L'accordo raggiunto tra Stati Uniti ed Europa per quanto riguarda la tutela della riservatezza dei dati dei cittadini europei deve ancora essere approvato dalla Corte di giustizia dell'Unione europea. E sembra non avere vita facile.
Martedì, l'Unione europea e gli Stati Uniti hanno raggiunto un nuovo accordo sulla tutela della privacy per i dati europei inviati ai server statunitensi. L'accordo, chiamato Privacy Shield, sostituisce un accordo ripudiato, ad ottobre, dalla Corte di giustizia dell'Unione europea (CGUE). Questa è una buona notizia per le grandi aziende come Facebook e Google che vogliono un accesso continuo ai dati dei loro utenti europei.
Ma il nuovo accordo stesso richiede un'analisi che i regolatori europei e probabilmente anche la CGUE stanno per eseguire. Nonostante i grandi interessi economici in gioco, ci sono vari motivi per pensare che l'accordo possa avere delle scappatoie che ne renderanno difficile l'applicazione per gli enti.
I precedenti non invitano all'ottimismo
La disposizione stabilita nel 2000, chiamata Safe Harbor, è stata colpita dalla CGUE essenzialmente per il fatto che le aziende americane permettevano l'accesso della National Security Agency ai dati europei. La questione sottoposta alla Corte europea era se i dati trasferiti negli Stati Uniti ricevessero un "livello di protezione adeguato" ai sensi della direttiva UE sulla protezione dei dati. La risposta fu negativa - e per ragioni complicate. La corte ha riconosciuto che in base al diritto statunitense, i requisiti legali e costituzionali surclassavano l'accordo Safe Harbor.
Ha poi continuato indicando che, sulla base delle rivelazioni dall'ex collaboratore della NSA, Edward Snowden, il livello di protezione della privacy fornito realmente dagli Stati Uniti non era abbastanza elevato da soddisfare gli standard europei. L'accordo è stata quindi respinto.
È fondamentale precisare che il parere della CGUE include il riconoscimento del fatto che, ai sensi del diritto dell'Unione europea, non è un problema se un governo controlla i dati privati dei consumatori, in alcune circostanze. Ciò che la corte ha voluto indicare è che la legge statunitense non protegge abbastanza da soddisfare gli standard europei. Facendo riferimento ad una sentenza della Corte di cassazione irlandese, la suddetta ha dichiarato che:
"Le rivelazioni fatte da Edward Snowden hanno dimostrato un 'significativo eccesso di portata' da parte della NSA e delle altre agenzie federali".
In particolare, il giudice irlandese era preoccupato del fatto che i cittadini europei "non hanno alcun potere efficace per essere ascoltati" dai tribunali degli Stati Uniti, in quanto, se la privacy dei propri dati viene violata dalle agenzie per la sicurezza, l'infrazione avviene in segreto.
La CGUE ha dovuto ammettere che il diritto comunitario non contempla "una definizione del concetto di un adeguato livello di protezione". Ma ha concluso che l'adeguatezza deve significare "un livello di protezione dei diritti e delle libertà fondamentali che è sostanzialmente equivalente a quello garantito all'interno dell'Unione europea".
In altre parole, se la tutela della privacy degli Stati Uniti è più debole della protezione nell'UE, allora l'accordo deve essere invalidato. Il nuovo accordo deve essere valutato in questo contesto per assicurarsi che sia legalmente soddisfacente.
Serve una garanzia esplicita
Il punto chiave nella transazione, sottolineato dalla Commissione europea nel suo comunicato, è ciò che dovrebbe essere "un'assicurazione scritta" dagli Stati Uniti sul fatto che i dati europei saranno protetti. In base all'accordo, il direttore statunitense dell'intelligence nazionale confermerà che i dati europei non saranno soggetti alla "sorveglianza di massa". Il che suona meglio del vecchio accordo, che non includeva una promessa esplicita da parte della comunità d'intelligence statunitense.
Ma il direttore dell'intelligence nazionale sarà quasi sicuramente in grado di fare questa promessa in termini molto generali. In pratica, anche una sorveglianza americana mirata potrebbe essere ancora molto più ampia e meno tutelante della privacy di quello che, in genere, ogni altro paese europeo consenta. Gli Stati Uniti precisano che esamineranno i dati in maniera proporzionale; il che significa che qualcosa di specifico in Europa potrebbe significare qualcosa di diverso negli Stati Uniti.
Inoltre, secondo la legge statunitense, generalmente è prevista poca o nessuna protezione per i dati sugli stranieri, sempre che siano fuori dagli Stati Uniti. Questa legge non è cambiata. Sembra quanto meno possibile che la NSA possa semplicemente cercare di puntare ai dati Europei prima che vengano trasferiti negli Stati Uniti. Se così fosse, lo farebbero di nascosto e nessuno lo verrebbe a sapere per potersi lamentare.
Un'altra disposizione del nuovo accordo crea la figura di un difensore civico per gli europei, fine a sollevare i problemi sulla privacy dei dati. Questo può essere probabilmente inteso come un ricorso per soddisfare la preoccupazione del giudice irlandese sulla discrezione. Ma lui, o lei, quasi sicuramente non avrà accesso alle interpretazioni segrete della legge o della sorveglianza segreta statunitensi.
Un ulteriore provvedimento dice che le società statunitensi devono accettare una solida protezione della privacy prima di trasferire i dati. Questo dovrebbe verosimilmente impedire loro di trasmettere volontariamente dei dati alla NSA, violando le norme sulla privacy. Ma se la legge statunitense dovesse richiederne la comunicazione, dovranno tuttavia obbedire.
Il nuovo Privacy Shield sarà approvato
Tutto questo significa che la CGUE ha ancora molto lavoro per scoprire se il Privacy Shield è inadeguato come il suo predecessore. Ma lo sarà?
Questo dipende in parte da quanto risoluta sarà l'UE nella sua posizione per la negoziazione. Nessuno nell'elite politica europea vuole davvero rinunciare a Facebook o ad Amazon e nessun burocrate UE pensa davvero che gli Stati Uniti possano cambiare le proprie leggi sulla sicurezza nazionale per soddisfare l'UE.
Il nuovo accordo è un compromesso pragmatico con lo scopo di preservare le formalità legali e il paravento sulla privacy dei dati senza sconvolgere la sicurezza nazionale sia per gli Stati Uniti che per i servizi d'intelligence europei, a cui potrebbe allettare l'idea della possibilità di accedere ai dati dei propri cittadini.
La CGUE potrebbe decidere di non voler sconvolgere quest'equilibrio delicato. In questo caso, potrà valutare il nuovo accordo con generosità. Questo consentirà di risolvere il problema pratico ma manterrà la disparità tra le concezioni europee e americane sulla privacy.