Dati in USA non sicuri: caso Facebook, conseguenze?


Problematiche e nuovi scenari possibili per i servizi ICT e Cloud made in USA
Dati in USA non sicuri: caso Facebook, conseguenze?
E’ di settimana scorsa una clamorosa pronuncia della Corte di Giustizia UE in materia di trasferimento all’estero dei dati personali di cittadini comunitari verso un paese extra UE, gli Stati Uniti per l’appunto.

Tale sentenza per chiarezza non è contro Facebook e tanto meno invalida Safe Harbor.
L’articolo non è breve, lo premetto, ma prima di comprendere meglio la Sentenza UE, la sua portata e le conseguenze è opportuno incominciare dall’inizio di tale vicenda, facendo anche una doverosa premessa, poiché lo scenario è più complesso di quanto possa apparire a prima vista agli occhi di tutti noi.

Safe Harbor e lo scandalo Datagate
Cos'è Safe Harbour? Uno schema elaborato dal Dipartimento del Commercio USA che stabilisce una serie di principi in materia di protezione dei dati personali rivolto alla UE, poiché per il diritto comunitario il trasferimento extra UE di dati personali può essere effettuato solo verso paesi che possano offrire un livello adeguato in termini di garanzie di tutela alla riservatezza. A tale schema può aderire su base volontaria una qualsiasi organizzazione privata USA, tra le quali anche Facebook.

Nel 2000 la Commissione UE legittima i trasferimenti dei dati personali di cittadini europei verso gli USA (Decisione 2000/520) considerandoli per l’appunto un paese destinatario affidabile e quindi un così detto "porto o approdo sicuro" stabilendo che Safe Harbor potesse essere garanzia idonea per la tutela della riservatezza delle informazioni personali dei propri cittadini.

Mai scandalo globale fu così tanto atteso, Datagate, da dubbio a certezza. Ai primi di giugno del 2013 Edward Snowden, ex analista della CIA, svela al mondo intero tramite la pubblicazione di alcuni documenti top secret un programma di intercettazioni e di sorveglianza di massa della NSA (Agenzia USA per la Sicurezza Nazionale) nei confronti dei cittadini statunitensi e stranieri, soprattutto europei, a partire dal lontano 2001. In quel momento l’intero mondo raggiunse la consapevolezza che chiunque potesse essere stato "spiato" e la sua privacy potenzialmente e spesso di fatto violata.

Il caso: Schrems vs Facebook
A seguito di tale scandalo un cittadino austriaco, Maximilian Schrems, utente di Facebook da diversi anni, come moltissimi altri, comprende che i propri dati personali archiviati e trattati dal Social in questione potrebbero essere non sicuri e adeguatamente tutelati in termini di protezione e riservatezza. Il data center europeo di Facebook è ubicato in Irlanda, paese UE, ma l’intero archivio viene trasferito e successivamente trattato presso i data center USA. Per questa ragione, Schrems si rivolge all’Autorità Garante Privacy Irlandese depositando una denuncia proprio contro tale trasferimento di dati personali dall’Europa verso gli USA, poiché soprattutto alla luce dello scandalo Datagate, le norme di questo paese non potevano essere più considerate adeguate alla tutela e riservatezza dei dati personali in quanto tali principi sarebbero stati sistematicamente violati a seguito di esigenze di sicurezza nazionale di quello stesso paese.

La Privacy Autority Irlandese ritiene priva di ogni fondamento la tesi sostenuta da Schrems e respinge tale denuncia considerando gli USA un così detto "porto o approdo sicuro", quale paese destinatario di tale trasferimento di dati personali basandosi proprio su Safe Harbor e relativo pronunciamento della Commissione UE.

Schrems senza perdersi d’animo si rivolge all’Alta Corte di Giustizia Irlandese, ma attenzione, non per far valere le proprie ragioni, ma ponendo una questione ben precisa in materia di competenze, e cioè a quale soggetto spettasse la trattazione della sua denuncia. La Corte Irlandese a sua volta chiede alla Corte di Giustizia UE di pronunciarsi in merito alla Decisione del 2000 della Commissione Europea, se questa di fatto impedisca ad una autorità nazionale di accogliere una denuncia nei confronti di un paese terzo ed extra UE, verificare se il proprio livello di protezione e riservatezza dei dati personali sia o meno adeguato agli standard europei, e in caso contrario di invalidare e quindi sospendere tale trasferimento.

