“ll Privacy Shield introduce meccanismi di salvaguardia, che se rispettati, andranno a rafforzare le garanzie sulla circolazione dei dati europei”. L’avvocato Rocco Panetta, partner di NCTM Studio Legale ed esperto di Internet e Privacy spiega a CorCom le novità introdotte dallaccordo Usa-Ue sul trasferimento di dati.
La Commissione Europea ha finalmente svelato i testi del Privacy Shield. Cosa gliene pare?
Anzitutto dobbiamo precisare che il Privacy Shield, ossia lo scudo sul trasferimento dei dati personali dai Paesi membri dell’UE verso i soli Stati Uniti d’America, non è ancora entrato in vigore. Qualche settimana fa si era dato l’annuncio del raggiungimento di un accordo politico di massima tra Commissione UE e Dipartimento del Commercio e Federal Trade Commission americane, senza però poterne leggerne i contenuti, che invece arrivano in queste ore. L’annuncio era limitato ad una press release ufficiale ed a qualche comunicazione rilasciata dai Commissari europei competenti. Ci si aspettava, dunque, di leggere i contenuti di tale accordo. Adesso, il processo è avviato formalmente, ma, è bene ribadirlo, non è ancora compiuto. Infatti, occorrerà prima acquisire il parere del Gruppo Art .29, ossia delle Autorità Garanti della Privacy dei 28 Paesi dell’Unione, assieme ai rappresentanti dei Governi degli Stati membri. A quel punto sarà necessario un passaggio anche presso il Parlamento europeo. Contestualmente, negli USA, gli organi competenti dovranno fissare i criteri per il monitoraggio del meccanismo del Privacy Shield, e dovranno anche individuare le modalità per far funzionare lo strumento della mediazione, oltre a tutto il resto. Insomma, non è propriamente un percorso lineare e libero da ostacoli di vario genere. Detto questo, è un’ottima cosa vedere che i negoziatori in campo rispettano gli annunci resi e si muovono anche con una certa velocità, considerata la delicatezza della situazione che si è creata dopo la sentenza della Corte di Giustizia dell’UE che ha decretato, nello scorso autunno, la fine del Safe Harbor.
Più nel dettaglio, cosa cambia rispetto al precedente Safe Harbor?
Le ricadute sono molteplici e molte di esse positive, senza oneri in verità per cittadini e imprese operanti in Europa. La partita si gioca tutta oltreoceano. Occorre ribadire, a scanso di equivoci, che tanto il Safe Harbor, quanto il Privacy Shield, disciplinano le modalità con cui i flussi di dati personali raccolti e trattati in Europa vengono trasferiti e gestiti esclusivamente negli Stati Uniti e delle relative garanzie. Il fenomeno del trasferimento di dati personali di cittadini europei al di fuori dell’UE è molto più vasto e complesso. Si pensi solo per un attimo a quali e quanti flussi di dati generiamo in ogni istante, con l’uso dei telefoni cellulari, con le carte di credito o usando Internet e quanti di essi sono diretti verso paesi terzi rispetto agli USA, ad esempio verso la Cina, il Giappone, l’India, l’America Latina o l’Africa. Il Privacy Shield, nel futuro, come il Safe Harbor, nel passato, disciplina solo una parte del complesso capitolo dei trasferimenti di dati personali nei Paesi extra UE. Gli altri strumenti per permettere una circolazione dei dati personali in linea con le regole dell’Unione si chiamano BCR Binding Corporate Rules, SCC Standard Contractual Clauses o più semplicemente e dove applicabile il consenso degli interessati. E tutto ciò non è stato impattato dalla fine del Safe Harbor né dalla introduzione del Privacy Shield.
Quali le ricadute del Privacy Shield su aziende e cittadini europei ed italiani?
Il Privacy Shield introduce meccanismi di salvaguardia, che se rispettati, andranno a rafforzare le garanzie sulla circolazione dei dati europei in USA. Il nuovo quadro di regole nasce proprio dall’esigenza di rispettare i requisiti stabiliti dalla Corte europea di giustizia nella sentenza del 6 ottobre 2015 e anche a scongiurare il ripetersi di fenomeni incresciosi come la raccolta di informazioni che riguardano cittadini europei “a strascico” ed indiscriminatamente. Anzitutto, nel dettaglio, vengono introdotti meccanismi di vigilanza. Il vecchio Safe Harbor era abbandonato a se stesso e le Autorità Garanti europee avevano da tempo denunciato le sue deficienze. Gli Stati Uniti hanno inoltre fornito all’UE una garanzia scritta, volta ad introdurre precisi limiti, garanzie e meccanismi di controllo rispetto all’accesso da parte delle forze di polizia e dei servizi di sicurezza ai dati personali, ponendo fine alle pratiche di accesso indiscriminato ad essi. Sarà poi introdotta la figura del mediatore all’interno del Dipartimento di Stato, una sorta di autorità garante che gestirà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la FTC per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti.
