Il Privacy Shield statunitense (letteralmente “scudo per la privacy”), è stato invalidato con la sentenza della Corte di Giustizia dell’Unione Europea del 16 luglio 2020, una decisione che rimette sul tavolo il problema della privacy sul trasferimento dei dati personali verso Paesi terzi e la sicurezza degli utenti in un mondo virtuale sempre più potente e sfuggente alle norme e alle garanzie di cui i cittadini godono del mondo reale.
In particolare, il Privacy Shield si basa su un’autocertificazione che le aziende statunitensi devono rilasciare per ottenere la ricezione dei dati dei cittadini europei,ed è un accordo siglato tra Commissione europea e Dipartimento del Commercio degli Stati Uniti, adottato con decisione 2016/1250 e volto allo scopo pratico di assicurare parità di tutela ai cittadini in tema di privacy, sia che le violazioni avvengano in territorio europeo che extra-europeo.
Il Privacy Shield era seguito a un altro accordo che la Corte aveva precedentemente dichiarato invalido, il Safe Harbor del 2000 (in italiano “porto sicuro”) sul libero trasferimento, a fini commerciali, dei dati dalle multinazionali UE agli Stati Uniti e sulla loro conservazione, suscitando già allora la preoccupazione di Google, Yahoo e altri social network che avrebbero economicamente risentito di questa decisione.
Da una parte ci sono le grandi aziende che sfruttano i dati personali come fonte di guadagno privata, dall’altra c’è la protezione degli utenti che spesso, troppo spesso, si trovano vittime di ingiustizie e abusi sulla rete che è stata definita come zona franca del diritto, nonostante gli sforzi fatti dalla giurisprudenza per adattarsi e coprire una realtà troppo estesa. L’obiettivo è il continuo bilanciamento di interessi e valori tra multinazionali che offrono pur sempre un servizio gradito (non c’è giorno che si passi senza usare Whatsapp, compiere operazioni commerciali online) e privacy dell’utente.
A tal proposito la Corte, con la sentenza del 16 luglio sul privacy shield, ha decretato non appropriata la decisione 2016/1250, ritenuta insufficiente ai fini della protezione dei dati, e ha invece confermato la decisione 2010/87 sulle clausole contrattuali tipo della Commissione. Questo è avvenuto sulla scia degli studi e del ricorso presentato nel 2013 da Maximilian Shrems e dopo le rivelazioni di Edward Snowden, che hanno contribuito a fornire prove sullo scarso livello di protezione dei dati negli USA: “Le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo da parte delle autorità statunitensi, non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario” (Sentenza nella causa C-311/18).
Adesso le 5378 società statunitensi (tra cui Facebook, Google, Apple) che si appoggiavano al privacy shield dovranno rivedere le proprie politiche sul trasferimento dei dati dall’UE e forse saranno costrette a spostare le proprie sedi. Qualcuno l’ha definita sentenza storica; indubbiamente un bel passo in avanti, ma le insidie alla privacy non finiscono qui.
Tecnologia vs. privacy shield: la sensazione di essere costantemente spiati
In considerazione della rapidità dei progressi tecnologici e della ingente mole di dati personali (non raramente dati sensibili) che l’e-commerce muove, giuridicamente sorgono due ordini di probemi: il primo riguarda il carattere sovranazionale della rete, e quindi stabilire la competenza giuridica del reato commesso via internet (es. frode, phishing, intercettazione, accesso abusivo a un sistema informatico o telematico) non è cosa semplice, poiché spesso risulta difficile individuare il luogo di consumazione del reato in virtù dell’astrattezza territoriale peculiare del web.
Il secondo è quello di uniformare le legislazioni statali all’insegna di un diritto comune internazionale sulla privacy. Una questione che assume toni allarmanti se si pensa che non c’è equivalenza di protezione della privacy nei vari ordinamenti; le garanzie legislative italiane in materia non si ritrovano ad esempio negli Stati Uniti o nei Paesi dell’Eurasia. Eppure la globalizzazione ha messo in moto un processo di scambio merci che collega qualsiasi angolo del mondo, assieme alle merci si trasferiscono i nostri dati personali (per le multinazionali e per gli Stati molto più importanti di quel che immaginiamo).
Se il termine privacy è nato nel XIX secolo come the right to be let alone (diritto a essere lasciati soli) secondo l’intuizione di Warren e Brandeis, oggi essere lasciati soli è impossibile anche quando crediamo di esserlo. La tecnologia è piena di trappole per la privacy: dal riconoscimento biometrico (utilizzato soprattutto su Facebook per “taggare” gli amici), all’Internet of Things, alla domotica, alle informazioni diffuse volontariamente sul web che contribuiscono alla schedatura della personalità e della vita di ciascuno, alle attività di spionaggio con il captatore informatico. Un orwelliano web che tutto vede, tutto sa e che noi aiutiamo a incrementare senza accorgerci del suo essere un’arma a doppio taglio.
