Un giudice europeo rischia di stravolgere i piani di Facebook&co
Roma. Per il momento è solo un’opinione non vincolante, ma è pesante, quella espressa qualche giorno fa dall’avvocato generale della Corte di giustizia europea, secondo la quale i trasferimenti di dati personali dall’Europa ai server di Facebook negli Stati Uniti sarebbero da dichiarare in contrasto con il diritto europeo, e quindi vietati, o almeno vietabili da parte delle autorità per la privacy nazionali. Il caso è originato dai reclami di un attivista austriaco, il giovane studente Max Schrems, che aveva chiesto al watchdog della privacy irlandese, paese in cui Facebook ha il suo stabilimento principale nell’Ue, di impedire il trasferimento verso gli Stati Uniti dei dati personali degli utenti europei, dal momento che lo scandalo Prism aveva messo in discussione l’adeguatezza delle garanzie offerte dall’ordinamento americano alla privacy degli europei. Finora i trasferimenti di dati personali in America – essenziali per le major del web – hanno avuto luogo sulla base di un programma di “libero scambio di dati” approvato dalla Commissione Ue e negoziato con il dipartimento del Commercio, chiamato “Safe Harbor”. In buona sostanza, le società americane che volontariamente aderivano al programma Safe Harbor, impegnandosi a rispettarne il protocollo, acquisivano uno status privilegiato e potevano ricevere i dati personali dall’Europa senza troppe complicazioni. Si tratta di oltre 4.400 società, tra cui figurano pezzi grossi quali Google, Microsoft, Yahoo, Twitter. Schrems ha contestato la decisione con la quale l’autorità irlandese ha declinato la propria competenza a decidere sulla sua richiesta, essendo i trasferimenti di dati extra Ue un affare regolato da una decisione della Commissione. Schrems è così riuscito a portare la materia all’attenzione della massima istanza giurisdizionale comunitaria.
Dunque il colpo di scena. L’avvocato generale presso la Corte di giustizia ha messo nero su bianco che lo scandalo della sorveglianza di massa ha sostanzialmente mutato le condizioni fattuali e legali sulle quali si reggevano le argomentazioni pro Safe Harbor della Commissione europea, e che pertanto l’adesione delle società americane allo schema non può essere considerata una garanzia sufficiente per i cittadini europei. Con la ulteriore conseguenza che le autorità privacy degli stati membri, tra cui il nostro Garante, dovrebbero sempre poter esercitare il proprio apprezzamento sulla sufficienza di tali garanzie, anche in presenza di una decisione della Commissione, e se del caso utilizzare i propri poteri (cioè sospendere i trasferimenti di dati ritenuti illeciti) per proteggere la privacy dei cittadini che a esse si rivolgono.
[**Video_box_2**]Qualora i giudici della Corte seguissero il consiglio del proprio avvocato generale le conseguenze si estenderebbero all’intero ecosistema dell’Information technology (It) statunitense. A quel punto, le società che finora hanno goduto della semplificazione garantita dal programma Safe Harbor dovrebbero cercare nel diritto europeo una diversa base di legittimità per portare i dati personali in America, e ciò vuol dire che dovrebbero iniziare, tutte, o un iter autorizzativo di fronte alle autorità privacy degli stati europei per ottenere l’approvazione delle cosiddette Binding corporate rules, ovvero contrattualizzare le relazioni privacy con le proprie controllate europee utilizzando un set di clausole contrattuali standard predisposto dalla Commissione Ue. Nell’uno e nell’altro caso, si aprirebbero a uno scrutinio più penetrante da parte dei regolatori della privacy europei. Come terza opzione, le big del web avrebbero quella di cambiare la propria architettura It, costruendo data center in Europa e facendo in modo che i dati degli europei siano processati soltanto su territorio europeo, evitando in questo modo il trasferimento transoceanico.
Non sarebbe un pranzo di gala, insomma. Ma costerebbe altrettanto.