martedì , 14 agosto 2018
18comix
dati personali
© Ann Wuyts Flickr 2014

Dati personali, la fine del regime safe harbor

Sono ormai passati due anni e mezzo da quando lo scandalo Datagate, ossia, la fuoriuscita di informazioni sui progetti attuati dalla National Security Agency  americana  e la rivelazione dell’esistenza del programma Prism, è emerso dalle rivelazioni di Edward Snowden, suscitando reazioni contrastanti: imbarazzo e malcelato rancore nelle cancellerie europee, sgomento nell’opinione pubblica mondiale. Dopo qualche mese però, una lesione a livello mondiale dei diritti della privacy e della riservatezza ha trovato una sua risposta giuridica, visto che quella politica è  stata alquanto vaga e nebulosa. Vale la pena inoltre aggiungere che questa viene dall’organo a carattere giurisdizionale dell’UE e che quindi esprime, almeno in linea di principio, una visione comune dei giudici degli stati membri.

Facebook e l’approdo (non troppo) sicuro

Il tutto comincia quando uno studente di giurisprudenza austriaco, Maximillian Schrems, sta studiando e ricercando le differenze nei metodi di protezione della privacy a livello dei 28 e degli Stati Uniti. Decide di concentrarsi sul social network Facebook ancora prima che l’affaire Datagate esploda e si accorge che nulla di quanto è inserito sulla piattaforma di Zuckerberg viene cancellato, anche ciò che è stato modificato o eliminato dall’utente. Ma questa è solo la punta di un iceberg che farebbe sembrare poca cosa pure le più elaborate teorie cospirazioniste: i dati raccolti dal social sul suolo europeo vengono trasferiti in Irlanda (il Paese piú fiscal friendly per le societá fuori dallo spazio economico europeo) e poi trasferiti negli Stati Uniti.

Questo per il giovane Schrems è illegale, oltre che moralmente riprovevole, sotto diversi aspetti: in primis, in virtù della direttiva del Consiglio Europeo 46/95, che comunemente è definita come il pilastro della disciplina della protezione dei dati personali: studi  di natura comparatistica hanno dimostrato il rigore di quest’ultima se confrontata con quella d’oltreoceano equivalente per oggetto. In base alla direttiva, l’utilizzo dei dati da parte di società al di fuori dello spazio economico europeo (EEA) devono fornire un  livello adeguato di protezione. A questa clausola di ordine generale ha fatto seguito un accordo tra Stati Uniti e Commissione sfociato poi nella decisione 252/2000 la quale delinea sette modi di condotta che vanno a costituire il principio dell’approdo sicuro (safe harbour principle)  il quale prevede, tra altre cose, il fatto che l’utente/persona fisica sia informato di eventuali raccolte di dati nei suoi confronti e che possa essere in grado di opporvisi in maniera efficace; ancora, che debba essere informato di trasferimenti dei suoi dati verso terzi.

La bocciatura del regime safe harbor 

Il Department of Commerce americano, in virtù di questa decisione della Commissione, ha istituito un registro per il quale, se una società vi compare, è considerata idonea ad offrire un trattamento dei dati personali adeguato: basterà in seguito una semplice autocertificazione della stessa a dimostrare che la sua idoneità al trattamento dei dati  non è  mutata. Il valore della decisione della Commissione è stato nei fatti considerato come una presunzione de iure (cioè che non ammette prova contraria) da parte del Data Protection Commissioner. Del medesimo parere non è stata invece la High Court Irlandese che ha effettuato un rinvio pregiudiziale alla Corte di Lussemburgo. Prima della sentenza, l’Avvocato Generale Bot ha espresso, senza troppi giri di parole, che la decisione della Commissione non può essere considerata valida alla luce della Carta dei diritti e delle libertà fondamentali dell’UE e in particolare del rispetto della vita privata e familiare, e il diritto alla protezione dei dati di carattere personale.

Questa aveva consentito per anni alle agenzie di sicurezza americane di accedere a dati, anche sensibili, all’insaputa degli utenti a cui si riferivano. In più, la scusante della prevenzione del terrorismo internazionale avrebbe potuto essere considerata congruente ai metodi utilizzati  solo se la raccolta dei dati fosse stata effettuata nei soli confronti di cittadini che, in base a indizi gravi e congruenti, potevano risultare essere affiliati ad organizzazioni terroristiche come Al-Qaeda o gruppi  di radicalisti islamici come quelli dell’IS. Quindi, il sistema delineato dalla Commissione è da cassare, essendosi rivelato inefficace a raggiungere il suo principale obiettivo. La sentenza, come consuetudine, ha ripreso le argomentazioni dell’Avvocato Generale segnando dunque una svolta coraggiosa, dopo molto tempo, nell’ambito dei diritti delle persone. Non si possono prevedere ancora con esattezza le conseguenze di questa sentenza in termini di relazioni internazionali, ma si può tranquillamente affermare che per almeno una volta, grazie all’iniziativa di quello che sembrava un Don Chisciotte contro i mulini a vento, la Corte ha ribadito che ci sono dei valori, come quello alla riservatezza, a cui l’Europa non è ancora disposta ad abdicare.

L' Autore - Francesca Gennari

Emiliana, Europeista, Entusiasta. Appartengo alla specie libris famelica, amo viaggiare e nel tempo "libero" frequento il Collegio di merito Bernard Clesio, il secondo anno presso la facoltà di Giurisprudenza di Trento e il terzo presso Université Paris 13 nell'ambito del programma doppia laurea. Sogno una Costituzione per l'Europa e credo che fare parte della Redazione della Rivista Europae sia fondamentale per arrivare a questo traguardo.

Check Also

Big Data: cosa prevede il regolamento del 2016

La principale fonte in materia di dati personali è costituita dal regolamento europeo 2016/679 del …

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *