2020, che ha annullato l'accordo Ue/Usa sull'export di dati (accordo enfaticamente battezzato scudo privacy o Privacy Shield), non si sono viste immediate ripercussioni (secondo qualcuno sarebbero state catastrofiche), e i principali operatori interessati (sono nomi conosciuti da tutti perché interessano servizi di messaggistica, cloud, social network, distribuzione planetaria di prodotti) hanno, fino a oggi, tutt'al più modificato le loro schede informative sui loro siti internet.
A seguito dell'invalidazione del Privacy Shield, Federprivacy ha subito messo in agenda un corso sui trasferimenti di dati all'estero per aggiornare i professionisti
Certo non è pensabile né praticabile uno stop in blocco alla circolazione dei dati e neppure una rinegoziazione dei contratti con i colossi dell'it, soprattutto da parte delle pmi. Ma la soluzione del problema è urgente se si pensa al rischio sanzioni per le imprese europee che continuano ad avvalersi, direttamente o indirettamente, di provider Usa. Vediamo, dunque, di riepilogare la vicenda.
Gli Usa rappresentano un problema per la tutela della privacy. Le leggi europee stabiliscono restrizioni al trasferimento extra Ue dei dati dei cittadini europei. È una giusta preoccupazione, perché i dati delle persone fisiche possono andare in posti dove possono essere usati e abusati, con il rischio di grave danno quando dai dati si ritorna alle persone. Preoccuparsi di dove vanno a finire i dati e di come sono trattati è diventato, nel mondo interconnesso dalla rete internet, un dovere degli stati che vogliono proteggere le persone.
Con gli Usa, l'Europa ha sempre incontrato problemi, perché negli Stati Uniti il bilanciamento della privacy individuale con la sicurezza nazionale vede per lo più vincente la sicurezza. Questo già con riferimento a trattamenti di dati di cittadini americani negli Usa (ricordiamo tutti la vicenda del braccio di ferro tra Apple e Nsa a proposito dello sblocco della memoria un cellulare durante le indagini per una strage commessa nel territorio americano). I problemi, peraltro, si verificano anche a proposito dei dati che arrivano negli Usa dalle altre parti del mondo. E per i dati in partenza dalla vecchia Europa la faccenda è ancora più ingarbugliata per il fatto che, nella Ue, sono vigenti leggi garantiste, che, sulla carta, tutelano la privacy dei cittadini e impongono limitazioni e condizioni al trasferimento di dati all'estero.
Ora, la vicenda è incentrata sul fatto che ci sono leggi statunitensi che permettono alle autorità Usa di acquisire i dati ricevuti dalle imprese americane in relazione ad attività commerciali. Il risultato è che, per esempio, un cittadino europeo compra un bene o riceve una newsletter o lancia il suo messaggio al mondo con una piattaforma elettronica di relazioni sociali e tutto ciò può essere acquisito da organizzazioni pubbliche, con il rischio di abusi e discriminazioni.
Accordi politici e bocciature giudiziarie. Ci sono stati due tentativi di soluzione politica dei rapporti Ue/Usa a proposito dell'export di dati. Ciascuno dei due tentativi ha avuto una denominazione intrigante: il primo è stato chiamato «porto sicuro» e il secondo «scudo privacy». Ma la politica non ha retto alla prova dei giudici. Tutte e due questi accordi, infatti, non hanno superato il vaglio della Corte di giustizia dell'Unione europea, che li ha sonoramente bocciati (o meglio, nel caso del Privacy Shield ha bocciato l'adeguatezza dell'accordo sancita dalla Commissione europea). Si notino le date. Il «Porto sicuro» (o «Safe Harbour») è del 2000 (decisione della Commissione europea n. 2000/520/CE) e la Cgue lo ha bocciato con sentenza del 6 ottobre 2015; lo «scudo privacy» (o «Privacy Shield») è del 2016 (decisione n. 2016/1250/CE) e la sentenza della Cgue che lo annulla è del 16 luglio 2020. Dallo sviluppo degli eventi risulta che le autorità europee, da vent'anni a questa parte, non hanno prodotto una disciplina idonea alla tutela dei dati che sono stati utilizzati negli Usa sulla base di accordi illegittimi.
Che fare. All'indomani della sentenza del 16 luglio 2020, operatori economici e commentatori si sono dedicati all'approfondimento delle conseguenze della pronuncia. La preoccupazione è stata di trovare una soluzione formale perché quella sentenza tutto può fare tranne che fermare l'enorme, costante e inarrestabile, cascata di dati personali verso gli Usa, considerato l'utilizzo effettuato, secondo dopo secondo, dei dispositivi elettronici. E, in effetti, l'attività di studio e consulenza è necessaria e inevitabile, considerato che le leggi europee sulla privacy prevedono sanzioni pecuniarie draconiane per chi viola i precetti. Il Comitato europeo per la protezione dei dati ha stilato alcune Faq per rassicurare gli operatori e dare alcune dritte operative.
Alcune di queste indicazioni sono, però, attività che una singola impresa (magari media o addirittura piccola) non può fare così facilmente. Certo si potrebbe cambiare il fornitore di un servizio di newsletter o di messaggistica, ma bisogna vedere i vincoli contrattuali; certo, in astratto, si può chiedere di rivedere un contratto con il colosso multinazionale, ma in concreto è una cosa non realistica. (Per approfondimenti, si veda anche l'articolo "Trasferimenti di dati all'estero: reazione in tre mosse per l'export di dati fuori dall'Ue"
Cosa stanno facendo. Per verificare gli effetti della sentenza del 16 luglio 2020 basta consultare le pagine dei siti internet dei colossi della rete. Sono pagine in cui a volte le indicazioni non sono cambiate affatto e si continua a fare riferimento al (defunto) Privacy Shield; altre volte si prende atto della sentenza della Cgue del 16 luglio 2020 e si spiega perché le cose possono proseguire dal momento che si sfruttano strade alternative, salvate a certe condizioni dalla stessa Cgue, come le clausole contrattuali standard. Resta il fatto che la percezione immediata è che ancora bisogna aspettare per capire se ci saranno effetti sostanziali o se si tratta solo di attendere il prossimo accordo.
di Antonio Ciccia Messina (Italia Oggi Sette del 7 settembre 2020)