Safe Harbor, le garanzie non bastano

La Corte di Giustizia dell'Unione Europea ha dichiarato non valida la decisione con cui l'UE accoglieva l'accordo sul trasferimento dei dati. Gli USA, di fatto, da 15 anni possono violare la privacy dei cittadini europei

Roma – Facebook è in questo frangente il semplice casus belli , l’Irlanda il paese europeo in cui è maturato il contenzioso, ma di impatto globale è la decisione della Corte di Giustizia dell’Unione Europea, che ricalca il parere già reso dall’avvocato generale: le aziende statunitensi che trattano negli States i dati dei cittadini europei offrono delle garanzie sancite dall’accordo Safe Harbor che, nei fatti, sono schiacciate dal bilanciamento di diritti che gli USA fanno pendere a favore della sicurezza nazionale e dalle pratiche di tecnocontrollo messe in atto dalle agenzie di intelligence, hanno osservato i giudici di Lussemburgo. Per questo motivo l’Europa dovrebbe riconsiderare la possibilità, data per scontata da 15 anni, di consentire che le multinazionali trasferiscano dati su server oltreoceano e li elaborino dove sia loro più agevole.

Safe Harbor dopo la sentenza

La sentenza della Corte di Giustizia dell’Unione Europea è stata espressa in merito al caso che opponeva l’attivista Max Schrems all’autorità irlandese della privacy: a ridosso delle prime rivelazioni del Datagate, il giovane aveva scelto di giocare su un campo di battaglia a lui familiare , quello di Facebook e della privacy, per sollevare dubbi sulla sicurezza dei dati dei cittadini europei, trasferiti negli States per essere gestiti sulla base delle rassicurazioni offerte dalle aziende che abbiano sottoscritto le proprie certificazioni nel quadro del controverso accordo Safe Harbor. Nella pratica l’accordo, sancito da una decisione della Commissione Europea del 2000, stabilisce che gli USA rappresentino un approdo sicuro per i dati personali dei cittadini europei: Schrems, invece, chiedeva al garante della privacy irlandese, riferimento per la sede europea di Facebook, di verificare che i diritti dei cittadini europei fossero al sicuro. Il garante irlandese, potenzialmente al centro di altre sollevazioni analoghe in quanto punto di riferimento di gran parte delle multinazionali statunitensi dell’IT che hanno sede in Europa, si era dichiarato impossibilitato a procedere, in virtù della decisione della Commissione che riconosceva gli accordi Safe Harbor. Il caso era rimbalzato alla High Court irlandese, che a sua volta aveva chiesto consiglio ai giudici di Lussemburgo in merito alle libertà di azione delle autorità nazionali di controllo rispetto a decisioni fissate a livello europeo.

La Corte di Giustizia muove dalla direttiva 95/46/CE sulla protezione dei dati personali, uno dei cui cardini è “l’adeguato livello di protezione” offerto dal paese di destinazione dei dati: una definizione, osservano i giudici, che non implica che un paese terzo debba assicurare un livello di protezione pari a quello garantito dal quadro normativo europeo. Anzi: formalmente è il quadro normativo del paese destinatario dei dati a fissare i riferimenti utili a stabilire se “l’adeguato livello di protezione” è garantito. Questo aspetto appare riflesso nella Decisione 2000/520/CE, che stabilisce gli accordi Safe Harbor: i principi che le aziende statunitensi devono rispettare per trattare i dati dei cittadini europei, e che devono garantire attraverso un meccansimo di autocertificazione, sono stati stabiliti dal Dipartimento del Commercio statunitense . Principi che, peraltro, decadono a favore di “esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”.

La Corte di Giustizia dell’Unione Europea, nel confrontarsi con la Decisione del 2000, sottolinea però che la stessa Commissione europea, nel 2013 , lamentava che “le autorità degli Stati Uniti sono state in grado di accedere ai dati trasferiti dagli stati membri agli USA e di processarli in una maniera incompatibile, in particolare, con gli obiettivi per i quali sono stati trasferiti” e che non esistessero regole che “limitino l’interferenza con i diritti fondamentali delle persone i cui dati sono trasferiti”, né alcun sistema di gestione delle controversie sollevate da privati che dubitassero del rispetto dei principi Safe Harbor da parte degli Stati Uniti, né meccanismi per cui i cittadini europei potessero chiedere l’accesso, la rettifica o la cancellazione dei propri dati trattati negli USA, a differenza di quanto stabilisce la direttiva in materia di privacy. È in questo contesto che entrano in gioco i principi dettati dalla Carta dei Diritti Fondamentali dell’Unione Europea .

