100% win for privacy”. Così Mark Schrems ha commentato su Twitter la sentenza della Corte di Giustizia Europea che lo scorso 16 luglio ha dichiarato invalido il Privacy Shield, l’accordo tra Stati Uniti e Unione Europea per la tutela dei dati personali trasferiti negli Usa per scopi commerciali. La sentenza fa temere per la sorte di tutte le grandi e piccole società che hanno un interesse al trasferimento dei dati in territorio statunitense, che saranno costrette a rivedere le loro policy sul trattamento dei dati personali.

Ma procediamo con ordine. Chi è Max Schrems? Che cos’è il Privacy Shield? E perché la sentenza della Corte di Giustizia Europea potrebbe essere il “match point” per la privacy?Tutto ha inizio quando Edward Snowden, in una stanza d’albergo di Hong Kong, racconta alla documentarista Laura Poitras e al giornalista Glenn Greenwald che l’intelligence americana raccoglie segretamente (e legalmente) i dati di milioni di cittadini in tutto il mondo al fine di garantire la sicurezza nazionale americana.

Sulla base di una legge, la Section 702 del FISA (Foreign Intelligence Surveillance Act) le Big-Tech cedono i dati dei loro utenti alla National Security Agency (NSA) che tramite il programma PRISM conserva e analizza i dati con il solo scopo di sorvegliare. Roba da Orwell insomma.
Laura Poitras vince un Oscar per il miglior documentario, Glenn Greenwald pubblica una delle inchieste migliori degli ultimi 20 anni, Snowden viene accusato di spionaggio e cerca asilo politico in Russia.

In questo clima, nel 2013, il nostro Max Schrems, giovane avvocato austriaco, denuncia Facebook dinanzi al Garante della privacy irlandese, sostenendo che Facebook Irlanda non trattasse i dati degli utenti in modo autonomo, ma li trasferisse alla casa madre negli States che, come aveva rivelato Snowden, cedeva i dati all’NSA.
Il trasferimento dei dati verso gli USA era consentito da un accordo stipulato dalla Commissione europea con le amministrazioni americane, il Safe Harbour, l’antenato del Privacy Shield.

Il caso Schrems arriva dinanzi alla Corte di giustizia europea che, il 6 ottobre 2015, invalida il Safe Harbour consentendo alle Autorità garanti dei singoli paesi europei di sospendere il trasferimento dei dati verso paesi terzi qualora questi violassero le norme sulla privacy europee.
La Commissione europea si rimise immediatamente all’opera, e di concerto con il Segretario del commercio americano nel 2016 firmò una nuova versione del Safe Harbour, che questa volta, per avvalorare l’idea di protezione, chiama per l’appunto, Privacy Shield – scudo della privacy.

Il Privacy Shield è un insieme di documenti provenienti da varie amministrazioni americane, dove quest’ultime certificano la tutela della privacy dei cittadini europei e autocertificano l’equivalenza della tutela americana rispetto a quella europea.
Lo scudo della privacy consente alle società stabilite negli USA, che intendono ricevere dati personali dall’UE, di autocertificare l’adozione di adeguati strumenti di tutela dei dati, pena la cancellazione dalla lista delle società certificate da parte del Dipartimento del Commercio statunitense e possibili sanzioni da parte della Federal Trade Commission.

Nonostante la forma rinnovata, il Privacy Shield ha alla base lo stesso insormontabile problema: le norme americane sulla sorveglianza non sono cambiate.
Gli USA, per ragioni di sicurezza nazionale, continuano ad anteporre il diritto alla privacy alla necessità di sorvegliare non solo i cittadini americani, che quantomeno godono delle tutele costituzionali, ma anche i cittadini del mondo.

Per queste ragioni Max Schrems ci riprova e il Privacy Shield arriva innanzi alla Corte di Giustizia Europea. Anche questa volta la Corte non delude Schrems.
Con la sentenza del 16 luglio i giudici europei hanno ritenuto che lo scudo per la privacy non fosse in grado di garantire un adeguato livello di protezione dei dati dei cittadini europei. La Corte analizzando una serie di norme statunitensi in materia si sorveglianza (tra cui la già menzionata Section 702 del FISA) giunge alla conclusione che i programmi di sorveglianza basati su tali disposizioni non si limitino “allo stretto necessario”, ma raccolgono dati indiscriminatamente, non garantendo, dunque, un adeguato livello di protezione dei dati.

