Privacy Shield, uno scudo fragile per i nostri diritti: ecco il primo ricorso

Arriva il ricorso di Digital Rights Ireland alla Corte di Giustizia Ue contro l’accordo per lo scambio di dati di cittadini europei con gli Usa. Cittadini e aziende non avranno una protezione particolarmente robusta da questo strumento giuridico
Agenda Digitale del 28 ottobre 2016

T-670/16 è il numero assegnato alla causa promossa da Digital Rights Ireland (una ONG irlandese che tutela i diritti civili online) contro la Commissione europea e diretta a rompere il Privacy Shield, lo scudo della privacy costruito (faticosamente) all’indomani dell’annullamento, sempre disposto dalla Corte europea, del Safe Harbour. Se Digital Rights Ireland dovesse vincere, lo scambio di dati personali fra UE e USA potrebbe avere un altro stop, e non poter più ripartire, almeno in forma legalmente accettabile. I danni per cittadini e aziende sarebbero irreparabili, perchè delle due l’una: o si bloccheranno i rapporti UE/USA o, e forse e peggio, nessuno più prenderà sul serio la normativa sul trattamento dei dati personali, che verrà difatto disapplicata.

Come si è arrivati a tutto questo?

Interpretando la direttiva 95/46 sulla protezione dei dati personali contro la storia e la realtà, gli USA sono stati inseriti dalla Commissione europea e dalle autorità di protezione dei dati personali dei paesi membri nella lista nera delle nazioni verso le quali non si può (o meglio, non si potrebbe) esportare dati personali se non violando norme comunitarie e nazionali.

Per rendere legale un’attività che, è chiaro, non si è evidentemente mai fermata, l’Unione Europea e gli USA hanno negoziato un accordo, il Safe Harbour, che imponendo alle imprese USA di rispettare la direttiva comunitaria, rendeva lecito il trasferimento dei dati personali negli States.

Come già scrissi, con facili poteri divinatori nel luglio 2016 su Agenda Digitale:

al di la dei contenuti che sono stati negoziati fra Unione Europea e Stati Uniti, tuttavia, il Privacy Shield è inutile e giuridicamente debole quanto il Safe Harbour e dunque non stupirebbe che facesse la stessa fine: annichilito da una sentenza della Corte, al primo ricorso di qualche attivista che non gradisce di essere oggetto delle attenzioni delle strutture di sicurezza americane.

E ancora:

per capire il senso di questa affermazione, è bene ricordare il motivo per il quale la Corte europea ha annullato il Safe Harbour: la sua incapacità di proteggere dalla “intrusioni” delle strutture di intelligence i dati personali che i cittadini europei depositavano in server soggetti alla giurisdizione americana (nel caso specifico del ricorso, quelli di Facebook).

Il problema di questa sentenza è che applica la direttiva sul trattamento dei dati personali a un settore (quello della sicurezza nazionale) che è espressamente al di fuori del raggio di azione della direttiva stessa. Pretende di regolare la politica interna di uno Stato sovrano con uno strumento giuridico che, invece, era stato concepito per regolare il trattamento dei dati personali in ambito puramente civilistico.

Siccome il Privacy Shield non ha condizionato o limitato le attività di intelligence dei servizi segreti americani, è abbastanza intuitivo che questi potranno continuare ad avere accesso ai dati europei memorizzati a casa loro, e che il nuovo accordo di scambio dati presenta gli stessi problemi della sua versione precedente e dunque rischiare l’ennesima bocciatura giudiziaria.

Segnali che indicano questa direzione arrivano dal presente e dal passato (remoto).

Con una sentenza del 14 luglio 2016 nella causa n. 14-2985 – Microsoft contro USA, la Corte d’appello per il secondo distretto ha stabilito che gli ordini di esibizione di dati informatici non si applicano extraterritorialmente. Quindi, l’autorità giudiziaria americana non può chiedere a Microsoft Corporation di consegnare i contenuti delle email di un cliente (americano) custoditi esclusivamente in Irlanda. Leggendo la sentenza a contrario però, questo significa che un magistrato statunitense può ordinare ad un’azienda statunitense di consegnare anche dati di cittadini europei purchè memorizzati in USA.

La cosa curiosa è che l’Italia, invece, ha fatto esattamente il contrario.

Nel 2000 – a legge sui dati personali pienamente in vigore – investigando su un caso di pornografia minorile, le Procure della Repubblica di Torre Annunziata e Catania chiesero a Microsoft Italia di avere i dati relativi agli utenti di una comunità virtuale su MSN.it. All’epoca, la richiesta venne esaudita utilizzando la filiale italiana come tramite per l’acquisizione dei dati custoditi in USA. Per dovere di cronaca è corretto rilevare che non risultano questioni processuali relative a questa parte delle indagini. Si tratta – a memoria – di un precedente che non ha avuto seguito in altri procedimenti penali (ma non è detto) che però rivela come l’attitudine italiana sia molto diversa da quella statunitense.

E’ chiaro, dunque, che il Privacy Shield è molto più fragile di quello che sembra, e che cittadini e aziende non avranno, in realtà, una protezione particolarmente robusta da questo strumento giuridico. E, allora, forse, per forgiare il prossimo scudo dei dirtti civili la Commissione farebbe meglio a rivolgersi a Tony Stark, il progettista di quello di Capitan America.

Possibly Related Posts: