È una domanda che riguarda milioni di persone in Europa: cosa succede a tutti i dati che Google, Amazon, Facebook e altre aziende tecnologiche americane raccolgono nel Vecchio Continente? Possono trasferirli negli Stati Uniti? E lì sono protetti dall’accesso arbitrario delle numerose agenzie di sicurezza ameircane, tipicamente di tre lettere – CIA, NSA, FBI, per esempio?
L’UE adesso si fida
L’UE adesso pensa di sì. La scorsa settimana la Commissione ha approvato il cosiddetto Data Privacy Framework. È un accordo che consente il libero flusso di dati personali attraverso l’Atlantico. Le piattaforme online americane saranno così autorizzate a memorizzare le informazioni degli utenti europei sui propri server nazionali. I due quadri normativi precedenti, entrambi predecessori di questo accordo – Privacy Shield e Safe Harbor – erano stati dichiarati invalidi dalla Corte di giustizia europea (ECJ). Il tentativo numero tre avrà successo? Ci sono diversi motivi di scetticismo.
Fattore Schrems
Privacy Shield e Safe Harbor erano stati bloccati dall’avvocato austriaco Max Schrems. Ora vuole anche fare causa contro il Data Privacy Framework, come dice al quotidiano tedesco WELT. “Abbiamo già diverse opzioni legali nel cassetto”. Ha detto che si aspetta che il caso finisca davanti alla CGE all’inizio del prossimo anno. I giudici potrebbero sospendere il nuovo accordo sui dati tra Bruxelles e Washington per la durata del procedimento. I giganti tecnologici americani avrebbero quindi un problema. Sottolineano ripetutamente che vale la pena fare affari nell’UE solo se sono autorizzati a trattare le informazioni degli utenti di Internet negli Stati Uniti. Qualche tempo fa, Facebook ha persino minacciato di lasciare l’Europa se non fosse più consentito inviare dati a casa. Ma quella era probabilmente una trovata pubblicitaria; un tentativo di fare pressioni sulla Commissione.
I precedenti Schrems I e Schrems II
Le precedenti sentenze della Corte di giustizia sono note come Schrems I e Schrems II. Presto seguirà probabilmente Schrems III. E ancora una volta la posta in gioco è alta. Alla fine, sono in gioco il futuro delle aziende tecnologiche americane in Europa e la privacy dei cittadini dell’UE. Il Data Privacy Framework è una copia del Privacy Shield, afferma Schrems. E Privacy Shield, a sua volta, una copia di Safe Harbor. “L’ultimo accordo non si basa su cambiamenti materiali”, afferma Schrems, “ma su un pensiero politico a breve termine”.
Per la Ue l’aria è cambiata
Nel 2015, la Corte di giustizia aveva dichiarato per la prima volta l’invalidità di Safe Harbor, seguita dal suo successore Privacy Shield nel 2020. Ogni volta, le promesse dei due accordi suonavano buone: un porto sicuro per i dati personali e uno scudo per la privacy. Ma la realtà era diversa: i giudici hanno ritenuto che gli accordi non proteggessero adeguatamente i dati degli europei. Soprattutto, la Corte di giustizia ha criticato il fatto che le agenzie di intelligence americane potessero sottrarre informazioni in massa senza sospetti. Ora, nell’accordo numero tre, Bruxelles ha certificato che gli Stati Uniti dispongono di una protezione dei dati “adeguata”. Ciò significa che il livello di protezione negli Stati Uniti soddisfa gli standard europei. Le agenzie di intelligence americane, afferma la Commissione, dovrebbero essere autorizzate a intercettare le informazioni dei cittadini dell’UE solo se necessario per la sicurezza nazionale e proporzionato.
Ma Schrems non si fida
Schrems non la vede così. Pensa che le agenzie di intelligence statunitensi abbiano ancora troppo accesso ai dati degli europei. Potrebbero continuare a spiare persone in Germania, Austria e altri paesi dell’UE, proprio così, come vogliono, senza sospetti concreti o autorizzazione giudiziaria. L’America, afferma Schrems, attribuirà un significato diverso alla parola “proporzionato” rispetto alla Corte di giustizia.
L’ultima parola alla Corte di Giustizia Ue
Schrems non è solo in questa valutazione. Un rapporto del Parlamento europeo afferma inoltre che agli Stati Uniti non può essere garantita l’adeguatezza nella protezione dei dati. La scorsa settimana il commissario europeo per la giustizia Didier Reynders ha difeso il Data Privacy Framework. Secondo il ministro, questa volta l’accordo resisterà al vaglio della Corte di giustizia. Questo perché questo terzo tentativo differisce in modo significativo da Privacy Shield e Safe Harbor, ha affermato Reynders. Ad esempio, crea un tribunale che consente agli europei di intentare causa negli Stati Uniti se ritengono che non sia stato effettuato un accesso ai loro dati in modo “proporzionato”. Vedremo presto se tutto ciò soddisferà la Corte di giustizia europea.
Leggi anche: Data Privacy Framework, in attesa del verdetto dei Garanti Ue (che l’avevano già bocciato)
Finalmente il Data Privacy Framework UE-USA, cosa succede adesso?