Protezione Dati Personali: onde sismiche in Atlantico, ipocentro in Lussemburgo (parte seconda)
Il caso Snowden ha aperto uno squarcio molto allarmante sulla dissociazione tra proprietà e controllo dei dati personali. Questa dissociazione assume un profilo geo-economico se si considera che il trasferimento e la rielaborazione dei dati ne implicano lo stoccaggio in grandi centri o cloud (nuvole) sotto il controllo di operatori la cui localizzazione è indipendente dal luogo di provenienza dei dati, ma dipende piuttosto dalla nazionalità dell’operatore. Attualmente, l’85% del mercato globale di cloud computing è rappresentato da imprese basate negli USA, che trattano dati di persone, imprese, istituzioni, organizzazioni del resto del mondo, e soprattutto europee. C’è dunque uno scambio ineguale tra individui e operatori digitali, ma anche tra le due sponde dell’Atlantico. La trattativa tra USA e UE è molto difficile, complicata dalla presenza di interessi divergenti in Europa, che si rivelano nella competizione tra sistemi differenziati di tax ruling (mantenuti segreti), nella coesistenza di modelli di protezione/sorveglianza, di leggi e di autorità per la protezione dei dati diversi nei diversi Stati membri, e in sostanza dalla mancanza di un mercato unico digitale, oltre che nella forte pressione delle imprese americane e delle loro lobby a mantenere inalterato l’equilibrio attuale. Fa riflettere che il Volkswagen diesel-gate sia scoppiato proprio in questo momento.
La svolta, infatti, è arrivata da un’altra parte. In mancanza di competitori alla pari di qua e di là dell’Atlantico che si giocano la partita dei dati, ci ha pensato la Corte di Giustizia europea, basata in Lussemburgo. Il caso è stato sollevato da un cittadino austriaco che, iscritto a Facebook dal 2008, ha denunciato all’autorità irlandese di controllo della privacy l’inadeguatezza della protezione USA contro l’intrusione della sorveglianza NSA sui dati trasferiti da Facebook dall’Irlanda (dove è basato il suo quartier generale in Europa, come di molte altre grandi multinazionali americane dell’internet business). L’Autorità irlandese ha respinto la denuncia, rimandando alla decisione della Commissione del 2000 di considerare gli USA un safe harbor. L’Alta Corte di Giustizia irlandese allora ha interpellato la Corte di Giustizia europea per verificare se una decisione della Commissione poteva impedire ad un’autorità nazionale di indagare su una denuncia simile, e la sentenza ha stabilito che a) le autorità nazionali di controllo devono agire in piena indipendenza; b) spetta alla Corte di Giustizia europea decidere sulla validità o meno di una decisione della Commissione; c) la Commissione non ha proceduto a constatare se gli USA garantiscono effettivamente un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’UE; d) il regime di Safe Harbor è applicabile solo alle imprese americane che lo sottoscrivono e non alle autorità americane e poiché le esigenze di sicurezza nazionale prevalgono sul regime di Safe Harbor le imprese americane sono tenute a disapplicarlo in caso di conflitto con tale esigenze, anche se il trattamento è incompatibile con le finalità del trasferimento dei dati ed eccede il criterio di necessità e proporzionalità rispetto alla tutela della sicurezza; e) le persone interessate non dispongono di rimedi amministrativi e giurisdizionali per proteggere effettivamente i propri dati. In conclusione, la normativa del Safe Harbor viola il contenuto essenziale del diritto alla privacy e la Commissione non ha la competenza di limitare i poteri delle autorità di controllo nazionali.
Le conseguenze di questa sentenza sono sismiche. I Garanti europei della privacy riuniti nell'Article 29 Working Party hanno stabilito che le imprese USA che continueranno a importare, da fine gennaio 2016, dati europei secondo le regole del Safe Harbor incorreranno in sanzioni, a meno che entro quella data non venga rinegoziato un nuovo accordo. Dall’altra parte, il DoC degli USA ha rassicurato le proprie imprese che intanto nulla cambia, e l’ambasciatore USA presso la UE Anthony Gardner, ha minacciato che “senza accordi sui flussi di dati non può esserci TTIP”. Nel frattempo, sia in Russia che in Germania sono state emanate norme per la nazionalizzazione dei cloud delle agenzie pubbliche, in nome della protezione dei dati personali, di quelli sensibili, e degli interessi di sicurezza. Il commissario Andrus Ansip al mercato unico digitale tuona contro la geo-localizzazione dei dati secondo coordinate nazionali, la commissaria alla giustizia Vera Jourova vola a Washington per accelerare i negoziati su un nuovo accordo Safe Harbor. I difensori dell’accordo si richiamano alla open internet contro il protezionismo europeo ed evocano le insidie alla privacy che potrebbero derivare dal consegnare i dati alla tutela di governi autoritari, le Telecom annusano odore di business nella gestione della sicurezza e delle nuvole nazionali. I militanti dei diritti fondamentali contestano che essi vengano negoziati entro trattative commerciali come il TTIP. Di tutto questo ci sono scarse tracce nei media italiani. Poco rumore per molto.
* Patrizia Fariselli è docente di Economia dell'innovazione presso l'Università di Bologna
di Luca Tentoni
di Miriam Rossi