Safe Harbor, in arrivo nuovo accordo USA-UE sul sistema di condivisione dati online

Dopo mesi di trattative, è in arrivo un nuovo accordo tra Stati Uniti e Unione europea sul trasferimento dei dati degli utenti. La Corte Ue in precedenza ha sentenziato che un paese europeo puo' sospendere il trasferimento dei dati degli utenti europei di Facebook verso server negli Stati Uniti al fine di garantire una adeguata protezione dei dati personali.

Scritto da

Simone Ziggiotto

il

Safe Harbour, Corte Ue ribalta sistema condivisione dati online

Un accordo che consente alle migliaia di aziende di trasferire i dati dall’Europa agli Stati Uniti non è possibile: è quanto stabilito dalla più alta corte dell’Unione europea in una sentenza storica emessa nel mese di ottobre 2015 che segue lo scandalo Dategate aperto due anni prima, quando Edward Snowden ha pubblicato le informazioni sui programmi attuati dalle agenzie segrete del governo degli Stati Uniti per spiare in massa la popolazione.

La Corte di giustizia dell’Unione europea ha invalidato la decisione della Commissione Ue con cui si riteneva sicuro il trasferimento e la conservazione negli Usa dei dati degli utenti europei che le aziende conservano in una loro sede su territorio Ue. Per Lussemburgo, "una normativa come quella statunitense che permette alle autorità pubbliche di accedere in maniera generalizzata al contenuto di comunicazioni elettroniche deve essere considerata lesiva del contenuto essenziale del diritto fondamentale al rispetto della vita privata", in contrasto con i principi europei in materia di privacy.

Molte aziende, in particolare le aziende della tecnologia, hanno detto che l’accordo "Safe Harbor" le aiuta a ficilitare il trasferimento dei dati degli utenti tra gli uffici su entrambe le sponde dell’Atlantico. Ma la decisione della Corte di giustizia dell’Unione europea potrebbe cambiare le regole di questo sistema istituito dalla Commissione europea 15 anni fa e utilizzato da oltre 4.000 imprese, tra cui IBM, Google e Ericsson.

La corte ha detto che l’accordo Safe Harbor non ha sufficienti garanzie nella protezione dei dati personali dei cittadini europei quando vengono conservati negli Stati Uniti.

La Corte di giustizia dell’Unione europea è intervenuta in una causa aperta da un cittadino austriaco in seguito lo scandalo del Datagate, andando ad invalidare la decisione del 2000 della Commissione Ue secondo la quale gli Usa garantiscono un adeguato livello di protezione dei dati personali.

Uno Stato membro dell’Unione europea può quindi sospendere il trasferimento dei dati degli iscritti europei a Facebook verso i server negli Stati Uniti: è quanto aveva anticipato l’avvocato generale della Corte di giustizia dell’UE, Yves Bot, pronunciatosi sul caso del cittadino austriaco e utente di Facebook Maximillian Schrems in attesa della sentenza definitiva della Corte di giustizia dell’Unione europea. A seguire un riepilogo delle considerazioni dell’avvocato Yves Bot che ha espresso le sue opinioni sul caso preso in esame dalla Corte pochi giorni prima della sentenza definitiva.

NSA logo

Le considerazioni dell’avvocato Yves Bot

Uno Stato membro dell’Unione europea può sospendere il trasferimento dei dati degli utenti europei di Facebook verso server negli Stati Uniti al fine di garantire una adeguata protezione dei dati personali. Questo dopo il caso Edward Snowden (caso ‘datagate‘), che un paio di anni fa ha rivelato pubblicamente quelli che sono i programmi attuati dalle agenzie segrete americane per spiare i cittadini americani, ritenuti privi di una reale protezione contro il controllo ad opera dello Stato americano dei dati trasferiti verso tale paese.

L’avvocato generale della Corte di giustizia dell’Unione europea, Yves Bot, è stato chiamato a pronunciarsi in materia pochi giorni prima della sentenza della Corte sul caso di Maximillian Schrems, un cittadino austriaco, utente di Facebook, che, dopo le rivelazioni fatte da Edward Snowden sulla massiccia sorveglianza praticata negli Stati Uniti, ha presentato ricorso dinanzi all’Autorità irlandese circa la tutela della sua privacy. L’autorità irlandese ha respinto la denuncia motivando che, in una decisione del 26 luglio 2000, la Commissione Ue ha ritenuto che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti.

Nelle sue conclusioni, l’avvocato generale ritiene che, anche se un paese terzo ha un livello di protezione "adeguato" dei dati personali, le autorità nazionali di vigilanza possono intervenire e sospendere il trasferimento dei dati verso un paese terzo, qualora lo ritengano necessario.

