Davide contro Golia. Da 4 anni l’austriaco Max Schrems ha iniziato una battaglia per la privacy contro Facebook. Nel 2011, dopo essere rientrato da un viaggio in California, l’allora studente di legge si accorge che il social network ha conservato i suoi dati in 1.200 pagine. Quando poi Edward Snowden ha rivelato l’esistenza del programma di sorveglianza Prism, Schrems si è convinco che i suoi dati e quelli degli europei non sono al sicuro, perché trasferiti in server in Usa e in altre zone del mondo da aziende come Facebook. Il tutto, però, secondo l’accordo transatlantico Safe Harbor, che disciplina lo standard americano ed europeo per la trasmissione e la conservazione dei dati dei cittadini. Così nel 2013 l’attivista per la privacy presenta un ricorso all’Autorità per la protezione dei dati personali dell’Irlanda, dove sorge la sede europea del social network, ma il Garante per la privacy si rifiuta di aprire un’istruttoria, definendo il ricorso “frivolo”. Ma il giovane studente non si arrende e si rivolge alla Corte di giustizia dell’Unione europea, che, giusto due anni fa, invece pronuncia una sentenza in suo favore: “vista la sorveglianza indiscriminata, i nostri dati personali in mano agli americani non sono protetti, per cui i giganti del web non possono trasferirli in automatico negli Stati Uniti”. In particolare la Corte ha dichiarato “il Safe Harbor non valido” e ha aggiunto che “l’Authority irlandese deve valutare, secondo i diritti fondamentali degli europei, se far sospendere a Facebook il flusso di dati degli utenti europei nei server degli Stati Uniti perché nel Paese non è garantito un adeguato livello di protezione dei dati personali”.
Ma, nonostante questa sentenza, il Garante per la privacy irlandese non ha mosso un dito sebbene abbia il potere di farlo, come constatato dall’Alta Corte di giustizia dell’Irlanda che ieri ha passato la palla, per la seconda volta, alla Corte di giustizia dell’Unione europea.
I dati degli utenti di OTT nei server Usa o nei server in Ue?
Dopo l’abolizione del Safe Harbor Facebook ha continuato a trasferire i dati degli utenti europei dai server in Irlanda a quelli negli Stati Uniti secondo le nuove regole europee chiamate Standard Contractual Clauses (SCCs).
E in virtù di questa normativa l’austriaco Max Schrems ha presentato un altro ricorso al Garante irlandese chiedendogli di bloccare il trasferimento dei dati degli utenti di Facebook oltre l’Unione Europea. Ma l’Autorità per la protezione dei dati personali si è rifiutato. Così la vicenda è finita di nuovo a Lussemburgo alla Corte di giustizia dell’Ue che dovrà decidere se:
- In base l’articolo 4 del Standard Contractual Clauses e dell’articolo 28 della direttiva europea sulla privacy, l’Authority irlandese può esercitare il potere di bloccare il trasferimento dei dati degli utenti europei di Facebook nei server della società negli Usa. Qualora potesse farlo si aprirebbe una nuova era della privacy nell’Ue: anche le altre Autorità per la protezione dei dati personali potrebbero obbligare Facebook e gli altri OTT a gestire i dati degli utenti in soli server presenti sul territorio dell’Unione europea, per evitare di essere spiati dagli americani.
