Dopo lo stop ai signori del copyright, il Parlamento europeo ferma le tech company americane: no al trasferimento dei dati dei cittadini
6 min letturaDue buone notizie per i diritti dei cittadini nello stesso giorno. Dopo il rinvio della riforma della direttiva copyright a settembre (si tratta di questione complessa, si consiglia di leggere l’articolo di Fabio Chiusi e quello di Valigia Blu, altri link sono all’interno degli articoli), il Parlamento europeo ha approvato una risoluzione che prevede la possibile sospensione del Privacy Shield. Un colpo verso l’industria del copyright e uno verso l’industria tecnologica, a tutela dei diritti dei cittadini.
Il Privacy Shield è una decisione (1250/2016, operativa dal primo agosto 2016) che ha sostituito il precedente Safe Harbour, invalidato dalla Corte di Giustizia europea a seguito di un ricorso di Max Schrems, e che autorizza il trasferimento dei dati dei cittadini europei da parte delle aziende americane negli Usa. Il problema è dato dal fatto che la legislazione Usa è meno tutelante rispetto a quella europea. Ad esempio, consente alle agenzie di sicurezza (come l’Nsa) di accedere a tutti i dati indiscriminatamente, e quindi ben oltre i poteri delle agenzie europee.
L’Europa ha sempre temuto (e lo scandalo NSA ha provato tali timori) che le aziende americane potessero trasferire i dati dei cittadini europei negli Usa, permettendo un uso dei suddetti dati anche in contrasto con le normative europee. Per questo l’Unione europea pretese un accordo per garantire la tutela dei dati degli europei, cosa che non si realizzò mai. Quindi la Commissione europea se ne uscì nel 2001 col Safe Harbour (che non è un accordo ma una decisione della Commissione), una versione annacquata della normativa europea, per il quale bastava una semplice adesione per ritenere che l’azienda fosse rispettosa delle regole europee, spesso senza nemmeno alcun controllo, ma in base ad una mera autocertificazione.
La decisione del 2001 ha, però, impedito ai Garanti europei di valutare ed eventualmente intervenire a tutela dei cittadini europei. E questo in violazione dell’art. 28 della direttiva 95/46. Con il trasferimento negli Usa dei suoi dati, infatti, un cittadino europeo non ha alcuna possibilità di ricorso o impugnazione contro l’Nsa o un’agenzia di sicurezza americana, poiché l’FTC ha competenza solo sulle questioni commerciali e quindi sulle aziende. Insomma, il cittadino europeo non aveva alcun giudice a cui rivolgersi, e la colpa era proprio del Safe Harbour che bloccava eventuali interventi dei Garanti europei. Da cui l'invalidazione.
Si trattò di un pesante “schiaffo” alla politica della Commissione europea che per oltre un anno aveva ignorato le richieste del Parlamento in merito alla sospensione del Safe Harbour per motivi di sicurezza nazionale (ricordiamo le notizie di intercettazioni addirittura di capi di Stato europei).
In the eyes of our citizens, the US is guilty of espionage and data theft. There is no confidence in these negotiators. As long as the Americans do not want to commit to protecting EU citizens' data and to respect us, there is no basis for a trade agreement (Helmut Scholz, membro del Parlamento europeo, durante le negoziazioni sul TTIP)
A seguito dell’invalidazione del Safe Harbour, i Garanti nazionali riacquistarono il potere di sindacare il trattamento dei dati da parte delle aziende americane (e quindi il trasferimento negli Usa). Ma il 2 febbraio 2016 la Commissione Europea e il Segretario al Commercio per il governo americano presentano il Privacy Shield che sostituisce il Safe Harbour. Un accordo che quasi nessuno più si aspettava perché, nonostante varie promesse, gli Usa non avevano fatto alcuno sforzo per modificare la loro legislazione. A tempo scaduto, invece, arriva l’annuncio.
Nella realtà il Privacy Shield non è un accordo giuridico bensì politico, cioè un modo per prendere tempo autorizzando i trasferimenti dei dati negli Usa. Una sconfitta negoziale per l’Europa. L’unica effettiva novità è la possibilità per l’FTC americana di imporre alle aziende Usa le decisioni dei Garanti europei. Considerato che la Federal Trade Commission ha giurisdizione sulle questioni commerciali e non sui diritti umani, ci si chiede fin dove potrà, o vorrà, spingersi.
La proposta della Commissione europea è un affronto alla Corte di giustizia europea, che ha ritenuto illegale il Safe Harbour, così come per i cittadini di tutta Europa. La proposta si basa solo su una dichiarazione da parte delle autorità statunitensi e sulla loro interpretazione della situazione giuridica relativa alla sorveglianza da parte dei servizi segreti degli Stati Uniti. Si tratta della svendita del diritto fondamentale alla protezione dei dati da parte della UE (Jan Philipp Albrecht, membro del Parlamento europeo, relatore del GDPR)
La tutela degli europei negli Usa si basa principalmente sul Judicial Redress Act, approvato nel febbraio del 2016 proprio tra le “promesse” degli Usa, ad estendere i diritti degli americani anche agli europei. Prima la privacy era a tutela solo dei cittadini Usa. In realtà presenta tali e tante limitazioni da essere praticamente inutile (es. non si applica al materiale investigativo compilato “a fini di contrasto”, una categoria generica nella quale i tribunali americani ci infilano di tutto, compreso i controlli preventivi; e alcune agenzie governative sono esentate dall'applicazione della legge, come l’NSA).
