Go to the profile of Vincenzo Tiani
Vincenzo Tiani
Team MEP Julia Reda at EU Parliament / Law & Digital Communication @Wheadit / Contributor @chefuturo / @ghostloved_it / LLM student ICT Law @LeuvenU | Bruxelles

EU — US Privacy Shield: perché sul trattamento dei dati ci vuole una legge

La lettera di intenti fra Stati Uniti e UE sul trattamento dei dati da parte delle aziende statunitensi che gestiscono i dati dei cittadini europei lascia insoluti molti dubbi

di Vincenzo Tiani per CheFuturo!

E’ stato annunciato a gran voce l’accordo raggiunto tra Stati Uniti ed Unione Europea sul trattamento dei dati da parte delle aziende statunitensi che gestiscono i dati dei cittadini europei.

Safe Harbour e il caso Schrems

Il precedente accordo, cosiddetto Safe Harbour (che si rifà alla direttiva 95/46/CE), che dal 2000 regolava questo trattamento, è stato invalidato lo scorso 6 ottobre dalla Corte Europea di Giustizia (ECJ) dopo la denuncia fatta dall’attivista e giurista austriaco Max Schrems.

Schrems lamentava l’uso dei suoi dati da parte di Facebook e in particolare del trasferimento degli stessi verso gli Stati Uniti, Paese che non offriva secondo lui sufficienti garanzie di protezione, soprattutto da ingerenze di agenzie governative. Tutto questo accadeva nel 2011, prima ancora del DataGate.
 Dopo le rivelazioni di Edward Snowden, ex contractor della CIA che ha svelato al mondo gli effetti del programma PRISM, che consentiva uno spionaggio di massa dei cittadini europei da parte della NSA (National Security Agency americana), l’attenzione dell’Europa sui temi della privacy si è infatti acuita, e forse sarà stato anche questo nuovo clima a guidare la Corte verso una decisione così drastica.

A Lussemburgo è stato stabilito che i precedenti accordi non tutelano a sufficienza i cittadini europei da una possibile sorveglianza statunitense e pertanto sono invalidi. La Corte ha dato quindi tempo fino alla fine di gennaio perché US e EU trovassero un nuovo accordo che fornisse questa garanzia.
 E’ per questo che da ottobre la Commissione Europea ha lavorato a pieno ritmo per il nuovo accordo. In assenza di questo parecchie aziende con cui abbiamo a che fare tutti i giorni, Facebook e Google in testa (ma si parla di oltre 4500 imprese americane), avrebbero grosse difficoltà a gestire il traffico quotidiano dei nostri dati nel rispetto della legge. In assenza di un quadro europeo uniforme, avrebbero a che fare con una miriade di leggi nazionali con un costo enorme da sostenere.

EU — US Privacy Shield

Il nuovo accordo, assicura il Segretario di Stato US per il Commercio Penny Pritzker, garantirà ai cittadini europei il pieno rispetto da parte delle aziende statunitensi dei diritti sul trattamento dei dati previsti dall’Unione Europea.

Tutto è bene quel che finisce bene dunque. Non proprio.

Ma il testo dov’è?

Il problema è che in realtà un vero testo non c’è. Per ora abbiamo solo qualche lettera di intenti. Meglio di niente per carità ma anche Schrems manifesta i suoi dubbi e nel comunicato della sua organizzazione europeVSfacebook esordisce:

Stiamo mettendo sullo stesso piano la legge con delle lettere?

In Commissione sono tutti contenti invece, secondo la dichiarazione della Commissaria Europea alla Giustizia Jourová. Una promessa è una promessa e se gli Stati Uniti hanno promesso di non spiare gli europei così sarà.

