L’accordo politico tra Unione europea e Stati uniti sul “Privacy Shield”, cioè le norme sul trasferimento dei dati dal vecchio continente all’altra sponda dell’Atlantico, è solo all’inizio del suo percorso. Per capirne fino in fondo il valore sarà necessario che i princìpi si traducano in provvedimenti concreti, che siano armonizzati con il resto dei dossier aperti, e che siano infine adottati come impegni vincolanti. In un percorso che nella più ottimistica delle ipotesi si concluderà alla fine di giugno, ma che potrebbe richiedere anche più tempo. Sono i capisaldi del ragionamento di Giovanni Buttarelli, European Data Protection Supervisor. “Ci sono voluti molti anni per far emergere la necessità di riprendere in mano questo dossier – dice a CorCom – Ora si deve fare un lavoro serio, perché sbagliare di nuovo non è possibile. L’errore del 2000 è stato veniale, perché a quei tempi nessuno immaginava che, ad esempio, il terrorismo internazionale avrebbe preso la piega che poi ha preso. Ora, sulla base dell’esperienza, non si può più incappare in altri infortuni”.
Buttarelli, qual è la portata del Privacy Shield, e il senso dell’accordo rispetto ai rilievi sollevati dalla Corte di Giustizia Ue con l’invalidazione del Safe Harbor?
Per il momento abbiamo l’annuncio di un accordo politico. C’è l’enunciazione di un’intesa sulle grandi linee, ma non è ancora possibile prevedere gli sviluppi delle prossime settimane. Ora gli sherpa che hanno avuto dalla Commissione il mandato di continuare il dialogo con gli Stati Uniti dovranno tradurre in concreto le linee generali, che per i grandi titoli sono positive: la questione sarà capire come saranno tradotte in concreto, perché il dettaglio fa la differenza sostanziale. Nel 2013 l’Europa aveva comunicato agli Usa 13 raccomandazioni sul Safe Harbor, e il Privacy Shield dovrebbe cogliere quelle che riguardano il rispetto più rigoroso dei princìpi cui devono attenersi le imprese, ovvero una supervisione più rigorosa da parte delle autorità statunitensi, una trasparenza maggiore per il ruolo delle terze parti “fidate”, quindi gli organi di arbitrato, gli “alternative disputes resolution bodies, e per l’informazione ai cittadini sui loro diritti. Oggi, c’è dichiarazione di voler ispirare l’eventuale accesso da parte dell’intelligence Usa ai dati trasferiti nell’ambito del futuro accordo sul piano della necessità e della proporzionalità: ora si tratta di vedere come questo avverrà in concreto. E di capire quale sarà la formulazione finale del cosiddetto Jiudicial redress act, una riforma in discussione negli Usa, che dovrebbe accordare ai cittadini europei garanzie maggiori di quelle oggi esistenti.
Qual è dal suo punto di vista l’aspetto più problematico?
Riguarda la vincolatività di questi pilastri. Bisogna capire se è possibile accontentarsi di un impegno formale scritto da parte delle autorità Usa o se occorra qualcosa in più. Gli Usa come politica generale anche al di là del caso specifico tendono a delegare molto all’esecutivo, mentre l’Europa interviene con il massimo dei propri strumenti giuridici, con decisioni che hanno effetti vincolanti sugli Stati membri. Si tratta di capire come l’accordo avrà effetto sui singoli Stati degli Usa, fino a che punto le autorità federali possono impegnarsi anche per gli altri, e che tipo di valore giuridico questo avrà.
Come si svilupperà ora la road map per arrivare all’adozione effettiva dell’accordo?
Si tratta di tradurre in atti formali tutte le risultanze dei dialoghi che si sono protratti per molto tempo. Presumo che avremo a disposizione questi documenti tra la fine di febbraio e la fine di marzo, e quando saranno maturi per una consultazione l’Edps da solo, il gruppo di tutte le autorità garanti europee di cui facciamo parte e un comitato di rappresentanti degli Stati membri dovranno emettere tre pareri formali separati che sono parte integrante di questo processo. Se pensiamo al Safe Harbor, l’accordo finale è risultato molto diverso dalla sua prima stesura. Il nuovo lavoro è in fase di sviluppo e si tratterà di vedere adesso, a seconda del tenore delle proposte, quanto tempo ci vorrà per portarlo a compimento, considerando che anche il Parlamento europeo vorrà svolgere un ruolo, e già lo ha fatto presente attraverso dichiarazioni del presidente del comitato parlamentare e del relatore del regolamento europeo.
