Dopo quattro anni di lunghe negoziazioni, iniziate più o meno in parallelo con il progetto di riforma della direttiva 95/46/CE sulla circolazione dei dati personali – che dovrebbe a breve essere sostituita da un ben più incisivo regolamento comunitario – è stato firmato, verso fine estate, un importante accordo quadro tra l’Unione Europea e gli Stati Uniti d’America.
L’accordo, chiamato the “Umbrella Agreement on Law Enforcement”, e definito dagli addetti ai lavori un accordo storico, copre lo scambio di dati – prevalentemente giudiziari e comunque pertinenti a tali finalità – tra autorità, polizie e magistratura dei due blocchi. Detto in altro modo, si tratta di un accordo destinato a regolare le politiche di law enforcement tra USA e Unione almeno per i prossimi dieci-quindici anni: si tratta del primo accordo del genere dell’era post- Snowden.
In parallelo, invece, resta ancora fumoso lo scenario relativo all’altro grande ombrello, il più noto Safe Harbor, che copre i trasferimenti di dati tra società stabilite sulle due sponde dell’Atlantico.
In Europa le reazioni oscillano tra il “trionfalistico” ed il “largamente soddisfatto” – la stessa Commissaria EU alla Giustizia, Vera Jourovà, lo ha descritto come un “importante passo avanti nel rafforzamento del diritto fondamentale alla privacy, nonché un segnale di ritrovata fiducia nelle relazioni transatlantiche”. Il parlamentare europeo Jan Philipp Albrecht, nome molto noto agli addetti ai lavori che seguono le vicende dell’adottando regolamento sulla privacy, vede nell’accordo “significativi segni di positiva standardizzazione nell’approccio alle tematiche dell’uso dei dati, in un’ottica di rafforzamento delle libertà civili nel mondo digitalizzato”. Tuttavia ed in verità, la palla è in questo momento nel campo americano, considerato che sarà il Congresso a dover ratificare l’accordo preso e non sono escluse sorprese, in particolare con riferimento alla possibilità data ai cittadini europei di citare in giudizio le istituzioni americane in ragione del possibile trattamento illecito dei dati, considerata la forte contrapposizione tra i due poli che compongono il parlamento americano e le grandi manovre per le imminenti elezioni presidenziali. A tal riguardo, sembrerebbe che mentre ai cittadini americani, vis-à-vis le istituzioni europee, tale possibilità sia stata riconosciuta senza limiti, agli europei verrebbero posti taluni limiti. Ed è proprio su tali profili di più o meno mancata reciprocità che l’accordo ha patito i più significativi blocchi e rallentamenti nel corso degli ultimi anni.
Inoltre, l’accordo andrebbe ad introdurre forti paletti alle modalità di utilizzo dei dati, alla durata della loro conservazione – ritorna sempre come un mantra il problema della data retention – nonché alle modalità con cui i trasferimenti oltre oceano possano avvenire. L’accordo tocca anche i profili relativi agli obblighi di notificazione alle autorità dei due blocchi continentali in caso di data breach, ossia in tutti quei casi in cui una violazione di dati – che sia accidentale o volontaria – sia avvenuta, intensificando in tal modo i rapporti tra le autorità e le polizie europee ed americane anche in tutti quei casi in cui operino gli Hackers Team di turno. Ricordiamo, a tal riguardo, che obblighi di data breach notifications, operano al momento nel nostro Paese, con riguardo a soli tre ambiti: quello delle telecomunicazioni, quello bancario e, di recente, dall’entrata in vigore del provvedimento del Garante per la protezione dei dati personali in materia di biometria, anche in caso di utilizzo di strumenti e tecnologie biometriche, in determinati ambiti e stante talune circostanze.
Un altro tassello transnazionale è andato al suo posto, nel grande puzzle delle regole che tentano di disciplinare le informazioni disponibili in rete, l’attenzione adesso si polarizza tutta su Bruxelles e sulle fasi finali del Trilogo che dovrebbe decidere le sorti delle leggi sulla privacy di tutta Europa.