Facebook, ordine di non trasferire i dati degli europei negli Usa

Il Garante della privacy irlandese prova a mettere un blocco allo scambio di informazioni dopo la sentenza che interrompe lo spostamento di dati tra le due sponde dell’Atlantico

Il Wall Street Journal ha rivelato che il Garante della privacy irlandese a fine agosto ha intimato a Facebook di bloccare ogni trasferimento di dati sui cittadini dell’Unione europea verso gli Stati Uniti. La decisione sarebbe successiva alla sentenza della Corte di Giustizia europea che ha luglio ha invalidato il cosiddetto Privacy Shield, l’accordo stipulato tra Europa e Usa per regolare il trasferimento dei dati da una sponda all’altra dell’Atlantico. Facebook ha ancora qualche giorno per rispondere ma senza dubbio questo sarebbe un precedente che avrebbe un effetto domino su tutti i giganti della Silicon Valley che hanno una parte del loro business in Europa. Ma facciamo un passo indietro.

Le puntate precedenti: i casi Schrems I e II

Dopo le rivelazioni di Edward Snowden sui programmi di sorveglianza delle agenzie americane per la sicurezza (Nsa, Cia), l’allora studente di legge Max Schrems si chiede quali dati Facebook abbia su di lui. Dopo aver compreso la mole di informazioni raccolta dal social network, che gli Stati Uniti avrebbero potuto intercettare, chiede al Garante della privacy irlandese (a Dublino c’è la sede eurooea dell’azienda di Zuckerberg) di imporre a Facebook lo stop del trasferimento di tali dati, in quanto l’accordo tra Stati Uniti e Unione europea per tutelare la privacy dei cittadini europei, il cosiddetto Safe Harbour, che si è dimostrato inefficace.

Mentre il Garante però rimane piuttosto inerme, il caso (Schrems I) passa alla Corte di giustizia europea che nel 2015 dichiara l’accordo Safe Harbour invalido, costringendo i governi delle due sponde dell’Atlantico a stipulare un nuovo patto, chiamato Privacy Shield. Tra le altre cose, aggiunge la figura dell’Ombudsman, una figura indipendente che negli Stati Uniti avrebbe vigilato per garantire la tutela dei dati dei cittadini europei. Anche in questo caso Schrems si rivolge alla Corte di giustizia europea (Caso Schrems II) che a luglio stralcia anche il Privacy Shield in quanto non offre sufficienti garanzie ai cittadini europei di poter far valere i propri diritti.

Quando si possono trasferire i dati personali fuori dall’Europa

Con l’entrata in vigore del Gdpr, il regolamento europeo per la protezione dei dati, l’Unione europea ha stabilito che ogni trasferimento di dati personali fuori dal proprio territorio possa essere possibile solo in alcuni casi. Il primo caso è proprio quello di una “decisione di adeguatezza” dello Stato terzo. L’adeguatezza si fonda su diversi fattori come il rispetto dello stato di diritto, dei diritti fondamentali, l’esistenza di norme sulla protezione dei dati, di autorità indipendenti e di impegni internazionali assunti. Tale accordo sarà poi soggetto a revisione periodica, almeno quadriennale.  

In mancanza di tale tipo di accordo, come il Privacy Shield appena annullato, si può ricorrere a clausole contrattuali con cui l’azienda si impegna a rispettare i vincoli del Gdpr. E qui viene il problema. Nella sentenza Schrems II la Corte ha confermato la validità di tali clausole purché siano effettivamente eseguibili. Ci si chiede dunque se perché si torni a un trasferimento compatibile con il Gdpr gli Stati Uniti debbano modificare le proprie leggi sulla sorveglianza. 

Quali sono le opzioni al momento

Al momento questa ingiunzione non è definitiva e il Garante irlandese attende la risposta di Facebook prima di mandare una proposta anche agli altri Garanti europei che decideranno collettivamente. 

In caso l’ordine diventi definitivo, visto che la stessa Commissione Europea ha confermato che un erede del Privacy Shield è lungi dall’arrivare sul tavolo di Bruxelles e comunque richiederebbe almeno un anno di lavoro, Facebook e gli altri giganti tech avranno due scelte davanti a loro: fare in modo che i dati restino sul territorio dell’Unione e non siano trasferiti e accorpati con quelli degli altri utenti, o cessare ogni fornitura di servizi in Europa. 

È più ottimista Rocco Panetta, avvocato esperto di privacy e country leader dello Iapp, associazione internazionale dei professionisti della privacy. “È stato avviato il gruppo di lavoro dell’Edpb (il Consiglio dei garanti della privacy europei, ndr) che indicherà linee guida sulle ulteriori misure tecniche e organizzative da adottare per rafforzare le garanzie offerte dalle clausole contrattuali e dalle norme vincolanti d’impresa – spiega -. Non si può del resto pensare di poter cambiare tutto da un giorno all’altro. È pertanto irrealistico bloccare interamente i flussi di dati con i Paesi terzi o creare dei cloud/data center europei. Una scelta in questo senso sarebbe più vicina culturalmente all’idea di un internet chiuso come quello cinese che al progetto europeo”.

Facebook dal canto suo, per bocca di Nick Clegg, vicepresidente con delega alla comunicazione, ha spinto molto sul fatto che se anche le clausole contrattuali non saranno considerate sufficienti per il trasferimento verso gli Stati Uniti, l’effetto domino riguarderà anche migliaia di imprese europee che fanno affidamento su operatori americani per mandare mail o anche solo ospitare i propri siti web.

The @WSJ (@samschech and @EmilyGlazer) reported exclusively @DPCIreland may order a stop to Facebook’s EU-US transfers after #SchremsII/#PrivacyShield – additional letters published by us, that this “action” may again not fully resolve the issue..

More: https://t.co/PZn6pot3FC

— noyb (@NOYBeu) September 10, 2020

Schrems promette battaglia

Intanto Schrems e la sua ong Noyb promettono battaglia. Non è piaciuta all’attivista austriaco la scelta di lanciare una seconda indagine carico di Facebook su una questione che sarebbe dovuta essere affrontata nel 2013, quando lui stesso si rivolse al Garante irlandese. Secondo Schrems questa scelta non copre a tutto campo le richieste che lui aveva avanzato.

🚨🚨 It turns out “Hey Alexa” is short for “Hey Keith Alexander.” Yes, the Keith Alexander personally responsible for the unlawful mass surveillance programs that caused a global scandal. And Amazon Web Services (AWS) host ~6% of all websites. 🚨🚨https://t.co/6hkzsHjxh9

— Edward Snowden (@Snowden) September 9, 2020

Intanto, quasi ad avvalorare la tesi che nessun contratto potrà tenere al sicuro i dati degli europei, c’è la notizia che Amazon ha accolto nel suo consiglio Keith Alexander, uno dei responsabili per la Nsa (National Security Agency) che era dietro il sistema di sorveglianza di massa svelato da Snowden.