Lo scorso martedì 2 febbraio è scaduto l’ultimatum delle autorità privacy UE verso le imprese che trasferiscono dati negli Stati Uniti solo sulla base del vecchio protocollo Safe Harbor: senza accordo, promettevano, sarebbero arrivate le sanzioni. A dire il vero, il termine ufficiale sarebbe stato il 31 gennaio 2016, almeno a leggere la dichiarazione formale del Gruppo Articolo 29 (l’organismo che raccoglie tutti i Garanti Privacy europei) del 16 ottobre 2015, ma la trattativa decisiva tra funzionari UE e USA ha richiesto qualche tempo in più e i Garanti avranno la pazienza e la cortesia di attendere. Speriamo dunque nel buon esito finale del Safe Harbor 2, o, meglio, del rinominato “EU-US Privacy Shield” (essenziale anche per il futuro trattato di libero scambio, TTIP). Proprio il 2 febbraio la Commissione UE ha infatti raggiunto un accordo politico con il Governo degli Stati Uniti, e ora si tratta di trasformare questo “deal” in regole scritte, vincolanti e applicabili.
Come noto, il 6 ottobre 2015 la Corte di Giustizia UE aveva dichiarato invalida la decisione della Commissione Europea del 2000 che riconosceva da tre lustri, appunto, nel programma Safe Harbor una solida base di legittimazione dell’export di dati personali UE-USA. Tra le ragioni addotte dalla Corte contro l’ormai defunto programma, vi è stata quella della sorveglianza massiva e indiscriminata operata dalle autorità americane, incompatibile con i principi di protezione dei dati personali europei.
Oggi, chi si avvale di provider americani ha comunque la possibilità di farlo e di esportare legittimamente i dati personali europei su server USA (come di altri Paesi terzi), adottando le Model Clause Data Controller-Processor – anch’esse approvate dalla Commissione UE, 6 anni fa, e consistenti in testi contrattuali standard di solito allegati ai contratti di servizio o agli intercompany agreement – oppure, con qualche fatica burocratica in più, ottenendo l’approvazione di apposite norme vincolanti d’impresa (le BCRs, perfette per le circolazioni di dati all’interno di gruppi multinazionali).
In verità, le trattative che hanno portato all’accordo politico sono state faticose, complice anche una certa rigidità delle autorità europee nel vedere che alcuni presupposti normativi, in USA, rischiavano di non prendere la “piega giusta”. Ad esempio, giusto il 28 gennaio il Senato americano ha approvato in commissione un emendamento al cd. Judicial Redress Act, che viene visto come prerequisito essenziale del nuovo accordo privacy con la UE: nella vecchia formulazione della proposta di JRA si prevedeva il diritto dei cittadini UE di far valere i propri diritti in materia di protezione dei dati innanzi alle corti USA; ma l’emendamento (di matrice repubblicana) ha aggiunto che gli Stati UE, ai cui cittadini sia riconosciuta tale forma di tutela, non dovrebbero potere in alcun modo impedire il trasferimento di dati in USA per fini commerciali né ostacolare i controlli di pubblica sicurezza delle autorità americane, pena la decadenza dalle garanzie giurisdizionali privacy per i cittadini europei, oltreoceano. Un colpo pesante, nella diplomazia dei dati.
La questione del post-Safe Harbor è ancora più scottante se pensiamo che le autorità USA si considerano legittimate ad imporre alle imprese americane, per esempio nel corso di indagini giudiziarie, perfino il rilascio di dati di clienti contenuti in loro data center seppure collocati in Europa. E il paradosso è che sono proprio dei grandi colossi americani ad essersi trasformati, via via, vuoi per interesse commerciale, vuoi per responsabilità sociale, in paladini della privacy dei cittadini e ad avere perfino avviato un braccio di ferro con le autorità USA per evitare accessi indiscriminati a dati dei propri clienti. E’ il caso di Microsoft, che ha impugnato in appello una decisione relativa ad un ordine di produzione di dati di un cliente, memorizzati su server irlandesi, sostenendo che il giudice USA dovrebbe attenersi alle rogatorie previste dai trattati internazionali e non certo esigere un accesso diretto a dati collocati su territorio straniero in virtù della mera “americanità” dell’impresa fornitrice. Condivisibile, a maggior ragione se pensiamo che i grandi cloud provider americani non intendono certo perdere il grande mercato della pubblica amministrazione in Europa. Vedremo come finirà anche questa partita collaterale (che ha già visto prendere posizione ufficiale il governo irlandese, a sostegno di Microsoft).