Di fatto, la decisione del 2000 “autorizza, su una base generalizzata, la conservazione di tutti i dati personali di tutte le persone i cui dati sono stati trasferiti dall’Unione Europea agli Stati Uniti, senza differenziazioni, limitazioni o eccezioni” che delineino i propositi per cui questi dati sono trattati e delimitino i limiti entro i quali le autorità pubbliche possano accedere e impiegate questi dati. La Carta dei Diritti Fondamentali dell’Unione Europea, però, all’articolo 7 stabilisce il diritto dei cittadini europei al rispetto della vita privata.
Allo stesso modo, una normativa che, come la decisione 520 sull’accordo Safe Harbor, “non preveda alcuna possibilità per un individuo di accedere ai dispositivi legali per accedere ai dati personali che lo riguardano, o per ottenerne la rettifica o la cancellazione” stride con l’articolo 47 della Carta che garantisce il diritto a un ricorso effettivo e a un giudice imparziale. Sono questi motivi che hanno spinto i giudici di Lussemburgo a stabilire che la Decisione della Commissione Europea che sancisce gli accordi Safe Harbor sia da ritenersi non valida .

Sul fronte procedurale, invece, la Corte di Giustizia ha decretato le autorità nazionali di controllo , i garanti della privacy, non debbano essere ostacolati nell’esercizio dei loro poteri volti a garantire la protezione dei dati personali , così come delineata nell’articolo 8 dalla Carta dei Diritti Fondamentali dell’Unione Europea: anche sulla base della direttiva 95/46/CE, i garanti possono vigilare sui trasferimenti dei dati verso paesi terzi. Ora che la Decisione del 2000 è stata resa invalida, il garante irlandese dovrà procedere ad analizzare il caso sollevato da Schrems, e valutare sulla base del quadro normativo europeo se sia opportuno sospendere il trasferimento dei dati degli utenti europei di Facebook verso i server statunitensi, qualora non si offra un adeguato livello di protezione dei dati personali.

Il garante della privacy italiano ha già dichiarato che, dal canto suo, non intende sottrarsi ad alcuna responsabilità: “La Corte ha riaffermato con forza che non è ammissibile che il diritto fondamentale alla protezione dei dati, oggi sancito dalla Carta e dai Trattati UE, sia compromesso dall’esistenza di forme di sorveglianza e accesso del tutto indiscriminate da parte di autorità di Paesi terzi, che peraltro non rispettano l’ordinamento europeo sulla protezione dei dati” ha sottolineato il presidente dell’authority italiana Antonello Soro. La strada da battere, per i garanti degli stati membri, è quella di “una risposta coordinata a livello europeo anche da parte dei Garanti nazionali”, di cui “in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”.

Da parte dell’attivista Max Schrems , prevedibilmente, c’è la piena volontà di proseguire nella propria causa: “le aziende statunitensi non possono semplicemente supportare i tentativi delle agenzie di spionaggio statunitensi che violino i diritti fondamentali dei cittadini europei” ha affermato nella sua prima analisi della decisione della Corte di Giustizia. Secondo Schrems la sentenza, pur dirompente, non influirà sulle attività degli utenti europei di servizi con base negli USA, ma avrà piuttosto un impatto sulle aziende: citando Apple, Google, Facebook, Microsoft e Yahoo, che però hanno sempre negato di essere state informate delle pratiche dell’intelligence americana, Schrems prevede “possano affrontare serie conseguenze legali nel momento in cui le autorità dei 28 paesi membri prenderanno in esame la loro collaborazione con le agenzie di spionaggio USA”. Le associazioni che si battono per i diritti dei cittadini connessi, come Open Rights Group e EFF , attendono al varco.

Facebook , dal canto suo, si affretta a ribadire la propria innocenza e il suo ruolo tangenziale rispetto alla decisione dei giudici europei: “lo stesso avvocato generale ha riferito che non abbiamo fatto nulla di male” ha dichiarato un portavoce del social network. “È prioritario – afferma il portavoce – che l’UE e gli USA continuino ad assicurare soluzioni affidabili per trasferimenti di dati legali e risolvano ogno questione riguardo alla sicurezza nazionale”.
Sulla stessa linea d’onda c’è la Computer & Communications Industry Association, che rappresenta i colossi dell’IT statunitense, da Google a Microsoft, da eBay a PayPal, naturalmente fra i 5mila soggetti che si affidano agli accordi Safe Harbor per operare, e che paventa “un impatto negativo sull’economia europea, in grado di arrecare danno alle aziende medio-piccole e soprattutto ai consumatori che utilizzano i loro servizi”. “L’Europa – e l’invocazione suona quasi come una minaccia – non deve diventare un’isola disconnessa nell’economia digitale globale”.

L’ Europa farà di tutto per agire tempestivamente, hanno assicurato il vicepresidente della Commissione Europea Frans Timmermans e il Commissario alla giustizia Vera Jourová nel corso della conferenza stampa del primo pomeriggio: mentre già si lavora a un “safer safe harbor” e continua l’iter di approvazione degli Umbrella Agreements che dovrebbero regolare la cooperazione e il trasferimento dei dati personali tra le forze di polizia degli stati membri UE e degli States, le priorità sono la protezione dei dati che fluiscono oltreoceano con adeguate garanzie fissate in accordi internazionali, e la compattezza degli stati membri nell’applicazione del quadro normativo dell’Unione.