L’accordo prevede una revisione annuale. E’ la misura che servirà per non trovarsi più con norme “superate dai tempi”, come accaduto per il Safe Harbor?
Questo era uno dei punti più deboli del precedente Safe Harbor, ed è uno dei punti più positivi e meno controversi del nuovo. E’ evidente che senza un enforcement costante l’accordo scricchiolerebbe. Questa parte essenziale ci sarà, e la Commissione europea ha già dichiarato che intende prevedere un ruolo specifico per le autorità garanti europee e anche di incentivare misure di cooperazione con le varie autorità indipendenti americane.
Cosa succederà da qui a quando l’accordo entrerà in vigore? E quanto tempo sarà necessario?
Oggi nessun trasferimento di dati può avvenire, seppur temporaneamente, secondo i vecchi principi del Safe Harbor. Per questo molte aziende si sono già organizzate, ad esempio con le clausole contrattuali, le binding corporate rules, il consenso e altre ipotesi previste per legge. Non c’è una scadenza, il problema è adottare una soluzione che sia robusta e resista a un nuovo vaglio, perché probabilmente la corte potrebbe occuparsi di nuovo di questo aspetto, e quindi ha senso soltanto fare una cosa che sia inattacabile, non solo difendibile e argomentabile. Comunque dopo l’adozione dei pareri la Commissione dovrà assumersi la responsabilità di individuare fino a che punto questi pareri vadano tenuti in considerazione e adottare una decisione, che dovrà essere pubblicata nella Gazzetta ufficiale europea. La Commissione europea dovrà dare un periodo agli Stati membri per conformarsi, che nel 1999 è stato di tre mesi. Tutti hanno interesse a una soluzione rapida. Nella più ottimistica delle ipotesi, con tutti gli interlocutori d’accordo nella sostanza e per accelerare al massimo, non potrebbe esserci una decisione prima di giugno o luglio, secondo gli auspici della Commissione sotto la presidenza olandese.
Come si integra l’accordo Ue-Usa con il regolamento europeo sulla privacy da poco approvato?
Anche il regolamento europeo sulla privacy dovrà essere pubblicato in Gazzetta e dovrà entrare in vigore, quindi nell’ultimo incontro con le autorità garanti ho sollecitato una riflessione sul rapporto tra i due, su chi arriverà per primo, anche perché cambierebbero alcuni aspetti formali. E’ una questione di “incastri”. Non soltanto tra il nuovo regolamento sulla privacy in Europa e il Privacy Shield, ma anche rispetto a tutta una serie di dialoghi in corso con gli Usa, di cui il Safe Harbor è una parte importante, quello che gode di più attenzione mediatica, ma non è l’unica: c’è in discussione anche il futuro delle clausole contrattuali, l’Umbrella Agreement, il Trattato TTIP, il Trattato TISA. Ed è necessario che vadano tutti a buon fine con il massimo del coordinamento.
Quale sarà il ruolo dell’Edps e quello delle authority nazionali per la privacy nel nuovo scenario che scaturisce dall’accordo?
Sarà intanto consultivo prima che le misure siano previste a adottate. Quanto a eventuali altri giudizi dinanzi alla Corte di giustizia l’Edps è l’unica autorità indipendente che interviene direttamente ed è normalmente invitata, e quindi noi saremo presenti. Poi la parte di attuazione prevederà un ruolo di monitoraggio, propositivo, e di verifica periodica del raggiungimento dei risultati. E’ un’attività che noi vogliamo fare in collaborazione con le altre autorità gemelle.
Quali problemi si troveranno ad affrontare nel frattempo le aziende?
Le imprese stanno vivendo un momento di incertezza, sono un po’ “in mezzo” a questa controversa vicenda. Spostarsi da un sistema giuridico a un altro comporta costi e richiede tempi di attuazione. Le grandi imprese si sono spostate per tempo sulle clausole contrattuali e le binding corporate rules, anche se non è detto che questo sarà efficace nel lungo periodo: anche per questo le risposte devono essere globali. Quelle che soffrono di più sono le piccole e medie imprese, che hanno fatto più affidamento sul Safe Harbor e non hanno le risorse per giostrare giuridicamente la loro attività quotidiana.