Ma c’è di più. Un elemento essenziale per la tutela della privacy – secondo le disposizioni europee – è l’esistenza di effettive possibilità di ricorso, da parte degli interessati, innanzi ai giudici del paese in cui i loro dati vengono trasferiti, giudici che per definizione devono essere terzi e imparziali.
Il Privacy Shield, a tal proposito, prevedeva l’esistenza di un Mediatore (Ombudsman) al quale i cittadini potevano rivolgersi in caso di violazione dei propri diritti.

La Corte rileva che Mediatore dello scudo per la privacy, pur se descritto come «indipendente dalla comunità dell’intelligence statunitense” è designato dal Segretario di Stato, riferisce al Segretario di Stato ed parte integrante del Dipartimento di Stato degli Stati Uniti, circostanza che è decisamente sufficiente a dubitare dell’indipendenza del Mediatore rispetto al potere esecutivo americano. Decisamente un giudice non terzo e non imparziale.

La Corte su queste basi ha ritenuto invalido il Privacy Shield in quanto incapace di tutelare il diritto fondamentale dei cittadini europei a proteggersi da indebite intrusioni nella loro privacy.

Ma quali sono le conseguenze di questa sentenza?

I trasferimenti dei dati così detti “necessari” e basati sul consenso dell’interessato saranno comunque garantiti, quindi sarà possibile inviare mail, acquistare viaggi, prenotare alberghi.
La sentenza impatta i c.d. dati “esternalizzati” ossia quei dati che vengono archiviati negli Stati Uniti unicamente perché è più facile, economico o pratico archiviarli presso un provider americano.

Questi dati non potranno essere più trasferiti al di fuori dell’Unione secondo le disposizioni del Privacy Shield. Verosimilmente verranno utilizzate le c.d. clausole contrattuali standard, previste dall’art. 46 del GDPR, che la Corte di Giustizia, nella medesima sentenza, ha invece salvato dall’invalidità.

Le clausole contrattuali standard consentiranno il trasferimento dei dati verso il territorio americano, ma dovranno fornire all’interessato un adeguato livello di tutela e un mezzo di ricorso efficace. Per di più questa opzione aprirà la possibilità ai Garanti della privacy di indagare le eventuali violazioni della protezione dei dati personali nell’applicazione delle clausole, con l’imposizione di sanzioni (salate!) e dunque potenziali rischi economici per le società.

La sentenza della Corte è sicuramente una battuta a favore della privacy, ma non si tratta del match point. I dati continueranno a fluire tra UE e USA, tramite le clausole contrattuali standard o illegalmente, ed è difficile immaginare che qualsiasi accordo politico o un potenziale rischio di sanzione economica possa fermare tale flusso.

Tuttavia, le implicazioni della sentenza impatteranno su oltre 7,1 trilioni di dollari in transazioni commerciali nonché su 5.300 aziende europee e statunitensi che – dati gli interessi economici coinvolti –  dovranno necessariamente rivedere le policy per il trattamento dei dati personali, consce che un qualsiasi utente potrebbe richiedere l’interruzione del trasferimento dei dati verso l’US e interpellare il Garante della privacy.

Mai come oggi, per di più in era post Covid , i flussi di dati ininterrotti – l’oro digitale  –  sono essenziali per la ripresa economica e per l’innovazione. Gli Usa non rivedranno le loro norme sulla sorveglianza, ma dovranno necessariamente trovare un compromesso.

Come ha dichiarato il Dipartimento di Stato americano all’indomani della sentenza, gli Stati Uniti hanno tutta l’intenzione di “continuare a lavorare a stretto contatto con l’UE per trovare un meccanismo che consenta il trasferimento commerciale essenziale di dati dall’UE agli Stati Uniti senza ostacoli.

Con la sentenza in oggetto gli USA perdono (in parte) la loro posizione di partner privilegiato dell’Unione Europea, essendo costretti nuovamente a scendere a patti con l’alleato europeo. Non sarà il match point per la privacy, ma sicuramente un punto a favore, nella speranza che la nuova versione del Privacy Shield, che la Commissione europea e gli USA sicuramente contratteranno, questa volta tenga conto del diritto fondamentale alla privacy.