“The new EU-US Privacy Shield will protect the fundamental rights of Europeans when their personal data is transferred to U.S. companies. For the first time ever, the United States has given the EU binding assurances that the access of public authorities for national security purposes will be subject to clear limitations, safeguards and oversight mechanisms. Also for the first time, EU citizens will benefit from redress mechanisms in this area. In the context of the negotiations for this agreement, the US has assured that it does not conduct mass or indiscriminate surveillance of Europeans. We have established an annual joint review in order to closely monitor the implementation of these commitments”.

Ma se quanto ottenuto fa ben sperare la Jourová, Schrems, e non è il solo, manifesta ulteriori dubbi aggiungendo che un paio di lettere da un’amministrazione americana uscente non sono una grande garanzia, anche se vengono dal Direttore della National Intelligence.

Cosa include il nuovo accordo, Privacy Shield

Le linee guida del nuovo accordo sono le seguenti:

  • Forti obblighi per le aziende che trattano dati personali di cittadini Europei
    Le aziende americane saranno costrette a rispettare le nuove regole sotto il controllo del Department of Commerce e dovranno inoltre sottostare alle decisioni delle Autorità Garanti Europee.
  • Regole chiare e obblighi di trasparenza sull’accesso del Governo statunitense a tali dati
    Gli Stati Uniti hanno assicurato per la prima volta in forma scritto che non ci sarà pericolo per i dati dei cittadini europei.
    L’accordo inoltre sarà revisionato ogni anno per verificarne l’efficacia, grazie anche alla consulenza di esperti americani ed europei delle rispettive Autorità Garanti.
  • Effettiva protezione dei cittadini Europei con diverse possibilità di rimedio e risarcimento
    I cittadini potranno fare ricorso se le aziende non rispetteranno le nuove norme. Il ricorso potrà essere fatto dalle Autorità Garanti Europee direttamente al Department of Commerce e alla Federal Trade Commission. Il ricorso all’Alternative Dispute Resolution sarà gratuito. Inoltre, in caso si lamenti l’uso di dati da parte delle autorità di intelligence (NSA per esempio), sarà istituito un nuovo Ombudsperson, ovvero un difensore terzo a favore dei cittadini europei.

Cosa dice il Gruppo Art. 29 delle Autorità Garanti Europee

Isabelle Falque Pierrotin — Working party Art. 29

Alla conferenza stampa anche il gruppo Art. 29, che rappresenta i garanti europei, ha avuto modo di esprimere i suoi dubbi nonché i prossimi passi da fare per arrivare a un testo definitivo senza correre il rischio che anche questo venga abrogato dalla Corte Europea di Giustizia.

Isabelle Falque Pierrotin, a capo del Working Party Art. 29 (#WP29), ha affermato che si è trattato comunque di un risultato anche se un vero testo sarà disponibile anche per loro non prima di tre settimane.

Dopo aver studiato la legislazione americana sull’intelligence service, aver raccolto il parere di esperti e aver studiato la giurisprudenza europea, il gruppo WP29 ha stilato una lista di quattro caratteristiche che il nuovo testo dovrà avere per non essere dichiarato invalido a Lussemburgo.

La Pierrotin ha inoltre aggiunto che questi standard dovranno essere rispettati per tutti i dati che dall’Europa andranno verso gli USA, che siano di cittadini europei o meno.

WP29 si accerterà che vengano riconosciute e garantiti i poteri delle Autorità Garanti previsti dall’art. 28 della Direttiva 95/46/CE.

La grande domanda che molti si sono posti, aziende in primis, è sulla applicabilità del vecchio Safe Harbour in questo periodo di transizione.

La Pierrotin, a domanda della giornalista Zoya Shetfalovich di POLITICO, ha dichiarato che di fatto Safe Harbour, dopo la sentenza di ottobre, è illegale. Per risolvere questa vacatio legis da parte loro le Autorità Garanti Europee (DPA) non agiranno nei confronti delle aziende americane che si troveranno in questi mesi senza poter agire nella legalità, ma valuteranno caso per caso ogni ricorso.

Originally published at www.chefuturo.it.