La sentenza UE e Safe Harbor
Colpo di scena. Settimana scorsa la Corte di Giustizia Europea stabilisce che una così detta Decisione della Commissione UE che considera adeguati gli standard di sicurezza fissati in Safe Harbor di fatto non può limitare e compromettere l’autonomia delle diverse Autorità di controllo nazionali, le quali potranno quindi valutare ed esprimersi anche in materia di trasferimento dei dati personali verso un paese extra UE, stabilendo se tale destinatario possa essere considerato sicuro e rispetti o meno i principi e gli obblighi previsti dal Diritto Privacy Europeo (Direttiva 95/46).

Ma la Corte UE si spinge oltre, poiché nella sua sentenza distingue i soggetti per i quali Safe Harbor è applicabile, le organizzazioni di business private da una parte che aderiscono, e i soggetti per i quali non trova nessuna applicazione, nello specifico le autorità governative di tipo pubblico dall’altra parte. E di fatto così è accaduto, ma soprattutto cosa potrà ancora accadere? Se tali accordi non subiranno una profonda mutazione a favore di una reale tutela e protezione della riservatezza delle informazioni personali, all’occorrenza e per finalità di difesa dell’interesse pubblico e sicurezza nazionale, le autorità USA saranno ancora "legittimate" a chiedere anche a quelle organizzazioni private che aderiscono a Safe Harbor di accedere a tali informazioni violando le norme privacy europee. La Commissione UE attraverso la sua decisione considera adeguato il così detto "porto o approdo sicuro", ma senza limitare tali poteri di ingerenza da parte degli enti governativi USA e senza fornire strumenti adeguati ai propri cittadini per esercitare i propri diritti difensivi in materia privacy.

La portata della sentenza della Corte UE non si esaurisce qui, ma va ben oltre, stabilendo infine che la Commissione Europea non poteva prevaricare le Autorità nazionali in tale ambito privandole della loro autonomia sia nello stabilire sicuro e adeguato o meno tale trasferimento di dati personali e nel farsi soprattutto garanti non che interlocutori nei confronti dei propri cittadini a seguito di loro segnalazioni in termini di privacy violata.

Quali gli impatti e le conseguenze di questa storica sentenza UE?
Per Schrems una prima vittoria, la sua denuncia a seguito di una pronuncia dell’Alta Corte Irlandese dovrà essere gestita dall’Autorità Garante Privacy Irlandese. Per Facebook non resterà che difendersi e attendere la decisione di tale autorità di controllo. Ma per l’Europa qual è la portata della decisione della Corte di Giustizia UE? Epocale a dir poco.

Di fatto Safe Harbor al momento non è stata invalidata, è la Decisione della Commissione UE che viene privata di ogni effetto giuridico. Ogni Autorità nazionale potrà esprimersi quindi in maniera autonoma e indipendente se gli USA potranno essere considerati un paese sicuro o meno verso il quale trasferire i dati nel rispetto delle norme di riferimento comunitarie, e ogni cittadino europeo potrà di fatto rivolgersi alla propria autorità nazionale o a quella dove ubicata la sede del trattamento per esercitare i propri diritti (Schrems austriaco si rivolge all’autorità irlandese perché in quel paese è ubicato il data center di Facebook).

E fino a qui può sembrare che giustizia sia finalmente fatta, ma tale sentenza potrà aprire nuovi scenari e creare non poche problematiche che fino a settimana scorsa erano quasi del tutto non ipotizzabili.

Safe Harbor validato dalla Commissione UE ha di fatto reso legittimo il trasferimento dal 2000 a settimana scorsa di una quantità non determinabile, ma sicuramente impressionante in termini numerici ed economici, di informazioni personali di cittadini comunitari versi gli Stati Uniti a favore dei così detti Big Player del web, dei social network, dei fornitori di servizi ICT e Cloud. Tali operatori conservano presso i propri data center tutti questi dati personali.

