Servono ancora dei miglioramenti a un testo che di fatto permette ancora la sorveglianza di massa indiscriminata e affida pochi poteri e molto vaghi alla figura del mediatore che dovrebbe tutelare i dati degli europei una volta trasferiti oltreoceano.
È questo il parere del Gruppo Articolo 29, che riunisce i regolatori europei sulla privacy, sul Privacy Shield, il controverso nuovo accordo per il trasferimento di dati tra Ue e Usa che andrà a sostituire il Safe Harbor, invalidato a ottobre dalla Corte di Giustizia Ue.
Per il garante francese e presidente del gruppo Art. 29, Isabelle Falque-Pierrotin, il Privacy Shield rappresenta certo un passo avanti rispetto al Safe Harbour ma “…è inaccettabile – ha affermato – che nel testo permanga la possibilità di una raccolta di dati massiccia e indiscriminata”.
“Riteniamo pertanto – ha aggiunto Falque-Pierrotin – che non ci sia abbastanza sicurezza o garanzie sullo status del mediatore e sui suoi effettivi poteri, oltre che sulla sua reale indipendenza” e che siano necessari “ulteriori chiarimenti e altro lavoro” per assicurare che le garanzie del Privacy Shield siano sostanzialmente equivalenti a quelle disponibili in Europa (qui il press briefing di Falque-Pierrotin).
Servono, in sostanza, ulteriori modifiche e semplificazioni a un testo estremamente complesso, a volte incoerente e che, in ultima analisi, non tutela adeguatamente i cittadini europei e lascia eccessivo spazio d’azione all’intelligence americana.
In base ai termini dell’accordo, infatti, l’intelligence Usa può limitare la sorveglianza di massa dei dati personali dei cittadini europei a indagini sul terrorismo, spionaggio o cybersicurezza. L’inghippo – secondo i Garanti Ue – sta nel fatto che queste condizioni si applicano soltanto all’uso dei dati raccolti, non alla raccolta in sé che resta indiscriminata e con eccezioni eccessivamente ampie.
Anche se il parere del Gruppo dei Garanti Ue non è vincolante, crea senza dubbio un serio problema per la Commissione europea: i garanti nazionali, come sancito anche dalla Corte Ue, hanno facoltà di indagare e sospendere il trasferimento dei dati se ritengono che i diritti degli europei non siano adeguatamente protetti. E questo a prescindere da un eventuale diverso accordo transatlantico. Cosa farà quindi Bruxelles: approverà l’accordo così com’è – consapevole dell’importanza dello scambio dei dati per l’economia – o cercherà di tornare al tavolo delle trattative con gli Stati Uniti nella speranza di giungere comunque a un accordo entro l’estate, come previsto?
Per Max Schrems, che con la sua denuncia contro Facebook ha dato il via al processo che, una volta approdato a Strasburgo, ha portato all’annullamento del Safe Harbour, la Commissione non cambierà i suoi piani. Ci sarà magari un ulteriore scambio diplomatico ma alla fine “Il Privacy Shield sarà tenuto in vita per le pressioni del Governo americano e di alcuni settori dell’industria”.
Gli Usa, dal canto loro, ritengano che i meccanismi di supervisione previsti dal Privacy Shield siano più che sufficienti e che le tutele sulle modalità di accesso ai dati da parte delle agenzie superino di gran lunga quelle di molti Stati europei.
“Anche se Ue e Usa hanno strutture differenti, entrambe offrono robusti sistemi di protezione della privacy”, ha affermato il Segretario al Commercio Usa Penny Pritzker, che ha guidato le trattative con la Commissione europea.
Dalla sua parte, gli Usa ha l’appoggio di paesi come Irlanda e Inghilterra, dove molte multinazionali americane hanno la sede europea.
Multinazionali che rimangono in un limbo fino alla ratifica dell’accordo. Quelle che ancora si basano sul Safe Harbour sono passibili di sanzioni e potrebbero venire obbligate a fermare il trasferimento dei dati. Stando così le cose queste aziende possono solo inviare dati ai loro server americani se hanno predisposto strumenti alternativi per il trasferimento di dati negli Stati Uniti – quali le clausole contrattuali standard (Standard Contractual Clauses) e le norme vincolanti d’impresa (BCR – Binding Corporate Rules). Così ha fatto, ad esempio, Facebook. Questi strumenti, tuttavia, non sono una panacea perché in teoria soffrono delle stesse carenze del Safe Harbour e, in base al parere dei garanti Ue, anche del Privacy Shield.
Se, dunque, gli Usa non acconsentissero ad apportare ulteriori modifiche alle loro pratiche di sorveglianza anche il paracadute delle clausole contrattuali standard e delle le norme vincolanti d’impresa potrebbe venire a mancare.
Ricordiamo che nella sua valutazione, il Gruppo Articolo 29 ha tenuto conto di quattro garanzie essenziali:
- Il trattamento dei dati deve essere basato su “regole chiare, precise e accessibili”: chiunque sia ragionevolmente informato dovrebbe essere quindi in grado di prevedere ciò che potrebbe accadere ai suoi dati nel luogo in cui vengono trasferiti;
- Ci dovrebbe essere “necessità e proporzionalità” nell’accesso ai dati di cittadini europei: occorre trovare un equilibrio tra l’obiettivo per il quale i dati sono raccolti e vi si accede (sicurezza generale nazionale) e i diritti della persona;
- Dovrebbe esistere un “meccanismo di controllo indipendente, efficace e imparziale”: può essere un giudice o un altro organo indipendente, ma deve avere comunque sufficiente capacità di effettuare i necessari controlli;
- “Rimedi efficaci” dovrebbero essere disponibili a tutti i cittadini europei: chiunque dovrebbe avere il diritto di difendere i suoi diritti davanti a un organismo indipendente
Sulla base delle valutazioni di queste garanzie, i Garanti sono giunti alla conclusione che si può fare di più, sia per evitare la sorveglianza di massa che per garantire la vera indipendenza dell’Ombudsperson, che dovrà garantire la tutela dei dati dei cittadini europei.
