Ad un mese dalla storica sentenza della Corte di Giustizia dell’Ue, che ha dichiarato invalido il Privacy Shield, Facebook comunica agli utenti “stiamo lavorando per migrare agli Standard Contractual Clauses (SCCs) per i nostri prodotti”, perché, scrive la società, la Corte “ha anche confermato che le clausole contrattuali tipo (SCC), un meccanismo legale alternativo per il trasferimento di dati dal SEE (Spazio economico europeo) a un paese terzo, continuano ad essere valide”.
Bastano le Clausole Contrattuali Tipo?
Basta che Facebook&Co. si adeguino alle Clausole Contrattuali Tipo per continuare a trasferire in modo legale i dati degli europei nei server in Usa?
“Facebook, così come Microsoft, Google e tanti altri, stanno al momento facendo una chiara campagna di disinformazione”, ci dice Paolo Vecchi, Ceo di Omnis Cloud – Specializzato in piattaforme Cloud ed on-premises basate su Open Source.
I programmi di sorveglianza di massa in USA tramite leggi quali FISA Sezione 702 ed Executive Order 12.333 e Cloud Act
Secondo Vecchi, il Privacy Shield è stato invalidato per lo stesso motivo per cui l’accordo precedente, Safe Harbor, è stato bocciato: “gli Stati Uniti vìolano i diritti fondamentali dei cittadini Europei con i loro programmi di sorveglianza di massa tramite leggi quali FISA Sezione 702 ed Executive Order 12.333 ai quali bisogna aggiungere il più recente Cloud Act che non è stato preso in considerazione nel giudicato”, sottolinea.
Clausole Contrattuali Tipo valgono per le altre nazioni (non gli Usa)
Da un certo punto di vista è vero che la Corte di Giustizia Europea non ha invalidato il meccanismo legale per il trasferimento dei dati chiamato Standard Contractual Clauses (SCCs), come dall’articolo 149 della sentenza, “quindi lo si può utilizzare per altre nazioni con le quali non ci sono accordi di adeguatezza”, osserva Paolo Vecchi, e non gli Stati Uniti (articolo 138 C-311/18).
“Quello che viene omesso da Facebook ed altri”, aggiunge, “è che la sentenza conferma, anche nell’articolo 138, che gli SCCs non possono essere utilizzati:
- in quanto le leggi statunitensi che stabiliscono programmi di sorveglianza di massa prevalgono sui contratti e quindi non sarà possibile fornire garanzie che il livello di protezione della privacy sia equivalente a quella di uno stato membro dell’Unione Europea.
Una delle domande chiave con l’invalidazione del Privacy Shield, è se i giganti del web Usa effettuano ora il trattamento dei dati personali degli utenti europei in modo legale o illegale?
Paolo Vecchi ha una risposta chiara: “In pratica, l’utilizzo di prodotti forniti dai giganti del Cloud americani per trattare dati personali, come Office 365, Google Suite, ecc., è da considerarsi illegale in quanto non vi è alcuna base legale e contrattuale che ne consenta il trattamento ed il trasferimento verso gli Stati Uniti”.
Sovranità digitale, ma come?
“Il consiglio che offro”, conclude Vecchi, “è quello di dismettere l’uso di piattaforme che sono state nuovamente dichiarate illegali e di adottare soluzioni Open Source che permettano alla nazione di investire su skill e tecnologie locali in grado di acquisire una sovranità digitale che porterà benefici sia dal punto di vista economico che sociale. Tutti i grandi Cloud provider già usano software Open Source che è a disposizione di tutti coloro che vogliano mettere da parte la ‘convenienza’ di una sottoscrizione mensile che viene dirottata in paradisi fiscali ed investire nel futuro del paese”.