La Commissione europea ha presentato ieri i testi giuridici in tema di “Usa-Ue Privacy Shield”, ovvero di protezione della riservatezza tra Unione europea e Stati Uniti. Il testo è frutto di due anni di negoziati tra Bruxelles e Washington per ristabilire un clima di fiducia nei flussi di dai transatlantici, messo in crisi dalle rivelazioni dell’attività di sorveglianza nel 2013 e, l’anno scorso, dall’annullamento del precedente accordo di Safe Harbor da parte della Corte di Giustizia europea. I principi da rispettare chiesti dall’Europa nell’ambito del Privacy Shield includono impegni scritti da parte del governo degli Stati Uniti sul rispetto della disposizione e l’assicurazione sulle garanzie e le limitazioni concernenti l’accesso ai dati da parte delle autorità pubbliche. Sono compresi meccanismi di vigilanza, fra cui sanzioni o esclusione per le aziende in caso di inadempienza e verrà nominato un diplomatico americano tra le figure di maggiore esperienza per occuparsi di eventuali violazioni da parte delle agenzie di intelligence Usa.
Dunque, privacy degli europei blindata? Non per il Financial Times, che sottolinea in un commento come gli attivisti della data protection non siano affatto soddisfatti della proposta della Commissione europea, sia perché i cittadini europei non avranno comunque diritto di esigere i danni finanziari per presunte violazioni della loro privacy sia perché la lettera firmata da un alto funzionario dell’intelligence Usa e mandata a Bruxelles con il preciso impegno a non calpestare i diritti dei cittadini Ue viene considerata legalmente priva di valore. I paladini della privacy vorrebbero standard ancora più severi e vincolanti.
Il Privacy Shield deve poi superare una serie di ostacoli interni all’Ue, continua il Financial Times, perché i vari Garanti privacy dei 28 Stati dell’unione devono siglare a loro volta l’accordo. Anche la Corte di Giustizia europea deve dare il suo sigillo d’approvazione e il quotidiano economico si aspetta diverse obiezioni: l’ok potrebbe arrivare solo dopo ulteriori modifiche.
E’ vero che con il Privacy Shield le autorità europee per la data protection potranno sospendere il trasferimento di dati verso gli Usa se osserveranno violazioni. I regolatori potranno anche esaminare costantemente la raccolta “massiccia” di dati di cittadini Ue da parte di agenzie dell’intelligence Usa. Per questo le autorità europee e americane hanno definito l’accordo un importante traguardo che rafforza le difese alla privacy e costringe le aziende che operano online a rispettare standard più severi. Secondo i negoziatori di Usa e Usa anche le preoccupazioni della Corte di Giustizia europea dovrebbero essere mitigate.
Come il precedente Safe Harbor, il nuovo accordo consente alle aziende e altre organizzazioni che scambiano dati tra i due lati dell’Atlantico di autocertificare la propria compliance. Ma fissa requisiti più stringenti per l’uso di terze parti e crea un meccanismo annuale di riesame congiunto per monitorare il funzionamento dello scudo per la privacy che dovrebbe permettere di tenere lo “shield” al passo con le evoluzioni tecnologiche, anche se gli esperti legali sono poco convinti: “Chi vorrà sprecare tempo e denaro per la compliance e l’autocertificazione se le regole rischiano di cambiare in continuazione?”, osserva Paula Barrett, socia di Eversheds.
Lasciano dubbi anche lo speciale arbitrato che permette ai privati cittadini di presentare reclami e un nuovo organo di sorveglianza americano, che risponderà ai reclami dei cittadini Ue che ritengono di essere ingiustamente oggetto di spionaggio da parte dell’intelligence Usa. Entrambi i meccanismi, secondo il Financial Times, appaiono deboli dal punto di vista dei cittadini europei, almeno stando al testo rilasciato ieri: per accedere all’arbitrato infatti occorre prima rivolgersi alle aziende e autorità locali; se poi si viene trasferiti all’arbitrato transatlantico, il preposto Privacy Shield Panel avrebbe il potere solo di ordinare all’azienda che ha violato le regole di rimediare al problema relativo al singolo individuo e nessuna possibilità di imporre il pagamento dei danni e nemmeno dei costi processuali.