Le multinazionali americane del web dovranno rivedere le loro strategie sulla protezione dei dati personali dopo che la Corte Ue, unico organo competente a dichiarare nullo un atto dell’Unione, ha dichiarato “invalida la decisione della Commissione del 26 luglio 2000”, meglio nota come ‘Safe Harbor’, che priva le autorità nazionali dei loro poteri, impedendo ai Garanti privacy degli Stati membri di bloccare il trasferimento dei dati personali degli utenti verso quei paesi che non garantiscono un livello di protezione adeguato.
I dati, nel caso specifico, sono quelli del profilo Facebook che, di prassi, vengono trasferiti e conservati su server situati negli Stati Uniti e con questa sentenza, che non mancherà di far discutere, la Corte conferma in pieno il parere dell’avvocato generale della Corte Ue, Yves Bot, sul caso sollevato dallo studente austriaco, Maximillian Schrems, in seguito alle rivelazioni di Edward Snowden sulle attività dei servizi d’intelligence negli Stati Uniti.
Secondo la denuncia di Schrems (@maxschrems), alla luce anche delle rivelazioni di Snowden sullo spionaggio effettuato dall’NSA, le leggi americane non offrono alcuna reale protezione contro il controllo da parte del Governo Usa dei dati conservati in server situati nel paese.
Una convinzione confermata dalla Corte Ue che sottolinea che “… le autorità Usa possono accedere ai dati personali trasferiti dagli Stati membri verso tale paese e trattarli in modo incompatibile con le finalità del loro trasferimento, anche effettuando un trattamento in eccesso rispetto a ciò che era strettamente necessario e proporzionato alla tutela della sicurezza nazionale”.
Secondo la Corte di Lussemburgo, infatti, l’accordo bilaterale Safe Harbor – su cui si basa l’operato di almeno 4 mila aziende – rende possibili “ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone, e la decisione della Commissione non menziona l’esistenza, negli Stati Uniti, di norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze”.
La Corte Ue è intervenuta sul caso perché la denuncia dell’avvocato Schrems non è stata accolta dall’autorità irlandese per la protezione dei dati con la motivazione che la Commissione europea, con la decisione del 26 luglio 2000, ritiene che gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti. La decisione, di fatto, priva le autorità nazionali dei loro poteri nel caso in cui una persona contesti la compatibilità della decisione con la tutela della vita privata e delle libertà e diritti fondamentali delle persone.
La Corte di Lussemburgo, dopo aver effettuato le verifiche del caso, ha dichiarato però “invalida la decisione della Commissione del 26 luglio 2000” e ha stabilito che l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig. Schrems “con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato”.
Le reazioni
La Commissione europea
La Commissione europea ha indetto una conferenza stampa per commentare la sentenza della Corte Ue. Per il vicepresidente della Commissione, Franz Timmermans si tratta di “un passo importante verso il rafforzamento del diritto fondamentale dei cittadini europei alla protezione dei dati. La corte conferma la necessità di avere salvaguardie forti a livello di protezione dei dati. Queste salvaguardie devono essere già in atto prima del trasferimento dei dati dei cittadini”.
La sentenza della Corte, prosegue Timmermans “è una conferma dell’approccio della Commissione nei negoziati con gli Stati Uniti. Continueremo a profondere i nostri sforzi per avere un quadro rinnovato e sicuro per il trasferimento dei dati personali. Nel frattempo, i flussi di dati transatlantici tra imprese possono continuare utilizzando altri meccanismi”.
“La nostra priorità è innanzitutto la protezione dei dati trasferiti dall’altra parte dell’Atlantico e in seconda istanza la continuazione dei flussi transatlantici che sono importanti per la nostra economia con salvaguardie idonee. In terza istanza l’applicazione uniforme del diritto dell’Unione europea nel mercato interno”, ha aggiunto, ribadendo l’intenzione della Commissione di “avanzare degli orientamenti chiari per le autorità nazionali di protezione dei dati su come gestire le richieste di trasferimento dei dati verso gli Stati Uniti alla luce della sentenza”.
Per Timmermans, infine, “I cittadini hanno bisogno di salvaguardie forti e le imprese necessitano di sicurezza giuridica. Questo deve aiutare a comporre un mosaico di decisioni potenzialmente contraddittorie da parte delle autorità nazionali di protezione dei dati e quindi devono fornire un carattere prevedibile per cittadini e imprese. Coopereremo strettamente con le autorità nazionali responsabili del diritto e della protezione dei dati negli Stati membri e nei prossimi giorni terremo un incontro per discutere di tutto questo”.
