La Commissione UE e il Governo degli Stati Uniti hanno raggiunto un accordo politico per il nuovo framework di protezione dei dati personali post-Safe Harbor. E’ successo il 2 febbraio 2016 con grande clamore mediatico e profonda soddisfazione di tanti (soprattutto delle imprese Ict americane e di quelle europee che trasferiscono dati personali in Usa). Ora, quell’accordo politico deve trasformarsi in regole scritte e vincolanti.
Il 6 ottobre scorso, per chi se lo fosse scordato, la Corte di Giustizia Ue aveva invalidato – dopo 15 anni di onorata vigenza – la decisione Safe Harbor della Commissione Europea, con argomenti severi, da rispettare ma anche potenzialmente devastanti non solo per il Safe Harbor in sé quanto per ogni strumento giuridico che osi essere diverso da una norma pubblicistica top-down, imperativa e autoritativa. In quella sentenza si concentra, a parere di chi scrive, la quintessenza dell’approccio amministrativistico e statalista della privacy europea, dotato di forti ragioni di principio ma certamente tanto lontano da altre nobili culture giuridiche (quali quella estremo-orientale e quella, appunto, americana).
In queste ore, già si levano voci critiche verso l’accordo Usa-Ue e la cacofonia di opinioni prevale sulle certezze. C’è chi parla di “minestra riscaldata”, vedendo nell’accordo politico appena raggiunto – denominato Eu-Usa Privacy Shield, siamo cioè passati dal porto allo scudo – una semplice riedizione poco innovativa del vecchio e inadeguato Safe Harbor. C’è chi, invece, come il sottoscritto, aspetta di vedere i fatti che, in questo caso, coincidono con il diritto: bisognerà valutare, in sostanza, se gli atti normativi sia americani sia europei che saranno conseguenza del “deal” avranno dignità e spessore sufficienti.
I pilastri dell’accordo politico, come era auspicabile in un’ottica non massimalista (e certe volte l’approccio regolatorio Ue è veramente massimalista, tende ad esigere “operazioni chirurgiche riuscite perfettamente ma con paziente morto”), dovrebbero essere i seguenti:
– Trasparenza e certezza delle regole: che significa chiarezza sulle garanzie riconosciute, sulle misure di sicurezza applicate, sui tipi di controlli – anche di pubblica sicurezza o per accertamento e repressione di crimini – operati dalle autorità americane (e viceversa dei vari Stati UE? Si spera);
– Possibilità per i cittadini europei di far valere e difendere i propri diritti privacy anche contro autorità statunitensi, potendo contare su diversi rimedi e soggetti a cui far pervenire facilmente ed efficacemente le proprie istanze in caso di (supposti/reali) abusi o violazioni;
– Reciproco rispetto delle sovranità nazionali, in accordo con le convenzioni e i trattati internazionali, con le costituzioni e le carte dei diritti fondamentali.
Apparentemente, sia i termini dell’accordo politico, stando al comunicato ufficiale rilasciato dai negoziatori Ue-Usa, sia determinati atti normativi che stanno per essere adottati in Usa (primo fra tutti il Judicial Redress Act che abiliterà i cittadini Ue a far valere diritti privacy anche innanzi a Corti americane, pur con alcuni vincoli) sembrano deporre favorevolmente ma c’è un altissimo rischio di inadeguatezza futura se tutto il quadro non dovesse reggere alla prova dei fatti.
Quali fatti? Facciamo qualche rapido esempio.
In base all’accordo, le rispettive intelligence – degli Usa e degli Stati Ue – si incontreranno periodicamente per controllare a vicenda il rispetto delle misure e delle proporzioni dei controlli di pubblica sicurezza operati dalle varie autorità. Quanto riusciranno ad essere “veri”, efficaci ed effettivi questi controlli incrociati sui controllori? Resta un mistero, tanto più che noi cittadini europei abbiamo già poca o nulla visibilità perfino sulle attività di controllo (intercettazioni preventive telefoniche e telematiche, ad esempio) operate in casa nostra dai vari Stati Ue. La sensazione, giuridicamente robusta, è che anche i Garanti privacy abbiano poche frecce al loro arco per controllare i controllori, oggi, nei nostri Paesi, immaginarsi quale potrà essere la visibilità reale sui controlli oltreoceano.
Altra sfida che fa pensare, dantescamente, “qui si parrà la tua (USA) nobilitate”, è il cd “New York warrent case” di Microsoft, la quale anni fa ha coraggiosamente rifiutato di dare seguito a un ordine di un giudice newyorkese che imponeva la produzione di dati di un suo cliente, conservati su server di Dublino. Microsoft ha impugnato quell’ordine, senza eseguirlo e sostenendo che il giudice Usa dovrebbe attenersi alle rogatorie previste dai trattati internazionali e non certo arrogarsi il potere di un accesso diretto a dati collocati su territorio straniero in virtù della mera “cittadinanza americana” del provider. Siamo in attesa della decisione di appello che dovrebbe arrivare tra poche settimane. La battaglia di Microsoft, in tal senso, oltre a risultare impeccabile sul piano del diritto agli occhi del giurista esperto, pare anche indispensabile per garantire al nuovo Eu-Us Privacy Shield la credibilità sostanziale di cui esso necessiterà (e per salvaguardare la fiducia del grande mercato europeo, soprattutto nel public sector, verso i fornitori americani). Sarebbe francamente increscioso se, pur con il nuovo Scudo Privacy operativo, la giustizia americana dimostrasse che gli impegni presi dal Governo e dal legislatore Usa non valgono a impedire accessi diretti a dati conservati su territori di altri Stati Ue.
Vedremo i dettagli dell’Eu-Us Privacy Shield, leggeremo le “carte”, capiremo di che lega metallica è fatto questo scudo. Se prevarranno la ragionevolezza, la fattibilità e l’equilibrio, assisteremo comunque sia ai lamenti degli integralisti della privacy burosaurica sia alle doglianze dei fondamentalisti della cybersecurity e del “data is business and business is business”, ma alla fine ci guadagneranno le imprese e cittadini di entrambe le sponde dell’Atlantico. Se prevarrà l’ipocrisia, invece, prepariamoci a dure prese di posizione giurisprudenziali, sia in Ue sia in Usa, che smaschereranno facilmente ogni “vestizione politica” senza sostanza.
* Presidente Istituto Italiano per la Privacy e la Valorizzazione dei Dati
