il parere

Facebook: a rischio i dati personali degli europei conservati negli Usa

di |

Secondo l'avvocato generale della Corte Ue Bot, gli Stati Ue possono bloccare il flusso di dati degli utenti Facebook verso gli Usa, perchè il paese non tutela adeguatamente le informazioni private.

I Garanti privacy europei hanno il potere di sospendere il trasferimento dei dati dei cittadini dell’Unione verso paesi terzi se ritengono che questi paesi non garantiscono un adeguato livello di tutela delle informazioni.

È questo il parere dell’avvocato generale della Corte Ue, Yves Bot, intervenuto sul caso sollevato da un cittadino austriaco, Maximillian Schrems, in seguito alle rivelazioni di Edward Snowden sulle attività dei servizi d’intelligence negli Stati Uniti.

I dati, nel caso specifico, sono quelli del profilo Facebook che, di prassi, vengono trasferiti e conservati su server situati negli Stati Uniti.

Secondo la denuncia di Schrems, alla luce delle rivelazioni di Snowden sullo spionaggio effettuato dall’NSA, le leggi americane non offrono alcuna reale protezione contro il controllo da parte del Governo Usa.

Ma l’autorità irlandese per la protezione dei dati non ha accolto la denuncia, con la motivazione che, in una decisione del 26 luglio 2000, la Commissione europea ritiene che gli Stati Uniti garantiscano un livello adeguato di protezione dei dati personali trasferiti, nel contesto del cosiddetto regime di “Safe Harbor”, l’accordo bilaterale sulla data protection in vigore tra Europa e Stati Uniti, per regolare il trasferimento dati da una società europea a una statunitense.

Una convinzione, a dire il vero, già contestata dal procuratore della Commissione Europea Bernhard Schima, che ha messo in guardia i cittadini europei dal rischio privacy legato all’attività di monitoraggio dei dati personali degli utenti del web da parte delle autorità Usa, invitandoli a chiudere gli account Facebook per tutelare la privacy.

Investita della causa, la High Court of Ireland (Alta Corte di giustizia irlandese) ha girato la questione alla Corte Ue per sapere se la decisione della Commissione possa “impedire ad un’autorità nazionale di controllo di indagare su una denuncia secondo cui un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato”.

Ebbene, secondo l’avvocato generale Yves Bot, che comunque non sono vincolanti, “l’esistenza di una decisione della Commissione che dichiara che un paese terzo garantisce un livello di protezione adeguato per i dati personali trasferiti non può elidere e neppure ridurre i poteri di cui dispongono le autorità nazionali di controllo in forza della direttiva sul trattamento dei dati personali. Egli ritiene inoltre che la decisione della Commissione sia invalida”.

Fermo restando l’importante ruolo svolto dalla Commissione nell’uniformare le condizioni di trasferimento nell’ambito degli Stati membri, in alcun modo, insomma, essa può limitare i poteri delle autorità nazionali di controllo, la cui indipendenza e poteri devono rimanere integri vista l’importanza del loro ruolo in materia di protezione dei dati.

E, se un Garante privacy ritiene che “un trasferimento di dati arrechi pregiudizio alla protezione dei cittadini dell’Unione per quanto attiene al trattamento di loro dati, essa ha il potere di sospendere detto trasferimento, e ciò a prescindere dalla valutazione generale svolta dalla Commissione”, spiega l’avvocato.

A maggior ragione nel caso specifico – con gli Stati Uniti che raccolgono e conservano, su larga scala, i dati personali di cittadini dell’Unione senza che questi ultimi usufruiscano di una tutela giurisdizionale effettiva – e in tutti i casi laddove fosse riscontrata una carenza sistemica nel paese terzo verso cui i dati personali sono trasferiti, dice ancora l’avvocato, “gli Stati membri devono poter adottare le misure necessarie per salvaguardare i diritti fondamentali tutelati dalla Carta dei diritti fondamentali dell’Unione europea, tra cui figurano il diritto al rispetto della vita privata e della vita familiare e il diritto alla protezione dei dati a carattere personale”.

Tanto più che all’indomani dello scoppio dello scandalo Datagate, la stessa Commissione aveva messo in dubbio la validità dell’accordo Safe Harbor, chiedendone una immediata revisione poiché non contiene garanzie idonee ad evitare un accesso massiccio e generalizzato ai dati trasferiti anche perché le autorità europee non sono in grado di controllare, negli Stati Uniti, la violazione dei principi di protezione dei dati personali commessa da enti pubblici, quali le agenzie di sicurezza americane, nei confronti dei cittadini dell’Unione.

Un parere, quello dell’Avvocato generale della Corte Ue, che pur non essendo vincolante rende comunque l’idea di quanto i cittadini europei siano soggetti a un livello di tutela del tutto inadeguato a fronte della mole immensa di dati ‘regalati’ letteralmente ai Governi di Paesi terzi.

Ieri, nel corso del dibattito che si è tenuto sulle prospettive di Mercato Unico (“How to connect the dots to a Digital SingleMarket?” organizzato da Vieuws.eu) Roberto Viola, Direttore Generale della DG Connect, la Direzione Generale che fa capo al Commissario Ue alla Digital Economy, Günther Oettinger ha ribadito la necessità di maggiore reciprocità tra Ue e Usa per favorire il libero flusso di dati tutelando i cittadini.

Per favorire proprio il libero flusso dei dati, nelle scorse settimane, dopo 4 anni di negoziati,  Stati Uniti e Unione europea hanno siglato il cosiddetto umbrella agreement’  per proteggere sia i dati che polizia e autorità giudiziarie si scambiano nel corso delle indagini, sia quelli che le web company trasmettono alle autorità. L’accordo però è stato subito ‘congelato’ e non potrà essere operativo fino a quando gli Usa non approveranno il ‘Judicial Redress Act’, introdotto a marzo e che consentirà ai cittadini europei di far valere il loro diritto alla privacy e al corretto utilizzo dei dati personali anche negli Usa, visto che al momento i cittadini europei non hanno il diritto fare ricorso a un tribunale americano per denunciare un presunto abuso dei loro dati personali. I cittadini americani, invece, possono presentare una causa in un tribunale europeo anche da oltreoceano.