Protezione Dati Personali: onde sismiche in Atlantico, ipocentro in Lussemburgo (parte prima)
Se ci fosse una formula rovesciata di “molto rumore per nulla” adesso sarebbe il caso di usarla. In queste settimane, infatti, la notizia relativa alla sentenza della Corte di Giustizia dell’UE del 6 ottobre scorso, che invalida la decisione della Commissione UE che riconosce agli USA il regime di Safe Harbor (porto sicuro) è passata quasi inosservata nei media italiani, o non è passata affatto. Del resto, da quando le tecnologie digitali di rete hanno fatto esplodere offerta e accesso all’informazione, paradossalmente l’informazione di massa si è impoverita, propinata come iterazione ossessiva di titoli che troppo spesso rispondono al motto shakespeariano e impongono di arrovellarsi su non-notizie fino al loro e nostro esaurimento fisico. Invece questa è una vera notizia, con importanti ricadute, non solo giuridiche e non solo per gli addetti ai lavori.
L’accordo Safe Harbor è stato siglato nel 2000 tra il Dipartimento del Commercio (DoC) degli USA e la Commissione Europea, per ottemperare a una clausola della Direttiva europea sulla protezione dei dati del 1995, secondo la quale il trasferimento di dati personali verso un paese terzo può avvenire solo se questo garantisce un “adeguato” livello di protezione. Poiché, secondo le stesse parole del DoC, USA ed Europa hanno due diversi approcci alla privacy, l’accordo serve a lanciare un ponte tra i due e a snellire le relazioni commerciali delle imprese americane che operano in Europa e trasferiscono dati negli USA. Solo organizzazioni americane soggette alla giurisdizione della Federal Trade Commission (FTC) possono partecipare al Safe Harbor. Ne sono pertanto escluse, per esempio, banche, società di investimento, imprese di telecomunicazioni, organizzazioni non-profit. L’adesione delle imprese al programma Safe Harbor (per la modica cifra di 200 $ alla registrazione, 100$ al rinnovo) è volontaria e richiede l’autocertificazione del rispetto di 7 principi di privacy, a garanzia, ad esempio, della scelta dell’individuo di autorizzare (opt in) o non autorizzare (opt out) la divulgazione dei propri dati personali per scopi diversi da quelli per i quali essi sono stati originariamente raccolti, e dell’impegno dell’organizzazione a prendere le ragionevoli precauzioni per proteggere i dati personali contro la loro perdita, uso improprio, accesso non autorizzato, rivelazione, alterazione e distruzione. L’adesione al programma Safe Harbor dà numerosi vantaggi alle imprese americane, ad esempio il riconoscimento di adeguatezza da parte della Commissione Europea vale in tutti e 28 gli Stati membri UE, ed eventuali dispute sollevate da cittadini europei contro organizzazioni statunitensi vengono giudicate negli USA. Nonostante l’insieme di procedura e principi, incluso quello di enforcement, sia piuttosto facile e generico, delle circa 3000 imprese che nel 2010 avevano volontariamente sottoscritto il programma solo 350 ne avevano rispettato i principi, e 200 lo avevano falsamente sottoscritto. Pertanto la FTC nel corso degli ultimi anni ha denunciato diversi casi, tra gli altri Google, Facebook e MySpace, e ordinato correzioni per il rispetto dell’accordo con la UE. Le rivelazioni di Snowden sulle pratiche di spionaggio di cittadini europei – inclusi capi di governo - da parte di NSA (PRISM), anche mediante l’acquisizione di dati personali direttamente da imprese come Facebook e Google, hanno indotto la Commissione nel 2013 a chiedere una revisione dell’accordo Safe Harbor. Con le parole dell’allora commissaria alla giustizia Viviane Reding “the Safe Harbor agreement may not be so safe”. Intanto, dal gennaio 2014 sono partiti gli oscuri negoziati TTIP, che includono nell’agenda delle spinose trattative commerciali anche il “flusso di dati” tra UE e USA.
Come abbiamo già scritto in altri articoli, il problema dell’asimmetria nel controllo dei dati personali tra i titolari degli stessi e le imprese che li raccolgono e traggono un reddito dalla loro aggregazione e cessione a terzi che li impiegano per scopi diversi da quelli per cui sono stati originariamente rilasciati, è un problema molto serio, del quale però c’è ancora scarsa consapevolezza. Specialmente tra coloro che utilizzano intensivamente i social network, come Facebook, l’uso dei dati della propria identità digitale da parte di chi opera di là dello schermo non sempre è percepito come un danno, ed eventualmente esso è ritenuto più che compensato dal beneficio che deriva dall’esibizione di sé o dall’impicciarsi degli altri. Ricordiamo che a gennaio 2015 gli iscritti a Facebook erano 1,4 miliardi, ma pare che vengano tracciati anche i non iscritti che accedono a siti con link a Facebook. Una bonanza per le agenzie di intelligence che praticano la sorveglianza se la difesa dei dati personali non è garantita adeguatamente dalle imprese che li raccolgono o viene subordinata ad altri interessi, quali la sicurezza nazionale del loro paese.
(Continua).
* Patrizia Fariselli è docente di Economia dell'innovazione presso l'Università di Bologna
di Paolo Pombeni