Privacy Shield, uno scudo vulnerabile

Un testo complesso e a tratti incoerente nei suoi allegati e nelle sue previsioni, e non armonico rispetto al quadro normativo in fieri dell’Unione Europea, un testo ancora incapace di garantire ai cittadini del Vecchio Continente le tutele che la legge fissa per loro anche nel momento in cui affidano i propri dati alle multinazionali che li tratteranno e li faranno fruttare su server oltreoceano. Il gruppo di lavoro Article 29, che sta supervisionando l’operato della Commissione Europea nelle riformulazione di accordi che possano rimediare alle falle degli invalidati accordi Safe Harbor, non ha celato i propri dubbi: “C’è ancora molto lavoro da fare – ha dichiarato Isabelle Falque-Pierrotin, che rappresenta i garanti riuniti nell’Article 29 Working Party – Dobbiamo assicurare che le tutele del Privacy Shield corrispondano davvero a quelle previste in Europa”.

È stata la storica decisione emessa dalla Corte di Giustizia dell’Unione Europea nel caso irlandese Facebook-Schrems ad invalidare dopo 15 anni i controversi accordi Safe Harbor, in quanto incapaci di garantire adeguate tutele rispetto ai dati dei cittadini che vengano trattati Oltreoceano, è stato il decadimento degli accordi a innescare le trattative tra autorità europee e statunitensi, per dare vita a un nuovo quadro di riferimento. Si è trattata di una gestazione difficile, con un lungo travaglio e il parto forzato di un accordo parziale, formalizzato in una bozza proprio su sollecitazione del Gruppo di Lavoro Article 29.

I garanti europei, dopo aver analizzato l’operato della Commissione Europea, non si possono dire pienamente soddisfatti: nella conferenza stampa di ieri pomeriggio a presentazione dei due documenti rilasciati nelle ore successive, Falque-Pierrotin ha descritto lo UE-USA Privacy Shield come un “miglioramento” rispetto agli accordi Safe Harbor e come un “grande passo avanti”, ma non ha rinunciato a sottolineare i dubbi e le criticità di un testo che si auspica ancora lontano dall’essere definitivo . Le rassicurazioni delle parti rispetto alle problematiche sollevate dai garanti, spiega infatti Falque-Pierrotin, restano ancora “informali”, non fissate nei testi analizzati, e gli stessi testi all’esame sono risultati “complessi” e “non sempre coerenti fra loro” e per questo motivo è stato arduo valutarli nel loro insieme.

A preoccupare il gruppo di lavoro c’è l’ aspetto commerciale dell’accordo , che soffre di definizioni poco aderenti a quelle delle regolamentazioni europee in materia, complicando il compito di stabilire se e quanto le garanzie offerte ai cittadini europee siano vincolanti per le aziende che operano al di fuori dei confini dell’UE.

Ma oggetto di dibattito restano soprattutto le deroghe concesse alle autorità nell’accesso ai dati dei cittadini europei conservati su server statunitensi: la Corte di Giustizia dell’Unione Europea aveva ravvisato nelle rivelazioni del Datagate testimonianze sufficienti di una sorveglianza indiscriminata e di massa sui dati dei cittadini europei. Al momento, spiegano i garanti, “l’Office of the Director of National Intelligence (ODNI) statunitense non esclude la raccolta di massa e indiscriminata di dati personali che hanno origine nell’Unione Europea” e i limiti all’azione delle autorità statunitensi rimangono ancora “poco chiari” e interpretabili con “ampia” discrezionalità. Facendo riferimento anche al rinnovato impulso alla sorveglianza stimolato dal timore nei confronti del terrorismo, il gruppo di lavoro osserva che la supervisione di un’autorità indipendente come quella descritta nelle bozze del Privacy Shiald potrebbe non essere sufficiente a scongiurare gli abusi.

Ad ogni modo, l’Article 29 Working Party concede diplomaticamente che i testi esaminati non siano ancora quelli definitivi, anche perché non lambiscono in alcun modo la riforma del quadro normativo relativo alla protezione dei dati che negli anni ha preso forma nel regolamento giunto ormai agli sgoccioli dell’iter di approvazione. I garanti europei raccomandano quindi alla Commissione di fare chiarezza e di armonizzare le bozze dell’accordo prima di fissarlo nel testo definitivo che dovrà tutelare i cittadini. Il Commissario europeo per la Giustizia Vera Jourová, incaricata per l’UE di accompagnare la formalizzazione del Privacy Shield, ha reso noto che la Commissione terrà conto del parere dei garanti in vista della formulazione finale del testo. Max Schrems, che ha portato di fronte alla Corte di Giustizia dell’Unione Europea il casus belli che ha fatto decadere gli accordi Safe Harbor, ha motivo di dubitare : la Commissione avrà l’ultima parola sull’accordo, e secondo l’attivista si tratterà probabilmente di “parole politiche”, a suggellare un testo che promette di essere “un fallimento”.

Gaia Bottà