Lo scorso ottobre, la Corte di Giustizia europea ha annullato l’accordo Safe Harbor, che regolava il trasferimento di dati tra la Ue e gli Usa, ritenendo che le leggi americane non forniscano un adeguato livello di protezione delle informazioni personali dei cittadini europei.
In seguito alla sentenza, la Commissione europea aveva fatto sapere di aver intavolato nuove discussioni con gli Usa per un accordo davvero sicuro, da raggiungere nell’arco di massimo tre mesi, entro la fine di questo mese, dunque.
Difficilmente sarà possibile giungere a un nuovo accordo in così breve tempo, anche perché secondo i Garanti privacy europei un Safe Harbor 2, quindi un nuovo accordo commerciale, non sarebbe sufficiente a garantire una tutela adeguata ai dati degli europei.
Trovare la quadra non è semplice, visto l’approccio diametralmente opposto tra Ue e Usa in materia di protezione dei dati personali, ossia tutte quelle informazioni che consentono di identificare un individuo in maniera diretta (nome, cognome e foto) o indiretta.
Nell’Unione europea, i dati personali rientrano nella sfera delle libertà fondamentali. L’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea sottolinea che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.
La protezione dei dati dei cittadini europei trasferiti verso altri Stati è regolata anche dalla convenzione di Strasburgo del 1981, che impegna gli Stati che l’hanno ratificata ad adottare adeguate misure di sicurezza per la protezione di dati di carattere personale.
Più in generale, il principio della protezione dei dati personali è coperto anche dall’articolo 8 della convenzione europea dei diritti dell’uomo che prevede il “rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”.
Negli Stati Uniti, invece la protezione dei dati non è un diritto fondamentale e rientra nella sfera della tutela dei consumatori. Non esiste, oltreoceano, una legge che protegga i privati nell’ambito dell’attività di trattamento delle informazioni personali: nel momento in cui, quindi, i dati dei cittadini europei ‘approdano’ negli Usa tutte le garanzie previste dai trattati europei sono nulli. Proprio per colmare questa lacuna era stato varato, nel maggio del 2000 il famoso accordo ‘Safe Harbor’ (approdo sicuro).
Un accordo, come riconosciuto anche dalla Corte Ue, è risultato inadeguato, innanzitutto per il fatto che i principi sanciti nell’accordo bilaterale non sono obbligatori per tutte le imprese, ma solo per quelle che dichiarano di aderire al protocollo internazionale, notificandolo attraverso un’autocertificazione (pubblicata e consultabile sul sito della Federal Trade Commission) e diffondendo anche determinate informazioni sulle politiche di privacy adottate.
Il Safe Harbor, inoltre, non prevede la figura del Data protection Commissioner, delegando il controllo del trattamento dei dati alla FTC. La giurisdizione della Commissione per il Commercio si ferma però alle pratiche sleali o ingannevoli in materia commerciale o collegata al commercio, lasciando scoperti diversi altri settori tra cui le pratiche sleali degli operatori telefonici.
“La protezione dei dati è diventata una questione fondamentale da cui non si può prescindere e noi, in Europa, abbiamo standard di protezione degli Stati Uniti, che di fatto stanno cercando di sfuggire alle nostre regole”, ha sottolineato Claude Moraes, presidente della Commissione libertà civili e affari interni del Parlamento europeo.
E’ da dire che anche in seno alla stessa Ue le divergenze di visione riguardo la protezione dei dati sono state tanto aspre che ci sono voluti 4 anni per portare a termine la revisione della direttiva Ue risalente al 1995.
Il nuovo Regolamento, che dovrà essere rispettato anche dalle aziende che hanno sede al di fuori dell’Unione Europea, prevede sanzioni pecuniarie pari al 4% del fatturato mondiale annuo della società che non rispetteranno le norme, con riferimento, in particolare, alle web company che trattano i dati dei cittadini.
Ora, sottolinea il Garante privacy francese Isabelle Falque-Pierrotin “E’ chiaro che dopo l’annullamento del Safe Harbor non c’è bisogno di un nuovo accordo commerciale ma di un accordo più ampio che copra l’accesso dei dati personali da parte dei servizi”.
Gli Stati Uniti, ha aggiunto, “devono quanto meno farci capire che hanno compreso il messaggio della Corte europea e che terranno conto degli argomenti sollevati dal giudice. Ci aspettiamo da loro un gesto politico per quanto riguarda le garanzie di protezione dei dati dei cittadini europei. Abbiamo dunque sottolineato la necessità di mettere in piedi un accordo intergovernativo o delle misure vincolanti nel quadro delle leggi americane sui servizi di intelligence”.
Un obiettivo che non è al momento una priorità per la Ue, che sta lavorando al raggiungimento di un accordo sul Safe Harbor 2 anche se Paul Nemitz, il DG per la Giustizia e la protezione dei consumatori ha indicato chiaramente che “Il Safe Harbor non è un accordo internazionale. L’obiettivo a lungo termine è quello di inserire la protezione dei dati in un quadro legislativo internazionale”.