Un esempio di tecnologie potenzialmente pericolose per la salvaguardia delle nostra privacy che utilizziamo (talvolta con incoscienza) sono le RFID (Radio Frequency ID Devices), ovvero microchip leggibili in radiofrequenza e impiegati come etichette intelligenti che permettono di tracciare il controllo degli accessi ad aree riservate, o ad assicurare maggiore rapidità nelle operazioni commerciali. Il problema delle etichette intelligenti è che possono accedere ai dati sensibili del soggetto possessore senza il suo consenso, possono tracciare i suoi movimenti, raccogliere dati sulle sue abitudini, arrivando a una profilazione dei suoi gusti e del suo stile di vita, il tutto ovviamente all’oscuro dell’interessato, privo di qualsiasi “privacy shield”.
Le comodità della tecnologia sono gradite a chiunque, ma tutto ha un prezzo e in questo secolo il prezzo che stiamo pagando si chiama privacy. Altro esempio: siete sul divano, appena tornati da lavoro, non vi va di alzarvi e avete Alexa che interpreta i vostri comandi vocali e li esegue. Per captare il comando vocale Alexa, Siri e altri hanno bisogno di tenere sempre attivo un microfono e ciò non escluderebbe una registrazione continua di rumori, magari conversazioni, discorsi, telefonate e un’ipotesi sostenuta da alcuni esperti è che avvenga la loro trasmissione su server esterni. Dietro quei server ci potrebbero essere grandi multinazionali, persone sconosciute che si infiltrerebbero senza permesso e senza essere viste nei vostri ambienti privati. Per ora solo ipotesi non suffragate da prove, ma il mondo del web è una (triste) scoperta continua.
Sarebbero infiniti gli esempi per allungare la lista: basti pensare che perfino Mark Zuckerberg dichiarò di non sentirsi al sicuro e di coprire webcam e microfono con del nastro adesivo.
La disciplina normativa italiana in materia di trattamento di dati personali
L’Italia, da un punto di vista normativo, ha conosciuto una prima sistemazione normativa con la legge 675/1996 recependo la direttiva 95/46/CE e poi con il d.lgs. 196/2003 (Codice in materia di tratamento di dati personali), poi superato con il Regolamento UE 2016/679 (GDPR) che ha abrogato, appunto, la direttiva 95/46/CE e che si inserisce nel cosiddetto Pacchetto europeo protezione dati. Il GDPR in particolare introduce il principio portante dell’accountability, che si traduce nell’affidabilità e competenza che le aziende e le istituzioni pubbliche devono adottare nel trattamento dei dati personali delle persone fisiche: dalla fase embrionale (di acquisizione), alla fase finale (di conservazione).
L’art. 5 del Regolamento elenca una serie di procedure sostanziali con le quali devono essere trattati i dati: con liceità, correttezza, trasparenza, nonché adeguati, pertinenti e limitati rispetto alle finalità per cui sono stati acquisiti (minimizzazione dei dati). L’art. 6 tratta della liceità del trattamento dei dati personali, che è tale solo se l’interessato ha espresso il consenso, è necessario per adempiere un obbligo legale, per l’esecuzione di un contratto, per la salvaguardia di interessi vitali, per l’esecuzione di un compito di interesse pubblico.
L’art. 9 dedica maggiore attenzione ai dati sensibili, ovvero quelli che rivelano l’origine etnica o razziale, opinioni politiche, convinzioni religiose, appartenenza sindacale, per i quali c’è un divieto di trattamento a meno che non vi sia il consenso dell’interessato o sia necessario per esercitare un diritto in sede giuridiziaria. Forse l’articolo più interessante del Regolamento è l’art. 17 che prevede il diritto all’oblio: sancisce che l’interessato ha il diritto di ottenere la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo da parte del titolare del trattamento.
Sempre in materia di privacy, ricordiamo i provvedimenti del Garante, la valutazione d’impatto sulla protezione dei dati (art. 35 GDPR), la DPIA (Data Protection Impact Assessment), l’introduzione del DPO (Data Protection Officer) e le direttive che costantemente arrivano dall’Unione europea per regolamentare un web sempre più frenetico e in continua evoluzione.
Insomma, in materia di privacy l’iter normativo sarà arduo e tortuoso prima di giungere a una compiuta disciplina. Attualmente la migliore forma di protezione dei nostri dati è l’autotutela, la consapevolezza di quanti effetti collaterali possa scatenare la pubblicizzazione e la spettacolarizzazione di informazioni personali sulle piazze virtuali. Resta il problema dell’alfabetizzazione popolare circa questi meccanismi tecnologici, affinché un domani si possa capire che il furto dei dati è pari, per gravità, al furto del portafoglio.
Melissa Aleida