Safe Harbor 2.0, l’accordo è arrivato. Ecco cosa cambia

Commissione europea e Stati membri hanno trovato l’intesa con gli Usa. Il nuovo quadro regolatorio si chiama Eu-Us Privacy Shield e impedirà l’accesso generalizzato ai dati dei cittadini europei da parte delle Autorità pubbliche e dell’intelligence degli Stati Uniti. Le novità rispetto al precedente accordo. La Corte di Giustizia lo approverà?

Alle 17.10 di martedi 2 febbraio è arrivato il tweet che tutti aspettavano a firma di Andrus Ansip, il Commissario europeo per il digital single market “We agreed with US partners on a new framework with strong protections in place: EU-US #privacyshield.

L’intesa tra Ue e Usa sul nuovo Safe Harbor è stata dunque trovata dopo che nei giorni scorsi si profilava la possibilità di attendere un annuncio solo nel fine settimana. Il nuovo Privacy Shield – concordato da Commissione e Stati membri – è invece stato partorito e dalle notizie che giungono da Bruxelles il documento riflette i requisiti stabiliti dalla Corte di giustizia e darà ai cittadini europei garanzie adeguate nel momento in cui i loro dati verranno trasferiti oltreoceano, garantendo alle imprese la certezza del diritto.

"Gli europei – assicura Ansip - possono stare certi che i loro dati personali saranno completamente protetti mentre le nostre imprese, in particolare le più piccole, avranno una cornice giuridica certa per sviluppare le loro attività oltre l’Atlantico. Seguiremo da vicino l’attuazione dell’accordo”. Per Ansip il nuovo Safe Harbor “aiuterà a costruire un mercato unico digitale in Europa e un ambiente online affidabile e dinamico e rafforzerà la nostra collaborazione con gli Stati Uniti. Lavoreremo per metterlo in atto il più presto possibile”.

Il punto principale è probabilmente il seguente: sarà impedito l’accesso generalizzato ai dati da parte della Autorità pubbliche e dell’intelligence degli Stati Uniti, con la sottoscrizione, da parte di questi ultimi, di precisi impegni sulle condizioni, i limiti e la supervisione degli accessi. L’istituzione della figura di un “Difensore Civico” tutelerà maggiormente i cittadini europei nell’ipotesi di presentare richiesta o reclamo sul possibile accesso ai propri dati da parte delle autorità nazionali di intelligence,

Molti dubbi (che ripercorriamo nel seguito di questo articolo) sono stati quindi risolti – almeno sulla carta – e le basi per una cooperazione “win win” fra le parti sembrano essere state posate.

Le aziende americane direttamente interessate alla questione, e cioè tutte quelle che desiderano importare i dati personali dall’Europa nei loro data center oltreocenao (Facebook e le altre grandi Web company in testa), dovranno impegnarsi a rispettare solidi obblighi sul trattamento dei dati personali e garantire i diritti individuali. Il Dipartimento del Commercio Usa controllerà che le aziende rendano pubblici i loro impegni, così da renderli applicabili nella giurisdizione degli Stati Uniti.

Le autorità americane, per la prima volta, hanno dato garanzie scritte alla Ue sul fatto che l’accesso ai dati da parte degli organismi governativi, delle forze dell’ordine e della sicurezza nazionale sarà soggetto a chiare limitazioni, garanzie e meccanismi di controllo.

Nel quadro del nuovo accordo, gli Stati Uniti si sono quindi impegnati a escludere la sorveglianza indiscriminata di massa dei dati personali trasferiti sul loro territorio. Su questo punto, il più importante in assoluto del Privacy Shield, vigileranno la Commissione europea e il Dipartimento del Commercio statunitense su base annuale.

Dal lato dei singoli utenti, ogni cittadino avrà diverse possibilità di ricorso per contestare i possibili casi di uso improprio dei propri dati e le aziende interessate saranno obbligate a rispettare scadenze precise per rispondere alle richieste. Le Autorità europee per la Privacy possono comunicare le denunce al Dipartimento del Commercio americano e alla Federal Trade Commission.

Definito il nuovo accordo, ora servono le misure necessarie per metterlo in atto, che saranno preparate nelle prossime settimane dai vertici della Commissione Ue per poi essere adottate dal Collegio dei Commissari previo parere del Gruppo articolo 29 e previa consultazione di un comitato composto da rappresentanti degli Stati membri. Dall’altra parte dell’oceano si farà lo stesso.

