Nessun porto sicuro per la privacy. Addio Safe Harbor
La sentenza della Corte di Giustizia della Unione Europea sospende il Safe Harbor. Per il Garante della Privacy, Antonello Soro, sono necessarie strategie comuni per la privacy
Nel chiacchierato mondo della privacy, Safe Harbor non è un film.
Sicuramente potrebbe diventarlo, ma, prima di ogni cosa, si tratta di un accordo con il quale, in base alla Direttiva 95/46/CE, si fissa un principio di equivalenza tra le regole americane e europee in tema di riservatezza, un porto sicuro, dunque, per la trasmissione dei dati dall’Europa verso gli Stati Uniti.
Anche se solo teorica, questa similitudine è stata smentita dalla recente pronuncia della Corte di Giustizia dell’Unione Europea che, nero su bianco, riconosce agli Stati il potere di inibire ai grandi della rete la gestione dei dati dei cittadini al di fuori del territorio UE.
Se vogliamo usare la metafora del film, la pellicola 2.0 del Safe Harbor racconta una storia molto semplice, ma, allo stesso tempo, complessa per i riflessi che questa genera a livello globale.
La vicenda parte nel 2008, quando Maximilian Schrems presenta una denuncia presso l’Autorità irlandese per la protezione dei dati personali, con la quale chiede che i propri dati, legati al social network creato da Mark Elliot Zuckerberg, non vengano conservati negli USA, ai tempi teatro del caso NSA.
In un primo momento, l’Autorità Irlandese rigetta la domanda, proprio sulla base del Safe Harbor, ma, per una serie di vicende processuali l’epilogo europeo è ben diverso.
Venendo ora ai titoli di coda, le conseguenze della pronuncia sollevano qualche preoccupazione. Non solo per i big di Internet come Facebook, Twitter e Google. Anche se lo stesso Zuckerberg ha dichiarato che “non è una pronuncia contro Facebook”, ma per tutte quelle piccole e medie imprese che gravitano intorno ai servizi digitali e che della globalizzazione fanno il loro core business.
La sentenza, infatti, aprirebbe le porte ad una gestione localizzata in europa dei dati; procedimento che richiede una nuova organizzazione e ripensamento dei vecchi sistemi.
Il Garante Privacy, Antonello Soro, ha così commentato la pronuncia: “Con questa sentenza la Corte di Giustizia Europea rimette al centro dell’agenda degli Stati il tema dei diritti fondamentali delle persone e la necessità che questi diritti, primo fra tutti la protezione dei dati, vengano tutelati anche nei confronti di chi li usa al di fuori dei confini europei”.
“Occorre una risposta coordinata a livello europeo anche da parte dei Garanti nazionali, e in queste ore si stanno valutando le modalità più efficaci per individuare linee-guida comuni”, prosegue Soro.
Ora, è chiaro che al sequel del film prenderanno parte o, meglio, dovranno necessariamente prendere parte le relative Autorità nazionali, ma, sul come c’è molto suspense; se, da un lato, la rottura del Safe Harbor incide, di fatto, sul rischio, e in alcuni casi già certezza, di monopolio a stelle e strisce nella gestione dei dati, dall’altro arriva in un momento in cui l’Europa di unito ha solo il nome.
In realtà, l’argomento privacy era già nei pensieri di mamma UE. Da qualche tempo, infatti, si parla di un general approach circa la proposta di Regolamento Europeo sulla Privacy.
Nell’atto, che dovrebbe vedere la sua stesura definitiva entro la fine del 2015, svetta tra i principi l’armonizzazione delle regole sulla riservatezza per tutti i Paesi dell’Unione, la concreta possibilità per i privati di controllare i propri dati, un coordinamento della disciplina all’interno del Mercato Unico Digitale per le imprese.
Per tutti, invece, è previsto, almeno teoricamente, il così detto “one stop shop”. Anche se sembra uno scioglilingua, l’intento è lodevole: per le imprese, in caso di operazioni trasfrontaliere, ci sarà la possibilità di interfacciarsi con un’unica Autorità, ai cittadini, invece, è riconosciuta la possibilità di interfacciarsi con l’Autorità del proprio Paese anche se il trattamento dei dati avviene in uno diverso.
Tra le altre linee proposte: Data Protection Officer, Accountability, Risk assessment e una serie di altre opzioni orientate verso una dimensione più umana e snella della privacy.