Tutto quanto scritto sopra corrisponde ai fatti, in corso di continua e imminente evoluzione. Ma restano degli interrogativi di fondo.
Primo: siamo sicuri che la sentenza della Corte di Giustizia UE fosse poi così robusta nelle proprie argomentazioni? Le sentenze si rispettano, ma per un giurista esperto è difficile non vederne i limiti concettuali. Quando la Corte ha contestato il fatto che, malgrado la certificazione e l’adesione al protocollo Safe Harbor, le imprese USA in questione potessero comunque violare le regole in concreto, ha dopotutto applicato un assunto che, in teoria, potrebbe abbattere qualsiasi garanzia legale. Di ogni contratto, certificazione, vincolo o impegno, addirittura di ogni norma astratta si può contestare la violabilità in concreto: ma se bastasse questo, nessuno strumento giuridico avrebbe più senso, nemmeno le famose Model Clause che invece si considerano ancora pienamente valide ed efficaci (e chi ci assicura che sia poi così facile e immediato per un cittadino europeo azionare la giurisdizione domestica, pur accettata sulla carta con la firma di queste clausole, ed il relativo enforcement contro le imprese straniere?).
Secondo: se per la Corte UE (e in generale per le autorità europee che si occupano di privacy e data protection) un problema fondamentale era rappresentato dai controlli indiscriminati e massivi operati dalle autorità americane per fini di pubblica sicurezza, antiterrorismo e anticrimine – e devo ammettere che condivido le preoccupazioni di una società digitale iper-sorvegliata – che dire delle stesse identiche pratiche di monitoraggio adottate dai Paesi europei?
La sensazione è di ipocrisia eurocentrica, quando si leggono certi commenti allarmati. Un esempio a caso, il nostro: in Italia abbiamo l’art. 226 delle Disp. Att. Del Codice di procedura penale, con le intercettazioni preventive che consentono di setacciare a strascico le nostre comunicazioni, per scongiurare reati gravi; abbiamo l’art. 11 del DPCM 24 gennaio 2013 che consente alla Presidenza del Consiglio dei Ministri e ai servizi, per ragioni di cybersecurity – sacrosante per carità – di accedere a tutte le basi di dati detenute anche da fornitori di servizi di comunicazione elettronica; abbiamo ancora – malgrado sia contrario al diritto dell’Unione Europea con sentenza chiarissima della Corte di Giustizia UE in merito – l’obbligo vigente di conservazione di tutti i dati di traffico telematico e telefonico fino alla fine del 2016, per fini di accertamento e repressione dei reati. Dulcis in fundo, aspettiamo dal lontano 2004 due decreti – uno del Ministro della Giustizia, l’altro del Ministro dell’Interno – che dovrebbero stabilire le garanzie e le misure di sicurezza nel trattamento di dati per fini di giustizia e di polizia, il famigerato (perché “missing”) Allegato C al Codice Privacy. Con buona pace dei cittadini che finiscono in quelle banche dati. E gli altri Stati del Vecchio Continente non sono da meno. Insomma, da che pulpito facciamo dei controlli americani una questione di principi europei? Non è del tutto chiaro.
Pare, in definitiva, inutile bloccare scambi economici e di dati personali, sulla base di pretese superiorità formali e astratte. La partita USA-UE dovrebbe correttamente giocarsi tutta sulla reciprocità di:
- Trasparenza sui controlli (che implica chiarezza su regole, strumenti e algoritmi, controllo verificabile sui controllori e certezza del diritto che regola il potere di sorveglianza, per rule of law);
- Rispetto dei confini nazionali, perché esigere di entrare direttamente nei server situati su territorio straniero sembra davvero troppo (tenga duro Microsoft, in questo senso);
- Effettive e facili possibilità dei cittadini (sia UE, sia USA) di difendersi dagli abusi e dalle violazioni, in accordo con le convenzioni e i trattati internazionali, con le costituzioni e le carte dei diritti fondamentali.
L’accordo politico sull’EU-US Privacy Shield pare ragionevole e corrispondente ai principi elencati sopra, nell’interesse delle persone, delle imprese e delle rispettive sovranità nazionali. Tuttavia, dovremo comunque valutare come esso verrà concretamente recepito e tradotto in norme vincolanti ed efficaci da entrambe le parti dell’Atlantico, e poi guarderemo alla giurisprudenza che ne sarà interprete costruttiva o, come accaduto per il vecchio Safe Harbor, distruttiva e invalidante.