Ormai non passa giorno senza che si parli di privacy e delle sue mille correlazioni. Cosa sta succedendo?
Non c’è da stupirsi. La privacy non è più solo un concetto che racchiude il diritto alla riservatezza. Oggi la privacy evoca l’insieme dei diritti e delle libertà fondamentali posti dalle carte costituzionali degli Stati nazionali più avanzati, tra cui spicca quella italiana, senza contare la Carta di Nizza e il Trattato di Lisbona. La privacy poi disciplina in particolare la libera circolazione dei dati personali e la loro tutela. Le varie norme poste da una serie di direttive comunitarie – e presto anche da un regolamento chiamato simpaticamente “GDPR” – oltre che in Italia dal Codice Privacy, recano regole e principi a cui tutti, imprese, cittadini, pubbliche amministrazioni, devono guardare come ad una garanzia e non solo come ad una serie di obblighi a cui adeguarsi per evitare o minimizzare il rischio di sanzioni. La rivoluzione digitale che accompagna e caratterizza i nostri giorni moltiplica al tempo stesso opportunità e rischi legati alla possibilità di raccogliere in tempo reale miliardi di informazioni che ci riguardano. Tale opportunità è ben nota tanto ai malintenzionati, terroristi inclusi, quanto alle forze dell’ordine su scala mondiale. Da ciò deriva la continua dialettica tra privacy e sicurezza. Una contrapposizione frutto di distorsioni ed esagerazioni nel porre l’accento ora più sull’una ora sull’altra. In verità le leggi vigenti sono scritte nel pieno rispetto ed equilibrio di entrambe. Se solo fossero un po’ più note e rispettate…
E’ tuttavia un dato di fatto la contrapposizione tra privacy e sicurezza. In queste ore peraltro stiamo assistendo ad una pericolosa escalation. Prima Apple si scontra con FBI e con un giudice di New York, ora in Brasile viene arrestato un rappresentante di FB. In Italia poi TripAdvisor ha rifiutato assistenza ad un magistrato. Cos’altro dobbiamo aspettarci?
Ciò che sta accadendo non sorprende, è coerente con la confusione informativa e la frammentazione normativa che contraddistingue i nostri tempi. Internet è un immenso tesoro. E’ la quintessenza del sapere, la versione 4.0 della Biblioteca di Alessandria, il sogno fattosi realtà di ogni uomo assetato di conoscenza. Ma al tempo stesso è un grande terreno di scontro tra forze contrapposte. Per noi figli della civiltà giuridica romanistica, che ha generato le regole di civil law su cui si basano i nostri ordinamenti è difficile comprendere le ragioni di un rifiuto opposto da un soggetto privato ad un ordine di autorità basato sull’esercizio legittimo di diritti. Ma è ancora più grave vedere come le grandi aziende vengono lasciate sole a presidiare, nel perseguire i loro legittimi interessi, in molte parti del mondo anche la tutela dei diritti, nella consapevolezza che laddove venga aperta una backdoor di un telefonino, la breccia sarebbe inarrestabile, fino a generare la fine della cybersecurity così come l’abbiamo conosciuta finora. Ed è ancora peggio osservare come tali dinamiche, in taluni casi, portano alla applicazione estrema di leggi che prevedono l’incarcerazione di fronte ad un rifiuto ragionevole e condivisibile in un contesto in cui le garanzie sul trattamento dei dati non sono ancora equiparabili a quelle vigenti ad esempio in Europa. E’ tempo che di queste vicende inizino a farsi carico gli Stati a livello internazionale, superando i vincoli di giurisdizione e le rendite di sovranità. Mi pare che in tal senso e a ragione si sia più volte espresso anche il Presidente Renzi. La rete è sovranazionale ed altrettanto sovranazionali devono essere le regole che disciplinano talune azioni ed i necessari bilanciamenti che devono essere posti in essere di volta in volte. Con l’odioso arresto del top executive di Facebook si può dire che la misura sia ormai colma e se non saranno gli Stati a muoversi, sono certo che lo faranno gli Over the Top, e nel perseguire un loro legittimo interesse, cureranno anche il nostro.