Gaia Bottà

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Stefano scrive:
    Problems accellerometro
    Il Mio nexus 7 2013 è stato aggiornato, ma con l'aggiornamento ha smesso di funzionare l'accelerometro, quindi il tablet è fermo in modalità verticale.
  • il solito bene informato scrive:
    Nexus
    Previsto l'aggiornamento a 6.0 per il Nexus 5: :D YEEEEEscluso dall'aggiornamento il Nexus 10: :( aaaww
  • bancai scrive:
    tolta la batteria
    che c'è di nuovo e interessante? gli sfondi sono rimasti ancora bianchi (hanno copiato la schifezza introdotta da ios), per il resto dall'articolo di roba interessante non se ne vede...
    • il signor rossi scrive:
      Re: tolta la batteria
      - Scritto da: bancai
      che c'è di nuovo e interessante? gli sfondi sono
      rimasti ancora bianchi (hanno copiato la
      schifezza introdotta da ios), per il resto
      dall'articolo di roba interessante non se ne
      vede...cioè, secondo te le API per i sensori biometrici (con tutto ciò che comporteranno, che forse al momento ti sfugge), la funzionalità Doze, Now on tap non sono roba interessante?
  • Ethype scrive:
    50%
    INCREDIBILEGià il 50% dei device è aggiornato ad Android 6.0.
    • Ethype scrive:
      Re: 50%
      Scusate, non ho completato il messaggio.50% ha aggiornato nella sede Google che si occupa dello sviluppo di Android e Play Services.L'altro 50% attende iOS 9.1.Al di fuori, Android 6.0 ha toccato quota 0,001%. Forse.
  • Lollo scrive:
    Sony oltre le specualzioni
    Ha confermato:Xperia Z5Xperia Z5 CompactXperia Z5 PremiumXperia Z4 TabletXperia Z3+Xperia Z3Xperia Z3 CompactXperia Z3 Tablet CompactXperia Z2Xperia Z2 TabletXperia M5Xperia C5 UltraXperia M4 AquaXperia C4
  • non so scrive:
    Nexus 5, 6, 7 (2013), 9 e Nexus Player
    Non so se ci avete fatto caso, ma scrivendo Nexus 7 (2013) oltre a indicare il supporto al suddetto modello si indica molto elegantemente che Nexust 7 (2012), un dispositivo di soli 3 anni che veniva decantato per le sue qualità hw (Tegra 2) è già stato abbandonato.
    • Qualcuno scrive:
      Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
      È prassi di Google di supportare i dispositivi Nexus per 18 mesi, poi basta, ma alcuni di quelli che riceveranno Android 6 sono più vecchi.Certo, Apple in questo caso è imbattibile.
      • bradipao scrive:
        Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
        - Scritto da: Qualcuno
        Certo, Apple in questo caso è imbattibile.Vero a metà.Vero per gli aggiornamenti di sistema, sicurezza e quant'altro.Meno vero per le nuove funzionalità, che spesso risultano disattivate nei dispositivi più vecchi, penso per ovvi limiti di performance o incompatibilità hardware.
        • Prozac scrive:
          Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
          - Scritto da: bradipao
          - Scritto da: Qualcuno

          Certo, Apple in questo caso è imbattibile.

          Vero a metà.

          Vero per gli aggiornamenti di sistema, sicurezza
          e
          quant'altro.
          Meno vero per le nuove funzionalità, che spesso
          risultano disattivate nei dispositivi più vecchi,
          penso per ovvi limiti di performance o
          incompatibilità
          hardware.Io ho un iPhone 4S e un iPhone 6. Il primo ha avuto un aggiornamento da 800MB, il secondo da 1GB.Dici che le funzionalità non le mettono nei dispositivi più vecchi causa limiti di performance o hardware.Entrambi gli smartphone sono compatibili con Siri.Secondo te perché sull'iPhone 6 posso accedere alla schermata di ricerca (a sinistra della prima pagina) mentre sull'iPhone 4S no?Con l'iPhone 4S per accedere alle "notizie" devo usare la vecchia maschera di spotlite (presente anche sul 6) e digitare "notizie". Allora mi appare l'elenco che appare in automatico sul 6 quando accedo alla nuova schermata di ricerca.
          • Ethype scrive:
            Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
            il 4S ha la metà della ram, è tutto lì il motivo.Per l'età che ha va incredibilmente bene.
          • Prozac scrive:
            Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
            - Scritto da: Ethype
            il 4S ha la metà della ram, è tutto lì il motivo.
            Per l'età che ha va incredibilmente bene.E quindi?Non riesce a visualizzare un elenco di notizie???E come mai se in spotlite digito "notizie" quell'elenco me lo fa vedere?Comunque sì, per avere l'età che ha, va ancora benone (soprattutto dopo un reset totale).
    • gnammolo scrive:
      Re: Nexus 5, 6, 7 (2013), 9 e Nexus Player
      credo dipenda dal pessimo supporto di nVidia per la piattaforma tegra
Chiudi i commenti