Maximilian Schrems e la caduta del Privacy Shield

La sentenza della Corte di giustizia sul Privacy Shield ha una portata storica. Ha sancito che il livello di protezione dei diritti in Europa deve essere assicurato in modo sostanziale, impedendo il trasferimento massivo di dati. Si aprono scenari di ridefinizione degli assetti di regolazione, che necessitano un approccio internazionale e rivelano la componente geopolitica della dislocazione delle infrastrutture di rete.

 

Maximilian Schrems ha trionfato ancora. Con una storica sentenza ha causato l’annullamento anche dell’accordo che regola il destino dei dati dei cittadini dell’Unione nella galassia dei trasferimenti sui server delle imprese interessate, il noto Privacy Shield.

In realtà, nel 2015 la sua azione legale aveva condotto all’annullamento anche del primo accordo in materia, il Safe Harbour, in vigore dal 2000. Gli effetti della sentenza dovevano cambiare il regime giuridico del trasferimento dati già da allora. La sentenza del 16 luglio, invece, sancisce che quanto fatto dopo quella prima importante sentenza non era ancora legittimo. Come, del resto, il Parlamento europeo aveva sottolineato nel 2016, quando aveva mosso severe critiche in una relazione dedicata al Privacy Shield, del 2017.

E proprio quest’ultimo, secondo la Corte, non è conforme a una tutela della riservatezza che sia coerente con i diritti fondamentali della persona. Non assicura una protezione equivalente. Un punto delicatissimo, in cui la Corte muove critiche al sistema Usa, dal momento che non viene dichiarato compatibile con il livello di diritti assicurato all’interno dell’Unione europea. Le autorità nazionali sono tenute, secondo la Corte, ad adottare azioni concrete volte ad assicurare i diritti sanciti dall’Unione (questo avrà conseguenze sia sull’Autorità irlandese, da cui il caso promana, sia sui garanti degli altri Stati membri).

Una conseguenza appare chiara: la Commissione ne esce fortemente sconfitta. Ben due accordi annullati, di cui il secondo proclamato come un toccasana per la privacy europea. La sua posizione invece si è rivelata troppo debole, poco protettiva degli interessi dei cittadini dell’Unione.

Sullo sfondo, resta il tema vastissimo della sorveglianza di massa. L’illiceità del trasferimento dei dati, infatti, deriva anche e soprattutto dal fatto che i dati degli utenti potevamo essere soggetti all’analisi e al monitoraggio delle agenzie governative, ormai note a tutto il mondo dopo le rivelazioni di Edward Snowden e lo scandalo di Cambridge Analytica. L’associazione NOYB, che Schrems presiede, ha commentato la decisione sostenendo che è necessaria una riforma della disciplina della sicurezza all’interno degli stessi Stati Uniti. Questo è un aspetto centrale: solo con un dialogo internazionale aperto si potrà definire un assetto stabile di protezione. È la cooperazione internazionale lo strumento per disciplinare compiutamente questi aspetti ormai centrali nella vita quotidiana di ciascuno; la fuga verso una dimensione solamente nazionale è una soluzione solo apparente.

L’inizio del XXI Secolo, dunque, si sta caratterizzando per la sempre maggiore capillarità di Internet e delle trasmissioni digitali, che producono side effects estremamente gravi. Affrontare le questioni alla base della sentenza avrà ripercussioni sulla definizione delle politiche pubbliche; da tempo torna a a parlarsi di autonomia digitale (spesso di “sovranità”). Senza esasperazioni, evitando ritorni nazionalistici e tenendo in  mente, al contrario, la necessità di un approccio internazionale, è comunque chiaro che il controllo sull’infrastruttura va ripensato in un’ottica complessiva di governo del settore. L’auspicio migliore sarebbe quello di elevare gli standard internazionali, tutelando i cittadini in base a principî comuni. l’Unione europea potrebbe contribuire fortemente a ridisegnare l’uso di uno strumento senza precedenti nella storia, come Internet, di cui però si è fatto abuso attraverso la captazione e la sottrazione di dati, preferenze, abitudini e gusti personali. È questo, tuttavia, uno scenario molto difficile, almeno al momento, e si ragiona in termini di una maggiore tutela in specifici ambiti geografici, rivelando la componente geopolitica della dislocazione architettura della “rete delle reti” (si veda il progetto per un cloud europeo). La preoccupazione è che si possa comprometterne la interoperabilità e la interconnessione, suoi elementi fondanti, quando il beneficio della società dell’informazione è proprio quello di essere connessa e di poter scambiare informazioni. Assicurando, al contempo, libertà fondamentali come quella di manifestazione del pensiero (attraverso canali leciti).

Resta aperto un aspetto della controversia, relativo alle clausole contrattuali standard. La decisione 2010/87 che ne consente l’utilizzo (conformemente al parere dell’Avvocato generale, di cui ho parlato per l’Osservatorio), non è stata censurata dalla Corte di giustizia. Facebook, attraverso il suo portavoce, si afferma vincitrice, affermando di poter continuare a usarle garantendo la privacy degli utenti. Del resto, le circa 5000 imprese che beneficiano del Privacy Shield si mostrano preoccupate della stabilità del regime giuridico applicabile prima del raggiungimento di un nuovo “accordo”. Oltreoceano non mancano critiche durissime, che parlano di “ipocrisia europea” – che non terrebbe conto della lotta al terrorismo e non riesce a imporre ai propri Stati membri lo stesso livello di tutela richiesto dalla sentenza – addirittura propongono azioni decise di risposta da parte del governo Usa, tra cui la intensificazione del rapporto con il Regno Unito, fino a contromisure da adottare in base ad accordi internazionali come il WTO.

Non è di questo avviso Schrems, che contesta tale lettura e afferma che in base alla Corte l’uso attuale di tali clausole è illegittimo, qualora la conseguenza sia quella di trasferire i dati sui server statunitensi, che non assicurano la protezione richiesta dalla Corte. Probabilmente coglie nel segno anche questa volta: la Corte ha guardato all’effetto dei trasferimenti e, quindi, all’utilizzo effettivo dei dati dei cittadini europei parametrato ai diritti sanciri dall’Unione.

Sembrerebbe più che ragionevole dargli ragione.

 

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.