IN EVIDENZA

L’accordo Privacy Shield: il difficile compromesso tra libertà e sicurezza digitale

blue european union EU flag on broken wall and half usa united states of america flag, crisis trump president and europe euro concept

Lo scambio di dati personali tra Stati Uniti ed Europa è disciplinato da una legislazione che con l’era di internet ha subito un rapido aggiornamento. La piena convergenza dei principi riconosciuti e applicati sulle due sponde dell’Atlantico non è tuttavia ancora stata raggiunta e il dialogo è ancora in corso.

Negli ultimi vent’anni il mondo è cambiato profondamente: internet ha costruito un reticolo di telecomunicazioni che non si limita al solo scambio di dati tra utenti, ma anche tra fornitori stessi di servizi. La raccolta, la protezione e l’analisi di tali dati è un argomento critico nella definizione dei rapporti transatlantici. Il loro flusso è in costante crescita ed è sempre più pressante la richiesta di una legislazione che protegga sia la privacy degli individui sia la sicurezza nazionale. Un quadro normativo sulla privacy è già presente da decenni sia negli Stati Uniti sia in Europa. Negli USA atti legislativi risalenti agli anni Settanta già regolano la raccolta di dati da parte del governo e degli istituti di credito (si vedano, per esempio, il Fair Credit Reporting Act del 1970 o il Privacy Act del 1974). Non mancano peraltro leggi statali e un’abbondante giurisprudenza in materia. In Europa la situazione è più complessa a livello istituzionale: la legislazione e le autorità nazionali mantengono la prerogativa per questioni di sicurezza nazionale, mentre in tema di privacy, sicurezza digitale e protezione dei dati personali le istituzioni centrali europee hanno un ruolo primario e fondamentale, e il riconoscimento del diritto alla protezione dei dati personali è invero garantito espressamente dalla Carta dei Diritti Fondamentali dell’Unione Europea, all’articolo 8. La prima direttiva che armonizzasse a livello europeo le legislazioni nazionali in materia risale al 1995: la Direttiva sulla tutela dei dati, la quale considera la possibilità di trasferimento dei dati in una nazione terza solo a patto che essa assicuri un adeguato livello di protezione degli stessi.

Le divergenze tra Europa e Stati Uniti

La sensibilità in tema di privacy dei due attori si differenzia perché diverse sono le formae mentis che li contraddistinguono. La divergenza più evidente riguarda la protezione costituzionale dei dati personali: se in Europa essa è garantita nel diritto primario, negli Stati Uniti non vi è una corrispondente normativa. I principi e gli standard che l’Unione Europea garantisce sono in maggioranza accettati negli Stati Uniti, ma in questi ultimi sono spesso soggetti a restrizioni qualora prevalgano esigenze di mantenimento dell’ordine o di sicurezza nazionale. Emblematico è il fatto che nel Vecchio Continente, quando una normativa è in contrasto con la legge fondamentale, l’individuo ha facoltà di ricorrere ai rimedi previsti; negli Stati Uniti, invece, non sorge automaticamente un tale diritto in capo al singolo. Non solo, differenti approcci interessano anche le persone che godono di protezione: negli Stati Uniti la nazionalità e la residenza sono strumenti di discrimine nei confronti dei non residenti, mentre in Europa chiunque sia soggetto a misure di sorveglianza viene protetto.
La contrapposizione tra Stati Uniti ed Europa trova declinazione anche nel mercato dei servizi di archiviazione dei dati online. Il 40% della quota di mercato in Europa occidentale è detenuta da quattro aziende, tutte americane. Nel 2013 sono state rivelate da Edward Snowden informazioni sul programma PRISM condotto da NSA americana e GCHQ inglese: gli incaricati delle agenzie sono penetrati nei server di nove tra le aziende leader di servizi internet statunitensi per carpire dati relativi a comunicazioni, per lo più estere, transitanti su server ubicati sul suolo statunitense. Reazioni di sdegno hanno percorso il Continente europeo, spingendo l’Amministrazione Obama a cercare un accordo con l’Europa, giunto solo nel luglio 2016 e denominato Privacy Shield. Lo Scudo per la privacy ha sostituito il precedente accordo Safe Harbor, risalente al 2000 e dichiarato nullo dalla Corte Europea di Giustizia nel 2015 perché non in grado di fornire un sufficiente livello di protezione dei dati trasferiti dall’UE agli USA.

L’attuale legislazione: il Privacy Shield

Il Privacy Shield è un sistema che si basa sull’autocertificazione, secondo il quale le aziende statunitensi si impegnano a osservare una serie di principi stabiliti dal Dipartimento del Commercio USA. Sono altresì previsti meccanismi di sorveglianza e di esecuzione delle norme. È stato successivamente integrato dall’Umbrella Agreement, entrato in vigore il 1° febbraio 2017 e riguardante lo scambio di informazioni relative a procedimenti giudiziari. Le garanzie richieste dall’Unione Europea pongono in capo alle aziende obblighi di tutela dei dati ricevuti, dispositivi di sicurezza per prevenire l’accesso alle informazioni da parte del Governo statunitense e una protezione concreta, oltre che rimedi giurisdizionali dei quali possono avvalersi gli individui. Annualmente è prevista anche una revisione congiunta, che si terrà nel settembre 2017. L’attuale Amministrazione USA è consapevole dell’importanza che un accordo transatlantico in tema di privacy è imprescindibile, tuttavia le azioni intraprese finora non hanno potuto rassicurare l’Unione Europea né sulla continuità di un rapporto proficuo né sull’applicazione della Presidential Policy Directive n. 28, emanata dall’allora Presidente Obama. Quest’ultima estende anche ai non residenti negli Stati Uniti le protezioni alla privacy e alla dignità personali riservate finora ai soli residenti, modellandosi uniformemente con le norme già in vigore in Europa.

Quale futuro per il Privacy Shield?

L’incertezza pertanto rimane, con un non ben definito bilanciamento tra privacy e sicurezza. Il rapido mutamento tecnologico affretta i tempi, perché la raccolta di dati investe le attività commerciali, industriali e personali, ed è facile intuire che la mancanza di una normativa che tracci dei confini lascia spazio a potenziali abusi, sia pubblici sia privati. I principi generali potrebbero essere agilmente illustrati in una Carta transatlantica per la sicurezza e il trasferimento dei dati, proposta dal Royal Institute of International Affairs. Posto che la cooperazione tra i due poli del mondo al momento più digitalizzati è necessaria, fondamentale è anche un compromesso tra sicurezza nazionale, privacy personale e libertà economiche.

La questione perciò non è ancora chiusa: il Privacy Shield verrà verosimilmente sottoposto a revisioni, aggiustamenti e integrazioni. Esso è già stato sottoposto a critiche sfociate  in risoluzioni del Parlamento Europeo. La preoccupazione dell’Europa resta quella di proteggere i cittadini da possibili abusi delle Amministrazioni USA. Un risultato che soddisfi completamente le due parti non è ancora stato raggiunto, sebbene importanti passi avanti siano stati fatti. Solo il confronto tra i due contraenti potrà stabilire i successi e i fallimenti dell’attuale struttura, e si dovranno perciò attendere i risultati della revisione annuale congiunta di settembre.

Elena Moleri 

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: