Sostituto l’accordo Safe harbor con lo EU-Usa privacy shield
Le rivelazioni di Edgard Snowden ed altre informazioni, che sono apparse sui giornali, hanno compromesso in modo definitivo la credibilità dell’accordo Safe harbor, che per anni e anni ha governato il trasferimento di dati personali dall’Europa negli Stati Uniti. Questa sentenza della corte europea ha obbligato la commissione europea a rielaborare rapidamente, di concerto con gli uffici federali americani, il precedente accordo, giungendo al nuovo accordo, chiamato EU- USA privacy shield.
La direttiva sul trattamento dei dati personali dispone che il trasferimento di questi dati verso un paese terzo possa avere luogo solo se il paese terzo garantisce un livello di protezione soddisfacente ed equivalente a quello garantito in Europa. Sulla base di queste considerazioni anni fa venne stipulato un accordo fra gli Stati Uniti e l’Europa, chiamato safe harbor. Le aziende che rispettavano questo accordo potevano ricevere dati personali provenienti dall’Europa. Molte aziende americane hanno utilizzato questo accordo, ad esempio Facebook, Google ed altri, perché erano assai di più i dati che dall’Europa venivano trasferiti negli Stati Uniti, che non i dati che si spostavano in direzione contraria.
Un cittadino austriaco, che aveva letto sui giornali le rivelazioni di Edgard Snowden, in merito alle attività di intercettazione della NSA national security agency, si è rivolto al garante irlandese per fargli dichiarare che il diritto e la prassi statunitensi non offrivano una sufficiente garanzia in tema di protezione di dati personali, che venivano trasferiti dall’Europa negli Stati Uniti.
L’autorità garante irlandese ha respinto la denuncia ed ecco il motivo per cui l’alta corte di giustizia irlandese, investita della causa, si è rivolta alla corte di giustizia dell’unione europea, per avere un parere su questa situazione alquanto controversa.
La commissione europea riteneva che, grazie all’accordo Safe harbor, i dati personali di cittadini europei fossero sufficientemente protetti, mentre l’alta corte irlandese aveva molti dubbi in merito.
Una prima pronuncia di questa sentenza, oltremodo interessante, riguarda il fatto che, anche se esiste una decisione della commissione europea che autorizza il trasferimento di dati personali verso paesi terzi, non è detto che tale decisione sia assoluta. Essa può infatti essere sottoposta all’esame della corte di giustizia dell’unione europea, che può anche esprimere un parere negativo.
È questo un principio importante perché ricordo ai lettori che oggi la commissione europea ha compilato un elenco abbastanza lungo di paesi verso i quali è possibile trasferire liberamente i dati personali, perché in tali paesi esiste una legislazione che la commissione ha ritenuto soddisfacente. Appare evidente che se la corte di giustizia dell’unione europea non condivide questa decisione, la valutazione definitiva è quella della corte e non quella della commissione.
In ultima analisi, spetta alla corte il compito di decidere se una decisione della commissione è valida o no.
A questo punto la corte ha cominciato a studiare attentamente l’accordo Safe harbor ed ha rilevato alcuni aspetti veramente preoccupanti.
Ad esempio, la corte ha rilevato che quell’accordo era applicabile alle imprese americane che lo sottoscrivevano liberamente e che invece le autorità pubbliche degli Stati Uniti non erano inquadrate in quell’accordo. Questa è la ragione per la quale la national security agency, come autorità pubblica, non era obbligata a rispettare l’accordo Safe harbor.
La corte ha continuato, rilevando che le regole in vigore negli Stati Uniti fanno sì che il diritto alla sicurezza nazionale ed il pubblico interesse superano ampiamente qualsiasi altra disposizione limitativa, come appunto quella presente nell’accordo Safe harbor.
Un’altra considerazione avanzata dalla corte riguarda ad esempio il fatto che mentre nel diritto europeo è presente un vincolo generalizzato sulla conservazione dei dati personali, negli Stati Uniti non esiste alcuna indicazione del genere e quindi i dati potrebbero essere conservati per un tempo illimitato, violando un diritto fondamentale della vita privata di un cittadino.
Infine, per coronare l’analisi acribica dell’accordo Safe harbor, la corte ha osservato che la normativa vigente non prevedeva alcuna facoltà, per il singolo interessato al trattamento, di accedere ai dati personali che lo riguardavano, onde ottenerne la verifica, la rettifica o la cancellazione.
È questa una violazione dello Stato di diritto che è stata ritenuta del tutto inaccettabile da parte della corte.
Subito dopo la pubblicazione di questa sentenza, è apparso evidente che l’accordo Safe harbor non poteva continuare a rimanere in vigore e questa è la ragione per la quale è stata accelerata al massimo la messa a punto del nuovo accordo, disponibile in banca dati.
Adalberto Biasiotti
Guida europea allo scudo UE-USA per la privacy
Vai alla BANCA DATI SULLA PROTEZIONE DEI DATI PERSONALI
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.