Incontro confermato via twitter anche dal vicepresidente Ue per il Mercato Unico Digitale Andrus Ansip che ha sottolineato la necessità di regole più forti per la protezione dei dati e di una urgente revisione del Safe Harbor, cosi come richiesto all’indomani dal Datagate dall’allora Commissario Ue alla Giustizia, Viviane Reding.
Sergio Boccadutri: ‘sentenza rilevante politicamente e giuridicamente’
Per l’onorevole Sergio Boccadutri, coordinatore dell’area innovazione del Pd, “…la sentenza della Corte di Giustizia europea sulla protezione dei dati è un fatto molto rilevante, sia politicamente che giuridicamente”.
“Credo che, ben oltre il merito della sentenza che ribadisce alcuni punti fermi che attengono anche alla sovranità europea, non si metterà la parola fine alla questione, stimolando una più seria riflessione sulla tutela del dato e sulla sua natura nell’economia”, aggiunge Boccadutri, secondo cui “…non è un fatto di poco conto, alla vigilia dell’approvazione del regolamento europeo sul ‘data protection’: ci muoviamo verso un mondo in cui i dati avranno un valore sempre maggiore. Sono convinto che tutti, dalle istituzioni, ai regolatori, fino agli stakeholders debbano creare le condizioni per una forte sensibilizzazione, in maniera sempre più coordinata a livello europeo: la riflessione, a partire dalla consapevolezza dei cittadini, deve anche tenere in debito conto la necessità di non creare barriere competitive alle aziende europee”.
Il Garante Privacy Italiano
Per il Garante privacy Antonello Soro la sentenza della Corte di Giustizia Europea “rimette al centro dell’agenda degli Stati il tema dei diritti fondamentali delle persone e la necessità che questi diritti, primo fra tutti la protezione dei dati, vengano tutelati anche nei confronti di chi li usa al di fuori dei confini europei”.
“La Corte – ha aggiunto Soro – ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati”.
“E’ chiaro ora – conclude il Presidente del Garante per la Privacy – che occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”.
Facebook, che sempre ha ribadito di operare in piena conformità con le leggi europee sulla protezione dei dati e che il social network non fornisce al Governo porte di accesso ai suoi server, sottolinea come ora più che mai sia “indispensabile che i Governi Ue e Usa continuino a fornire strumenti legislativi affidabili per il trasferimento dei dati e risolvano eventuali questioni legate alla sicurezza nazionale”.
Per Christian Borggreen, direttore per l’Europa della Computer & Communications Industry Association – associazione che rappresenta le web company Usa tra cui Google, Amazon ed eBay – la sospensione del Safe Harbor “avrà un impatto negativo sull’economia europea, danneggiando, in particolare, le PMI e, soprattutto, i consumatori che usano i loro servizi”.
Borggreen chiede pertanto alla Commissione di fornire al più presto delle linee guida per consentire alle aziende straniere di operare in conformità con le leggi europee.
La sentenza, secondo Stewart Room di PwC, “nello stabilire che la Commissione europea non può ignorare il parere delle autorità nazionali e non può vincolare in alcun modo le decisioni dei garanti privacy…introduce un alto livello di incertezza giuridica. Le multinazionali – conclude – dovranno ripensare completamente le loro strategie sulla protezione dei dati”.
Alla Commissione europea, che dopo lo scandalo NSA ha chiesto una revisione dell’accordo Safe Harbor, arriva dunque un chiaro messaggio, spiega Agustin Reyna dell’associazione europea dei consumatori BEUC: “…il trasferimento dei dati dei cittadini europei non potrà più essere basato sull’autovalutazione delle società statunitensi”.
Edward Snowden, da poco approdato su Twitter, ha sottolineato che la sentenza sancisce che le intercettazioni indiscriminate delle comunicazioni siano di fatto una violazione dei diritti e ha fatto così i suoi complimenti a Schrems:
Congratulations, @MaxSchrems. You’ve changed the world for the better. http://t.co/HmGpRq5Dgtpic.twitter.com/rTLYHhvmoY
— Edward Snowden (@Snowden) 6 Ottobre 2015
Dall’Europarlamento:
Per il presidente del Comitato libertà civili Claude Moraes (S & D, UK) la sentenza della Corte Ue è in linea con “…i ripetuti inviti del Parlamento europeo volti alla sospensione dell’accordo ‘Safe Harbor’ con gli Stati sulla base del fatto che tale accordo non garantisce un adeguato livello di protezione”. La Commissione europea, secondo Moraes deve sospendere immediatamente l’accordo e avviare un nuovo framework in grado di garantire la tutela del diritto alla privacy dei cittadini europei.