La sentenza “Facebook” (Corte di Giustizia C-362-14 Schrems / Data Protection Commissioner, disponibile qui) è oggi materia di prime pagine dei giornali e conversazioni nei bar con persone che si chiedono se i propri dati memorizzati negli USA verranno cancellati o sia illegittimo mantenerli.
Questo segna senza dubbio la rilevanza della materia e quanto il tema del trattamento dei dati online è ormai parte della vita quotidiana di tutti noi e come il trattamento all’estero sia di questi tempi dato per scontato come un portato inevitabile della globalità dei servizi della società dell’informazione, dei trasporti, del commercio.
Tuttavia parlare di “sentenza choc” e “trattamenti illegali” è fuori luogo e può causare sgomento in settori di estrema rilevanza economica. Leggo commenti nel senso che vi sia immediato obbligo di aprire data center in Europa per poter trattare i dati. Non ritrovo nulla di tutto ciò nella sentenza ed, anzi, nemmeno mi pare un esito prevedibile.
E’ dunque opportuna una analisi ragionata di quanto è stato effettivamente deciso e di cosà potrà accadere nel breve e nel medio termine.
Quel che ha deciso la Corte, in sintesi, è che la decisione del 2000 in base alla quale gli USA venivano automaticamente considerati un “porto sicuro” (Safe Harbour) per i dati provenienti dall’Unione Europea era fallata e, dunque, l’automatismo è stato annullato.
La decisione infatti, anzitutto non chiariva in nessuna parte che fossero stati effettuati accertamenti riguardo alle garanzie per i trattamenti dati effettuati negli Stati Uniti, dall’altra poteva comunque essere inficiata dalle recenti rivelazioni relative al caso Snowden, circa la possibilità per agenzie americane di accedere ai dati di varia natura trattati da fornitori di servizi basati negli USA.
Dunque la Corte ha accolto il ricorso di un cittadino UE, uno studente di giurisprudenza, che chiedeva che il Garante privacy irlandese potesse giudicare la sua controversia con Facebook: Facebook aveva infatti negato la cancellazione dei dati personali dello studente trattati negli Stati Uniti che lo studente aveva richiesto, appunto, motivando sul fatto che negli USA non ci sono garanzie sufficienti sul trattamento dei dati di cittadini europei.
La conseguenza è che i Garanti Privacy Europei, d’ora in poi, possono sospendere (non vietare a tempo indeterminato) i trattamenti dei dati negli USA, laddove vi siano evidenze o gravi presunzioni sul fatto che i dati trattati negli USA non rispettano regole equivalenti a quelle europee.
Tuttavia se un Garante non apre un caso a seguito del quale viene ordinata una sospensione, il trattamento si presume lecito e può continuare. Non vi è alcun divieto preventivo e, in questo senso, non cambia nulla. I trasferimenti possono dunque continuare.
Inoltre, vi è da dire che le società multinazionali possono avvalersi di policy intra-gruppo vincolanti, non toccate dalla sentenza, che, una volta approvate dai Garanti, certificano la correttezza dei trasferimenti tra società del Gruppo (Binding Corporate Rules).
Vi è inoltre da dire che, laddove un utente, nell’aderire a servizi online, accetti valide clausole che prevedono il trattamento in USA in deroga alle norme di diritto UE, è molto difficile che il Garante nazionale possa vietare il trasferimento.
Sarà invece da vedere come le società con trattamenti in USA dovranno rispondere a specifiche richieste degli utenti relative alla privacy e questo probabilmente dipenderà dall’esito del caso che ora il Garante irlandese si appresta ad analizzare avendo avuto il via libera dalla sentenza della Corte UE. Al riguardo però i Garanti europei hanno già annunciato che le indicazioni saranno unitarie.
Nel complesso, dunque, quel che cambierà sarà un miglioramento e una maggiore raffinatezza della gestione privacy UE-USA – processo peraltro già in atto con ripetuti interventi dei Garanti – e un maggiore ricorso a politiche intra-gruppo delle società con operazioni di trattamento in USA. Vi sarà inoltre la probabile approvazione di linee guida di dettaglio dei Garanti europei per assicurare che il trattamento in USA risponda effettivamente ai dettami europei aggiornando così policy che, effettivamente, erano ferme al 2000 rispetto a modalità di trattamento che nel frattempo si erano molto evolute. Una sentenza dunque certamente utile ma non direi “choc” e senza nessun divieto già operativo di tenere i dati su server USA. La sentenza però suggerisce certamente a chi abbia trasferimenti dati UE-USA autorizzati sulla base dell’accordo appena annullato di verificare legalmente e tecnicamente la conformità dei trasferimenti in corso non potendo contare sul paracadute dell’accordo Safe Harbour.
Una ulteriore considerazione che si può fare è tuttavia sull’effetto “a catena” che potrebbe avere questa sentenza rispetto alle altre regole Safe Harbour, agli accordi bilaterali tra la UE ed altri Stati. In questo senso la sentenza costituisce un precedente che potrebbe essere invocato ogni qual volta un cittadino lamenti un trattamento estero fallato e, come sappiamo, vi sono trasferimenti massivi anche in Paesi diversi dagli USA i quali potrebbero, per effetto di successivi interventi, divenire altrettanto sindacabili caso per caso.