I timori per il mancato accordo e il passo in avanti necessario degli Usa

“Serve un nuovo Safe Harbor per evitare danni economici”. Parlava così il presidente di Anitec (l’Associazione confindustriale dell’Ict e dell’elettronica di consumo), Cristiano Radaelli, nei giorni seguenti la risoluzione approvata dal Parlamento Europeo (era il 19 gennaio) sul tema del Digital Single Market.

Come altri addetti ai lavori, auspicava il raggiungimento di un accordo fra Stati Uniti ed Unione Europea sulla questione della “data protection”, allineandosi alle speranze di altri soggetti rappresentativi dell’industria tecnologica, vedi i consorzi Digital Europe e Business Europe, l’Information Technology Industry Council e l’American Chamber of Commerce.

Dopo il pronunciamento dello scorso ottobre della Corte di Giustizia europea, che ha invalidato gli accordi contenuti nella stesura originale del Safe Harbor, ritenendo gli Usa non in grado di fornire adeguate garanzie a tutela dei dati dei cittadini europei trasferiti oltreoceano nei server delle web company a stelle e strisce, c’era grande attesa per vagliare i termini del nuovo accordo transatlantico. Radaelli riteneva fondamentale definirlo entro la scadenza prevista del 31 gennaio perché “l’incertezza si sta traducendo in un danno economico rilevante”.

Il rischio del blocco dei flussi di dati c’era ma ai più è sempre sembrato un rischio solo teorico, convinti del fatto che il Gruppo dei 29 Paesi membri sarebbe arrivato a concordare una linea d’azione coordinata. I portavoce della Commissione Ue, pur ammettendo le difficoltà dei negoziati, si erano detti in ogni caso ottimisti e fiduciosi circa il fatto che un'intesa fosse possibile.

La questione, lo ricordiamo, è importante perché ad essere interessate da vicino agli accordi sono circa 4mila imprese (compresi colossi come Google) che, in assenza di una chiarezza giuridica, si sarebbero trovate in seria difficoltà a gestire i dati degli utenti, con l’eventualità non remota di essere costrette a interrompere l’invio delle informazioni verso i data center localizzati in patria o comunque di incorrere in sanzioni per qualunque trasferimento di dati che effettuato secondo il vecchio trattato.

Molte aziende hi-tech, per ovviare al problema, hanno autonomamente deciso di realizzare dei "report della trasparenza", in cui rendono note le richieste dei governi di visionare dati. Soluzione che però non ha trovato il gradimento delle autorità americane, secondo cui non è possibile rendere obbligatorio i "transparency report". 

Altre aziende hanno deciso di percorrere strade alternative avviando data center in Europa (come Microsoft, in collaborazione con Deutsche Telekom) o pensanto a nuove tipologie di contratti con cui regolare i rapporti con gli utenti, contratti che però potrebbero essere impugnati dai Garanti della data protection.

A tenere una posizione di rigidità sull’accordo, dicono i bene informati, erano le autorità Usa, che sul tavolo avevano comunque lanciato una proposta di revisione annuale dell'accordo, comprendente la promessa di dare agli utenti europei gli stessi diritti di cui godono quelli americani per fare causa contro chi raccoglie i loro dati e “meccanismi di trasparenza" per rassicurare l'Ue che la sorveglianza delle agenzie di intelligence si attiva solo nei confronti di un numero limitato di persone sospette.

Proposta che evidentemente non convinceva del tutto la Commissione, soprattutto per le sue modalità di implementazione. Agli Usa, insomma, è stato chiesto di fare un passo avanti per accontentare l’Europa e l'istituzione di un mediatore europeo, il “Difensore Civico” preposto a ricevere e gestire i reclami dei cittadini comunitari su eventuali violazioni della loro privacy digitale ha sicuramente avvicinato le parti.

A complicare le trattative c’era inoltre un emendamento a una proposta di legge in discussione al Senato di Washington, che limita il diritto dei cittadini dell'Ue a fare causa al governo americano in presenza di violazioni. A quanto pare anche questo scoglio è stato superato.

L’allarme lanciato dal Financial Time, citando le stime dell’European Centre for International Political Economy, che ipotizzava un’incidenza sul Pil della Ue nella misura dello 0,4% ogni anno in assenza di un quadro normativo certo e strutturato e il conseguente stop totale a ogni trasferimento dei dati, sembra ridimensionato.

C’è forse un’ultima ombra che grava sul buon esito della vicenda: il Privacy Shield potrebbe essere nuovamente contestato dalla Corte di giustizia europea. Ma nell’interesse di chi?