Stesso discorso per l’accordo Umbrella, la cui unica novità è di considerare “trattamento” anche la raccolta dei dati mentre in precedenza per gli americani il trattamento era solo l’accesso, per cui potevano (vedi Nsa) raccogliere quantità enormi di dati senza problemi, salvo poi accedere con specifiche query (ricerche) ai dati (in tal modo per loro l’accesso era “mirato”).
Le problematiche legate alla decisione della Commissione quindi sono parecchie, come anche la circostanza che le misure di sorveglianza negli Usa sono ammesse per scopi del tutto generici e non identificati (es. conduzione di affari esteri), e gli Usa ammettono una raccolta indiscriminata non solo dei metadati ma anche dei contenuti (es. testo delle mail).
Inoltre, già nella fase dei negoziati pesanti critiche si sono addensate sul Privacy Shield. Nel maggio del 2016 il Parlamento europeo esprime le proprie preoccupazioni sui negoziati con gli Usa. Ma la risoluzione non legislativa viene ignorata dalla Commissione.
Dopo l’approvazione, il 6 aprile 2017, in sessione plenaria il Parlamento torna sulla questione, chiedendo alla Commissione europea di condurre una valutazione approfondita sul Privacy Shield, anche in relazione ai provvedimenti restrittivi sulla privacy adottati dalla nuova amministrazione americana. Anche questa ignorata.
Inoltre pende già un ricorso contro il Privacy Shield dinanzi alla Corte di Giustizia europea (causa T-738/16, La Quadrature du Net c/Commissione ) e un rinvio dell'Alta Corte irlandese nel caso Schrems c/ Facebook (Schrems 2), in considerazione del fatto che la sorveglianza di massa degli Usa risulta ancora in essere.
Rimangono, quindi, intatte tutte le preoccupazioni sul Privacy Shield:
- Accesso delle autorità pubbliche Usa ai dati trasferiti.
- Possibilità di raccolta indiscriminata dei dati non conforme ai criteri di necessità e proporzionalità.
- Ruolo del mediatore ritenuto non sufficientemente indipendente.
- Complessità dei meccanismi di ricorso ritenuti né efficaci né semplici.
Ed ecco che il 5 luglio 2018 il Parlamento europeo vota e adotta una risoluzione in base alla quale il Privacy Shield non fornisce la necessaria protezione dei dati prevista (cioè sostanzialmente equivalente a quella europea) per i cittadini dell’UE. Il Parlamento chiede impegni vincolanti e prove per garantire che la raccolta dei dati non sia indiscriminata e che l’accesso non sia condotto su base generalizzata, cioè in contrasto con le norme UE.
Il Parlamento si mostra particolarmente contrario alla recente legge degli Usa (CLOUD Act) che espande i poteri delle forze di polizia americane di accedere ai dati delle persone attraverso i confini internazionali senza passare per gli strumenti di assistenza giudiziaria reciproca (MLAT) che prevedono adeguate garanzie e ripartizioni delle competenze.
Critica, infine, l’operato della Commissione, in quanto non ha riavviato i dialoghi sull’accordo e non ha predisposto alcun piano di azione per ovviare alle problematiche emerse, invitandola a sospendere il Privacy Shield alla data del primo settembre se gli Usa non si conformano alle norme europee.
Il Privacy Shield è attualmente lo strumento utilizzato per il trasferimento dei dati negli Usa di circa 4.000 aziende, compreso i grandi del web, come Google, Facebook, Microsoft, Amazon e Twitter. Alcune di queste aziende prevedono altri strumenti (clausole contrattuali) per il trasferimento, ma in generale la sospensione del Privacy Shield potrebbe significare l’impossibilità di utilizzare molti servizi forniti da aziende con sede negli Usa.
In realtà solo la Commissione europea può sospendere il Privacy Shield, e al momento non pare intenzionata a farlo. L’idea, piuttosto, è di lavorare con all'amministrazione Usa per risolvere i problemi evidenziati.
Questo è un problema molto serio per l'industria tecnologica degli Stati Uniti e Unione europea. Finché si applicano le norme Usa ai flussi di dati, la CGUE non potrà mai dire che un contratto sia valido, dopo aver invalidato il Safe Harbor in conseguenza delle leggi sulla sorveglianza degli Usa. Fin quando gli Usa non modificano le proprie norme non vedo nessun soluzione possibile (Maximiliam Schrems).
European Parliament calls on the @EU_Commission to suspend the #PrivacyShield, unless the US is fully compliant by 1 September. European citizens need a solution that is legally watertight!
— Sophie in 't Veld (@SophieintVeld) 5 luglio 2018
Foto in anteprima via Eldia.es