Scudo europeo sulla privacy: i dettagli

Il testo integrale del Privacy Shield mostra in dettaglio i meccanismi che dovrebbero restringere il raggio d'azione della condivisione dei dati.
Scudo europeo sulla privacy: i dettagli
Il testo integrale del Privacy Shield mostra in dettaglio i meccanismi che dovrebbero restringere il raggio d'azione della condivisione dei dati.

Gli Stati Uniti e l’Unione Europea hanno rilasciato dopo un mese il testo integrale del loro accordo sul trasferimento dei dati: specifiche e regole per le società tecnologiche americane e le agenzie di intelligence caratterizzano il Privacy Shield, che si basa su maggiori restrizioni e garanzie. Che sia un buon accordo oppure una svendita agli americani è ancora da capire, ma ora è tutto nero su bianco.

I funzionari americani ed europei hanno concordato lo “scudo” dopo che la Corte di giustizia europea ha in pratica sepolto il Safe Harbour lo scorso ottobre, un modello di accordo senza particolari sanzioni né garanzie vecchio di 15 anni, invalidato tra le preoccupazioni per la sorveglianza di massa negli Stati Uniti e soprattutto il caso dello studente austriaco Max Schrems, che ha denunciato l’impossibilità concreta del vecchio continente di dare assicurazioni sul trattamento dei dati prodotti dall’uso locale di un social network coi server all’estero. Poter leggere l’intero corpus delle regole consente di capire cosa gli Stati membri dell’UE saranno tenuti a ratificare. Sempre considerando che le autorità di regolamentazione devono ancora approvarle e alcuni movimenti e gruppi di opinione sono sul piede di guerra.

L’accordo

Il testo dell’accordo (pdf) è decisamente lungo e complesso, avendo un obiettivo che fino ad oggi resta solo sulla carta delle buone intenzioni, cioè garantire che i dati personali dei cittadini siano pienamente protetti e che siano adeguati alle opportunità offerte dall’era digitale in un quadro dove sono previsti una sorveglianza interna e terza, sistemi di ricorso più semplici per i cittadini e, per la prima volta, una garanzia scritta dei partner statunitensi.

I regolamenti e meccanismi di controllo per le società partecipanti servono a implementare una politica sulla privacy più conforme al contratto standard europeo e non americano. Le aziende si troveranno ad affrontare restrizioni più severe sulla condivisione dei dati con terzi. Gli utenti europei, secondo la visione ottimistica del commissario Vera Jourova, vedranno ampliate le possibilità di adire le vie legali qualora ritenessero usurpati i loro diritti, mentre le organizzazioni sarebbero soggette a certificazioni annuali di conformità. I funzionari europei e americani dovrebbero inoltre incontrarsi una volta l’anno per rivedere l’applicazione della convenzione, con il primo incontro previsto nel giugno 2017.

Come funziona lo shield

Il Privacy Shield si può riassumere focalizzandosi sui diritti individuali e gli obblighi per le aziende partecipanti, i due lati della nuova iniziativa.

Diritti individuali. L’accordo prevede che chiunque possa presentare un reclamo diretto a un’azienda, che dovrà rispondere entro 45 giorni. Quando invece viene presentata una denuncia presso l’autorità garante della protezione dati l’azienda deve rispondere al garante entro 90 giorni. A questo sistema partecipa anche la Federal Trade Commission, soprattutto per l’assistenza investigativa.

Obblighi di trasparenza e protezione effettiva. Il Privacy Shield prevede, al contrario del Safe Harbour, un passaggio ulteriore dopo la dichiarazione di impegno. L’azienda partecipante deve informare le persone dei loro diritti di accedere ai propri dati personali, ha l’obbligo di divulgare le informazioni personali in risposta alla richiesta legittima da parte delle autorità pubbliche, ma su di lei pesa anche la responsabilità in caso di trasferimento dei dati a terzi, sui quali agisce come controller. Il partecipante all’accordo deve mantenere l’integrità dei dati e limitarne il trattamento per le informazioni rilevanti.

L’accordo entra molto in profondità sulla pertinenza e gli incroci di responsabilità tra autorità garanti, enti americani, enti certificatori e terzi, mentre le intelligence degli Stati Uniti hanno stabilito per iscritto alla Commissione europea i molteplici strati costituzionali e le garanzie politiche che si applicano alle loro operazioni, con la supervisione fornita dai tre i rami del governo degli Stati Uniti.

I commenti

I commenti sul Privacy Shield sono abbastanza timidi e perplessi. Si nota lo sforzo di recuperare la fiducia persa in questi anni, dove è emersa la posizione supina del governo europeo rispetto alle web company, visto che la causa di Schrems ha dimostrato retroattivamente che per molti anni è stata sottratta ai cittadini europei la possibilità concreta di tutelare i propri diritti contro queste aziende, col silenzio interessato delle istituzioni di entrambi i lati dell’atlantico. Questa mentalità, che purtroppo considera la riservatezza una eccezione agli interessi commerciali nazionali, non viene minimamente intaccata, considerando che l’unica novità rispetto al passato è il peso che si intende dare alla FTC americana.

E questo solo per dire dell’aspetto commerciale dello scudo, che è arrivato giusto in tempo per evitare l’ingresso in scena delle autorità garanti nazionali e del gruppo Articolo 29. Poi c’è il tema della sorveglianza, dove è arduo garantire qualcosa a qualcuno. Per due ragioni, una culturale, l’altra tecnica. Culturalmente, in Europa il consenso è dovuto per la raccolta dei dati, mentre negli states la responsabilità etica deriva dal successivo trattamento. La questione tecnica è nascosta nei gangli dell’accordo, dove si trovano più punti dove le definizioni generiche degli obblighi di trasparenza sono porte aperte ad ogni tipo di trattamento da parte delle autorità americane, come la NSA.

Domande e risposte

Safe Harbour e Privacy Shield sono la stessa cosa?

No, non lo sono. L’ultimo accordo prevede un percorso standardizzato per i reclami dei cittadini, un enforcement sulle garanzie, tempi certi di risposta.

I dati degli europei non saranno più trattati dalla NSA?

Questo è impossibile sostenerlo. Prima di tutto perché le intelligence dispongono di tecniche che sorvolano la semplice cattura di dati di un social network; inoltre, lo scudo contiene dei riferimenti espliciti alle ragioni di sicurezza nazionale.

L’adesione alla scudo è obbligatoria?

No, funziona come una certificazione. Tuttavia è fortemente incoraggiata, anche perché la stessa camera di commercio americana è spinta a proporla per monitorare la qualità delle policy. L’elenco sarà aggiornato di anno in anno e sono previste anche delle espulsioni.

Che relazione c’è tra il Privacy Shield e il datagate?

Il presidente Barack Obama è già intervenuto due volte con una propria direttiva. Nel 2014 ha emanato il PPD-28, che impone limitazioni per le operazioni di intelligence a sei motivi di sicurezza nazionale (antispionaggio, terrorismo, armi di distruzione di massa, minacce alle forze armate, o criminali transnazionali). Dal 2015, il Freedom Act limita anche la raccolta di massa di dati, lasciate agli operatori telefonici, e consente alle aziende di emettere relazioni di trasparenza sul numero approssimativo di richieste di accesso del governo. Il prossimo passo è la revisione della sezione 702 del FISA relativo alla sorveglianza estera, prevista nel 2017. Intanto Obama ha promesso una corsia preferenziale per i cittadini “dei paesi alleati”. Tutto questo non ha a che vedere con lo scudo, ma è la premessa per la sua credibilità.

Ti consigliamo anche

Link copiato negli appunti