È giunta al massimo organo di giustizia europea la battaglia legale portata avanti, da sei anni, dal 31enne austriaco Maximilian Schrems contro Facebook. E per essere uno scontro tra Davide conto Golia è già un successo. Oggi i giudici della Corte di giustizia dell’Unione europea hanno ascoltato i legali di Facebook e la sentenza, attesa entro l’anno, potrebbe aprire una nuova era della privacy nell’Ue qualora la Corte dovesse dare ragione a Schrems, perché riguarderebbe non solo la società di Mark Zuckerberg, ma tutte quelle che trasferiscono nei server degli Stati Uniti i dati degli utenti europei per scopi commerciali.
‘Sono al sicuro? Sono spiati dall’Intelligence Usa i dati degli utenti di Facebook?’. Si può applicare il diritto dell’Unione europea al trasferimento dei dati da uno stato membro a un Paese terzo per scopi commerciali e per giunta anche sottoposti alla legge sulla sicurezza nazionale? Da queste domande è nata la seconda battaglia legale di Max Schrems contro Facebook: l’attivista per la privacy ha chiesto al Garante irlandese di bloccare il trasferimento dei dati nei server Usa e di farli archiviare solo in server presenti sul territorio europeo.
La battaglia legale di Max Schrems contro Facebook, ecco i fatti
Nel 2011, dopo essere rientrato da un viaggio in California, l’allora studente di legge si accorge che il social network ha conservato i suoi dati in 1.200 pagine. Quando poi Edward Snowden ha rivelato l’esistenza del programma di sorveglianza Prism, Schrems si è convinco che i suoi dati e quelli degli europei non fossero al sicuro, perché trasferiti in server in Usa e in altre zone del mondo da aziende come Facebook. Il tutto, però, regolato secondo l’accordo transatlantico Safe Harbor per disciplinare lo standard americano ed europeo per la trasmissione e la conservazione dei dati dei cittadini. Così nel 2013 l’attivista per la privacy presenta un ricorso all’Autorità per la protezione dei dati personali dell’Irlanda, dove sorge la sede europea del social network, ma il Garante per la privacy si rifiuta di aprire un’istruttoria, definendo il ricorso “frivolo”. Ma il giovane studente non si arrende e si rivolge alla Corte di giustizia dell’Unione europea, che, 4 anni fa, invece pronuncia una sentenza in suo favore: “vista la sorveglianza indiscriminata, i nostri dati personali in mano agli americani non sono protetti, per cui i giganti del web non possono trasferirli in automatico negli Stati Uniti”. In particolare la Corte ha dichiarato “il Safe Harbor non valido” e ha aggiunto che “l’Authority irlandese deve valutare, secondo i diritti fondamentali degli europei, se far sospendere a Facebook il flusso di dati degli utenti europei nei server degli Stati Uniti perché nel Paese non è garantito un adeguato livello di protezione dei dati personali”.
Ma, nonostante questa sentenza, il Garante per la privacy irlandese non ha mosso un dito.
I dati degli utenti di OTT nei server Usa o nei server in Ue?
Dopo l’abolizione del Safe Harbor Facebook ha continuato a trasferire i dati degli utenti europei dai server in Irlanda a quelli negli Stati Uniti secondo le nuove regole europee chiamate Standard Contractual Clauses (SCCs).
E in virtù di questa normativa l’austriaco Max Schrems ha presentato un altro ricorso al Garante irlandese chiedendogli di bloccare il trasferimento dei dati degli utenti di Facebook oltre l’Unione Europea. Ma l’Autorità per la protezione dei dati personali si è rifiutato e ha chiesto la pronuncia della Corte di giustizia dell’Ue.
Così la vicenda è finita di nuovo a Lussemburgo e ora i giudici dovranno decidere, con la sentenza attesa entro l’anno, se:
- In base l’articolo 4 del Standard Contractual Clauses e dell’articolo 28 della direttiva europea sulla privacy, l’Authority irlandese può esercitare il potere di bloccare il trasferimento dei dati degli utenti europei di Facebook nei server della società negli Usa. Qualora potesse farlo si aprirebbe una nuova era della privacy nell’Ue: anche le altre Autorità per la protezione dei dati personali potrebbero obbligare Facebook e gli altri OTT a gestire i dati degli utenti in soli server presenti sul territorio dell’Unione europea, per evitare di essere spiati dagli americani.