Ma non solo. Pensate anche alle organizzazioni di business europee che per ragioni diverse anche di tipo economico si avvalgono dei servizi più svariati in ambito ICT e Cloud di fornitori statunitensi. La loro conformità normativa in tale ambito è compromessa? Ognuna di loro dovrà rivolgersi alla propria autorità di controllo nazionale? E in caso contrario dovrà rivedere tutti gli accordi contrattuali sottoscritti e se mai avrà un rapporto contrattuale forte arrivare a nuovi accordi?

Pensate anche al contrario, una multinazionale USA che opera in Unione Europea con più sedi in paesi differenti sarà mai costretta a tante verifiche con Autorità nazionali quanti sono i paesi dove sono ubicate le proprie sedi?

Ovviamente nessuno vorrebbe questo, compresa la stessa Unione Europea poiché soprattutto dopo la scandalo Datagate non poteva più considerare sicuro tali trasferimenti di dati verso gli Stati Uniti. La Commissione UE stava già lavorando in tale direzione tanto più che lo stesso vice presidente, l’estone Andrus Andrip, dichiara proprio in questi giorni "Stiamo preparando un altro accordo con gli americani", un nuovo Safe Harbor che dovrà garantire maggiormente la protezione dei dati personali dei propri cittadini.

Nel frattempo cosa fare?
Qualche strumento alternativo a Safe Harbor è disponibile. Le imprese che trasferiscono dati personali verso gli Stati Uniti e/o che si avvalgono di servizi ICT, Web e Cloud made in USA, possono ricorrere alle così dette BCR (Binding Corporate Rules) cioè strumenti che dovrebbero garantire trattamenti di dati personali extra UE nel rispetto della normativa europea proposti da alcune multinazionali e validate dalla stessa Commissione UE (è disponibile un elenco delle rispettive compagnie). In alternativa si potrebbe ricorrere alle così dette Model Contract Clauses, clausole contrattuali tipo previste per i paesi extra UE destinatari di tali trasferimenti, i quali in forza del contratto sottoscritto si impegnano a garantire che tali dati saranno custoditi e trattati rispettando i principi e le regole delle norme UE in materia di protezione dei dati personali.
In questo nuovo scenario di transizione, forse l’unica soluzione adeguata potrebbe essere quella di ricorrere a servizi sulla rete forniti da player che si avvalgono solo di data center ubicati in territorio comunitario e che ridondano all’interno della stessa Unione Europea, ma anche questa strada non è sempre e facilmente percorribile.

E’ recente la notizia dell’introduzione in Russia della prima normativa privacy che da questo punto di vista prevede l’obbligatorietà dell’ubicazione dei data center e relative ridondanze solo all’interno del proprio territorio. Le finalità esplicite e implicite di tale obbligo potranno anche essere le più svariate e tale scelta potrà sembrare anche anacronistica e una limitazione alla libera circolazione delle informazioni, ma di fatto si evita tale problema a monte.

E’ difficile fare previsioni e immaginare cosa accadrà, nel frattempo le grandi imprese si stanno già attivando per cercare di tamponare tale nuova problematica con gli strumenti alternativi disponibili e nel frattempo non ci resta che attendere l’arrivo a breve di nuove disposizioni, anche se probabilmente di tipo transitorio, che consentano di gestire in maniera chiara e adeguata tale trasferimento di dati verso paesi extra UE.

Questa sentenza della Corte Europea di fatto non invalida Safe Harbor, ma di sicuro stimolerà una maggiore attenzione da parte dell’Unione Europea nell’andare a disciplinare giuridicamente il trasferimento e relativo trattamento verso paesi extra UE delle informazioni personali dei propri cittadini. Questo nuovo scenario contribuirà a dare una forte spinta all’approvazione definitiva del nuovo Regolamento Europeo Privacy? Chissà, non ci resta che attendere.

Articolo del:


di Francesco Traficante

L'autore dell'articolo non è nella tua città?

Cerca un professionista con le stesse caratteristiche a te più vicino.

Cerca nella tua città o in una città di tuo interesse