La conclusione dell’avvocato generale della Corte europea – e quindi la successiva sentenza della Corte di Giustizia d’Europa –  va quindi ad invalidare la precedente decisione della Commissione europea di ritenere che un paese terzo se garantisce un livello di protezione adeguato per i dati personali trasferiti non può "ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della direttiva sul trattamento dei dati personali".

Andando a semplificare la questione, l’avvocato ritiene che, se un’autorità nazionale di controllo ritiene che un trasferimento di dati può non dare la giusta protezione ad un cittadino dell’Unione, essa ha il potere di sospendere il trasferimento, indipendentemente dal fatto che la Commissione ha valutato il paese di destinazione dei dati come "sicuro". Il potere riconosciuto dalla direttiva alla Commissione, infatti, non incide sui poteri conferiti dalla medesima direttiva alle autorità nazionali di controllo. In altre parole, la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo.

Inoltre, l’avvocato generale ritiene che, nei casi in cui vengano riscontrate carenze sistemiche nel paese terzo verso cui i dati personali sono trasferiti, gli Stati membri devono poter adottare le misure necessarie per salvaguardare i diritti fondamentali tutelati dalla Carta dei diritti fondamentali dell’Unione europea, tra cui il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale.

L’avvocato generale reputa inoltre che l’accesso dei servizi di intelligence americani ai dati trasferiti costituisca un’ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati a carattere personale, che sono garantiti dalla Carta dei diritti fondamentali dell’Unione europea.

Va precisato, infine, che le conclusioni dell’avvocato generale non hanno vincolato la Corte di giustizia. Il compito dell’avvocato generale consisteva nel proporre alla Corte, in piena indipendenza, una soluzione giuridica nella causa per la quale è stato designato.

La sentenza finale della Corte europea

Nella sua lunga argomentazione, la Corte di giustizia d’Europa rileva che le esigenze della sicurezza nazionale degli Stati Uniti "prevalgono sul regime dell’approdo sicuro" al quale sono sottoposti i dati privati dei cittadini europei trasferiti negli Usa, "cosicché le imprese americane sono tenute a disapplicare, senza limiti, le norme di tutela previste". Facebook raccoglie su un server in Irlanda i dati degli utenti europei e da lì li trasferisce negli Usa e quindi la Corte ritiene che "il regime americano dell’approdo sicuro rende così possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone". Nel 2000, la Commissione ha invece stabilito che gli Usa garantivano un adeguato livello di tutela della privacy, privando le autorità di uno stato europeo di poter controllare il trasferimento dei dati.

In seguito alla sentenza del 2015, spetta ora all’autorità irlandese di controllo esaminare la denuncia del cittadino austriaco Maximilien Schrems e decidere se sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché gli Usa non offrono un livello di protezione dei dati personali adeguato.

I funzionari europei sarebbero vicini a stringere un nuovo accordo con gli Stati Uniti che valga come alternativa al Safe Harbor (Porto sicuro), l’accordo tra Unione Europa e Stati Uniti che per anni ha permesso alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa. Il nuovo accordo dovrebbe essere in vigore tra tre mesi e si chiamerà “Eu-Us Privacy Shield” e lascerebbe Google, Amazon e migliaia di altre aziende continuare a spostare i dati digitali delle persone, compresi i messaggi dei social media e le informazioni finanziarie, da e verso i server situati negli Stati Uniti e nei paesi europei.

Con miliardi di dollari potenzialmente in gioco, l’accordo sul trasferimento dei dati è il risultato di più di tre mesi di negoziati tra i rappresentanti politici dei paesi di Stati Uniti e Unione europea che si sono scontrati per stabilire delle regole che equilibrino le preoccupazioni sulla privacy degli individui e gli obblighi di tracciamento dei dati ai fini della sicurezza nazionale, in particolare per anticipare ed evitare attacchi di terrorismo internazionale.

L’accordo Safe Harbor usato per oltre quindici anni attuava la direttiva Ue 95/46 entrata in vigore nell’ottobre 1998 sulla protezione dei dati personali e riguardava le società che immagazzinano i dati dei clienti, in particolare social network, siti di vendite online e motori di ricerca.

La Corte Ue nell’ottobre 2015 ha emesso la sentenza che ha stabilito che un paese europeo puo’ sospendere il trasferimento dei dati degli utenti europei di Facebook verso server negli Stati Uniti al fine di garantire una adeguata protezione dei dati personali. A seguire i dettagli di questa sentenza, in attesa di scoprire se il nuovo accordo Privacy Shield sarà attuato o meno.

Impostazioni privacy