Successivo

Security

Safe Harbor: una sentenza invalida lo scambio di dati personali EU-USA

Andrea Monti | 16 Ottobre 2015

Internet Sicurezza Social

Il 6 ottobre 2015 la Corte di giustizia europa ha invalidato l’accordo tra Unione Europea e Stati Uniti sullo scambio […]

Il 6 ottobre 2015 la Corte di giustizia europa ha invalidato l’accordo tra Unione Europea e Stati Uniti sullo scambio di dati personali. Il vuoto legislativo provocato dalla sentenza rischia di mettere in ginocchio l’economia del vecchio continente in nome di una cattiva applicazione di giusti principi.

di Andrea Monti
La direttiva sul trattamento dei dati personali emanata nel 1995 impone, fra le altre cose, il divieto di esportare o comunque scambiare dati con paesi che non garantiscono adeguata protezione giuridica dei dati in questione. Fra questi paesi ci sono gli Stati Uniti d’America che hanno un approccio diametralmente opposto a quello europeo. Per esempio, oltreoceano la regola cardine per il trattamento e l’opt-out (tratto i dati, se non sei d’accordo dimmelo e smetto… Forse), nell’Unione Europea vale il principio dell’opt-in (prima ti chiedo il consenso e poi tratto i dati – salve alcune eccezioni per le quali non serve autorizzazione).

Essendo irrealistico pensare di impedire lo scambio dei dati con gli USA, nel 2000 la Commissione Europea ha stipulato un accordo, il Safe Harbor, che a certe condizioni (sostanzialmente, il rispetto di fatto dei principi europei) consente l’attività  che prima era vietata. Aderendo al Safe Harbor le autorità  di protezione dei dati personali, pur conservando il loro potere di controllo, potevano presumere che lo scambio di dati avvenisse in modo regolare, salve verifiche caso per caso.
Tutto è andato più o meno bene fino a quando la Corte di giustizia europea ha “improvvisamente” scoperto che i servizi segreti americani accedono anche ai dati degli europei che sono memorizzati nei server oltreoceano. A questo punto, dice la Corte, prendiamo atto che rispetto alla direttiva sulla protezione dei dati personali, il Safe Harbor è insufficiente a proteggere i dati dei cittadini europei dalle attenzioni dei servizi e quindi lo dichiariamo invalido.

Prima di analizzarne le conseguenze, va detto però che la sentenza è sbagliata e ipocrita. È sbagliata perché ha basato la sua decisione su un presupposto, l’attività  di sorveglianza globale, che è espressamente escluso dal campo di applicazione della direttiva. L’art. 3.2 di quest’ultima dice chiaramente che le questioni di sicurezza nazionale e ordine pubblico non sono regolate dalla norma europea. E nessuna azienda privata può essere costretta a impedire o ostacolare le attività  di intelligence del proprio Stato. Vale per le aziende americane in America, e per quelle europee in Europa. Dunque, il Safe Harbor era (ed è) valido nei limiti in cui deve “funzionare” nei rapporti fra privati e con il potere giudiziario (che da entrambi i lati dell’oceano è una cosa diversa dalla difesa o dagli interni e che opera sul campo solo tramite ordini della magistratura). Ma non ha senso per quanto attiene ad aspetti militari e di intelligence.

È ipocrita perché fino dagli anni ’80 del secolo scorso era nota l’esistenza di progetti di sorveglianza globale come Echelon e dunque la questione della validità  del Safe Harbor si sarebbe posta anche all’epoca della usa emanazione. La realtà  è che si è andati avanti con la logica “occhio non vede, cuore non duole”.
Con la cancellazione del Safe Harbor si è creata una situazione di totale vuoto legislativo che, letteralmente dall’oggi al domani, ha reso illegale scambiare dati con gli USA. E nemmeno si può sperare – come hanno chiesto gli americani – che la Commissione europea garantisca un periodo di sospensione dell’efficacia della sentenza, che conservi il valore degli altri strumenti giuridici che è possibile usare per realizzare lo scambio di dati internazionale, o che affermi la non responsabilità  delle aziende che hanno operato nell’ambito del Safe Harbor. Per come è fatta la direttiva sul trattamento dei dati personali e per come sono strutturati i rapporti gerarchici fra Commissione europea e autorità  locali, nessuna di queste richieste è ammissibile in termini giuridici e dunque le autorità  locali di protezione dei dati personali hanno letteralmente una pistola puntata alla tempia di tutte le imprese che operano internazionalmente.

Questo può essere un vantaggio per gli ISP italiani che hanno data-centre in Italia e in Europa, e che dunque non hanno il problema del Safe Harbor, ma è certamente un danno per i loro clienti (istituzioni, aziende e professionisti) che operano internazionalmente: le conseguenze della decisione della Corte europea, infatti, impattano più sugli utilizzatori finali dei servizi della società  dell’informazione piuttosto che sui suoi fornitori. Chi basa la propria attività  su servizi di hosting, housing o comunque basati su data-centre dovrà  intanto scegliere se risolvere i contratti con i fornitori americani per rivolgersi solo a risorse localizzate in Europa, così rimanendo vittima di un effetto distorsivo del mercato che li costringerà  a subire maggiori costi.
E dove ciò non fosse possibile chiunque – non solo gli ISP, ma anche banche, enti di ricerca, ospedali e così via – dovrebbero semplicemente smettere di scambiare dati con gli USA. Il che è palesemente irrealistico.

Questo apre due scenari: o le autorità  garanti locali applicano rigorosamente la normativa sul trattamento dei dati personali e, semplicemente, paralizzano le imprese nazionali.
O fanno “finta di niente” e allora si è fatto tanto rumore per nulla.
E allora sorge spontanea la domanda: che senso ha avuto, da parte della Corte di giustizia, emettere una sentenza che sta da qualche parte fra lo sbagliato e l’inutile?
Andrea Monti