Il Privacy Shield – lo scudo per la privacy, che regolava il trasferimento dei dati dall’Unione Europa agli Stati Uniti, in vigore dall’agosto del 2016 – è stato invalidato dalla Corte di Giustizia UE. La notizia è arrivata il 16 luglio, quando la Corte di Lussemburgo si è espressa sul caso C-311/18 che vedeva contrapposti l’Autorità Garante irlandese, Maximilian Schrems (un giurista e attivista austriaco) e Facebook Ireland.
La vicenda ha inizio nel 2013, quando Schrems adì le vie legali in seguito al rigetto da parte dell’Autorità Garante irlandese della richiesta di proibire il trasferimento dei suoi dati da Facebook Ireland alla sussidiaria Facebook Inc. negli USA. L’attivista lamentando che nel Paese oltreoceano la legge e le pratiche non garantissero sufficiente protezione dei dati personali dall’accesso indebito delle autorità pubbliche statunitensi.
L’High Court irlandese rinviò la questione alla Corte di Giustizia europea, chiedendole di stabilire se i principi dell’allora Safe Harbor Decision (la decisione con cui Commissione Europea approvava i principi per la tutela dei dati che erano stati stabiliti dalla Commissione federale di commercio americano) fossero sufficienti a garantire l’effettiva protezione dei dati europei.
Con una sentenza del 2015 la Corte affermò che la Commissione si era di fatto limitata alla constatazione di adeguatezza dei principi espressi nel Safe Harbor, senza però verificare l’effettiva protezione dei dati, così come stabilito dalla Direttiva europea (Direttiva 95/46/CE). Venne dunque sancita l’invalidità della “Safe Harbor Decision”, in quanto i principi espressi – a cui per altro le società aderivano in mondo volontario – erano applicabili soltanto alle aziende private, autorizzando implicitamente l’ingerenza delle autorità pubbliche statunitensi. Tali regole erano dunque subordinate all’interesse nazionale, alla pubblica sicurezza e all’amministrazione della giustizia americana, ma negavano lo stesso livello di protezione dei diritti e delle libertà fondamentali garantiti nell’Unione Europea.
Alla luce di questa decisione, l’attivista tedesco venne invitato a riformulare la denuncia che finì nuovamente per essere demandata alla Corte di Lussemburgo.
Nel frattempo, il flusso dei dati fu nuovamente legittimato dal Privacy Shield. L’accordo rinegoziato fra UE – US nel 2016 venne subito giudicato uno scudo troppo debole per assicurare che gli Stati Uniti evitino di attuare una sorveglianza di massa, abusando dei dati trasmessi a scopo commerciale dalle aziende private. Lo stesso Parlamento europeo raccomandò alla Commissione tramite una risoluzione del 2018 di sospendere l’accordo bilaterale. Contestualmente infatti era entrato in vigore anche il GDPR (General Data Protection Regulation) che alzava ulteriormente l’asticella in materia di trattamento e tutela dei dati personali nel vecchio continente.
Ebbene, la Corte ha ripreso in esame il caso, tenendo conto dei cambiamenti normativi. Un film già visto: bocciata anche la Decisione del 2016 perché, come per quella precedente, stabiliva il primato dell’interesse nazionale (quello statunitense), sui diritti fondamentali dei cittadini europei. Né la legislazione interna degli Stati Uniti fissa limiti alle autorità pubbliche che possono accedere e utilizzare i dati trasferiti senza proporzionalità, né suddetti limiti venivano chiariti dal Privacy Shield. Quindi, gli utenti coinvolti non avrebbero potuto avvalersi di alcun diritto effettivo e azionabile in sede legale. Infine, l’organo di salvaguardia previsto non poteva essere considerato indipendente dall’amministrazione americana e le sue decisioni non sarebbero comunque vincolanti per i servizi di intelligence statunitensi.
Viene invece ritenuta valida la Decisione 2010/87 sulle clausole contrattuali standard in quanto prevede sia dei meccanismi efficaci che garantiscono lo stesso livello di protezione dei dati all’interno dell’Unione, sia la sospensione o il divieto di trasferimento in caso di violazione o impossibilità di rispettare gli standard nel Paese terzo.
L’incredibile battaglia del giurista tedesco e degli attivisti per la protezione dei nostri dati sembra rivelare una verità quasi granitica: anche Davide può sconfiggere Golia, se combatte per un diritto di cui tutti possiamo beneficiare.
Articolo di Maddalena D’Aquilio