Written by 11:10 Media, Wired Italia

La sentenza irlandese sul trasferimento di dati tra Europa e USA

Il trasferimento dei dati personali tra le due sponde dell’Atlantico è un tema delicato e bisogna capire se a risolverlo saranno le aziende o i governi

wired_post

di Vincenzo Tiani

Un altro episodio della storia che vede al centro Facebook in un fuoco incrociato tra Irlanda e Austria si è appena concluso. Tutto inizia nel 2013 quando un allora sconosciuto Max Schrems, dopo le rivelazioni di Edward Snowden sulla sorveglianza di massa negli Stati Uniti, chiede al Garante irlandese di investigare sul punto. Il Garante rigetta la richiesta che finisce davanti alla Corte di giustizia europea e porta nel 2015 all’annullamento del Safe harbour, l’accordo che regolava il trasferimento di dati personali tra Unione europea e Stati Uniti. La Commissione europea nel 2016 sigla un nuovo accordo, il Privacy Shield, che, sebbene migliore del primo, ne segue le sorti e nel luglio 2020 la Corte europea lo boccia perché non può garantire in concreto che i dati personali dei cittadini europei siano al sicuro da richieste sproporzionate delle autorità americane.

Riassunto dei procedimenti in UE con Facebook - NOYB
Riassunto dei procedimenti in UE con Facebook – NOYB

Dopo la sentenza il Garante irlandese, invece di dare seguito alla causa originaria di Schrems, che negli anni è diventato noto in tutto il mondo e ha fondato la ong Noyb per tutelare gli utenti contro le big tech, decide di aprire un’investigazione autonoma nei confronti di Facebook per valutare la legittimità dei trasferimenti dei dati verso gli Stati Uniti. Il social network impugna questa decisione ma la scorsa settimana l’Alta Corte irlandese rigetta le sue richieste. Un risultato che non solo lascia proseguire l’indagine ma ne apre la partecipazione a Noyb e Schrems. 

Secondo quanto riportato da Noyb i piani del Garante irlandese prevedono 21 giorni per sentire le parti e altrettanti per finalizzare la decisione che andrà poi al vaglio dell’Edpb, il board che raccoglie tutti i Garanti europei e che potrebbe rivedere la decisione dei colleghi irlandesi o opporvisi entro quattro settimane.

Quali sono le conseguenze

Ci troviamo di fronte a un momento di svolta in questa lunga vicenda. Il Garante irlandese dovrà decidere se Facebook potrà continuare a trasferire o meno i dati personali di cittadini europei negli Stati Uniti, decisione che potrebbe avere degli impatti su qualsiasi altra azienda che migri dati tra le due sponde dell’Atlantico.

La sentenza della Corte di giustizia ha sancito che questo trasferimento, in mancanza di un accordo tra Unione europea e Stati Uniti (che non è stato ancora sostituito), è possibile a due condizioni. La prima è che si faccia riferimento alle clausole contrattuali standard previste dal Gdpr, clausole tipo fornite dalla Commissione che disciplinano i rapporti tra le parti con uno Stato terzo in relazione al trattamento dei dati personali. La seconda è che queste clausole, e le misure tecniche di protezione aggiuntive, siano non solo rispettate ma effettive. Prevedere dunque da contratto che il fornitore negli Stati Uniti conservi i nostri dati con cura non serve a nulla, se resta lettera morta e qualsiasi autorità può avere accesso ai dati.

Cosa succede ora

Nel caso in cui dunque Facebook non possa garantire effettivamente di mantenere i dati personali europei lontano da occhi indiscreti due sono le vie, nessuna delle quali risulta facilmente percorribile. La prima è che l’azienda di Zuckerberg debba organizzare i dati in modo che quelli dei cittadini europei siano conservati e trattati nel territorio dell’Unione, al sicuro dalle leggi sulla sorveglianza statunitense. La seconda è che gli Stati Uniti modifichino quelle stesse leggi, almeno per quanto riguarda gli europei. Difficile dire quale sia la più facile da percorrere. 

A imboccare la prima via di recente è stata Microsoft, che ha iniziato i lavori necessari a garantire che tutti i dati dell’infrastruttura cloud siano ospitati in Europa tra i suoi 13 centri. Microsoft, che negli anni si è spostata sempre più verso il mercato B2B, conta sul fatto di poter anticipare i concorrenti. Il colosso di Redmond, al pari delle americane Amazon e Google e della cinese Alibaba, partecipa al consorzio per il cloud europeo Gaia-X, che punta a imporre regole comuni anche alle imprese extra-Ue.  

Tuttavia, benché più impervia, è la seconda la via che andrebbe percorsa. Gli Stati Uniti, e non solo loro, dovrebbero da un lato approvare una legge federale sulla privacy sul modello del Gdpr, come ha già fatto la California per esempio, e dall’altro rivedere in modo più restrittivo le loro norme sulla sorveglianza, a garanzia e beneficio dei loro stessi cittadini, oltre che degli altri.

Non bisogna dimenticare che, pur conservando i dati in Europa, tutte le aziende americane devono rispettare il Cloud Act del 2018 in base al quale, con l’approvazione del giudice, dagli Stati Uniti si possono richiedere i dati di un sospetto anche se archiviati in Europa, senza dover passare dalle lunghe procedure di cooperazione giudiziaria internazionale. L’alternativa a cui stiamo andando incontro infatti è la divisione di internet in silos, uno europeo, uno cinese, uno americano, uno russo e così via, dicendo addio alla grande libertà che la rete ha regalato.

La dura posizione del Parlamento europeo

Sul trasferimento di dati verso gli Stati Uniti si è pronunciato di recente anche il Parlamento europeo. Il 20 maggio i parlamentari della commissione Libertà civile, giustizia e affari interni hanno dichiarato come un reale data management sia possibile solo ospitando i dati localmente. I parlamentari non solo hanno poi chiesto  alla Commissione europea di avviare la procedura d’infrazione verso l’Irlanda per aver fallito nel far rispettare il Gdpr ma sono stati altrettanto critici nei riguardi dei Garanti nazionali, “che hanno trascurato i trasferimenti internazionali di dati e non hanno preso decisioni correttive significative“. “Quello che il Parlamento non vuole – ha detto il parlamentare Juan Fernando Lopez Aguillar, presidente della Commissione – è il rischio di dover assistere a uno Schrems III“.

Originariamente pubblicato su Wired Italia
Licenza Creative Commons Attribution, Non Commercial, Non Derivs 3.0

Close