L’accordo tra Unione Europea e Stati Uniti in materia di dati personali (il Privacy Shield) è caduto dopo una sentenza della Corte di Giustizia dell’UE. Siamo di fronte a una svolta?

I dati sono come le persone: vivono a pieno quando si spostano e vengono a contatto con altre persone. Migrano, in un battito di ciglia, dal nostro telefono ad un server a Milano, da lì ad un data center in Germania e poi in America e Cina. Fanno semplicemente quello che per cui sono stati creati: dopo avere registrato qualcosa, informano su di essa, tutte le persone a cui possono o devono interessare, creando consapevolezza e, quindi, ricchezza in mille forme diverse.

Ma non è sempre stato così. Certo, le informazioni sono state fonte di potere in ogni tempo, ma soltanto con l’avvento della società post-industriale, e la c.d. “era dell’informazione”, i dati in grandissime quantità hanno assunto un rilievo incredibilmente pervasivo nella vita di tutti.

Un’ovvietà. Internet, nel 1989, ha impresso una svolta a questo mondo di numeri che hanno avuto finalmente una casa adatta alle loro grandissime potenzialità. Inizia lo scambio di 0 e 1 che si trasformano in profilazioni di utenti, soldi, contratti, beni intangibili ma dal grande valore.

C’era una volta, proprio in quegli anni, un gruppo di pionieri dell’ordine, in questo mare di numeri, che comprese le potenzialità devastanti delle onde di dati incontrollati nelle vite delle persone e diede così inizio ad un esperimento: la costituzione dei c.d. “International Safe Harbor Privacy Principles”. Questo prezioso tentativo di razionalizzazione della gestione dei dati da parte di companies private si arenò parecchi anni dopo (per colpa di più affair legati a Facebook e alle incredibili rivelazioni di Edward Snowden sulle scorribande delle agenzie di intelligenze governative), senza aver mai davvero compiuto il suo obiettivo di difendere i consumatori da accidentali fughe o perdite di dati da parte di aziende in UE e USA.

Un anno dopo, nel 2016, il nostro “porto sicuro” venne prontamente sostituito da uno scudo, un accordo bilaterale, il Privacy Shield. Un trattato per gli scambi transatlantici di dati personali a scopi commerciali, più chiaro, avanzato e utile alla tutela dei dati personali. Come quasi tutti i tentativi diplomatici, però, anche questo lasciava parecchie ed importanti zone d’ombra, con riguardo, in particolare: alla cancellazione di dati su richiesta degli interessati; alla quantità definita come “significativa” di dati da poter raccogliere da parte delle aziende; all’assenza di garanti con poteri reali pronti a difendere le istanze di chiunque fosse stato leso nei propri diritti.

Lo stesso Garante europeo per la protezione dei dati si affrettò ad emanare una considerazione con la quale prese ufficialmente posizione: “Privacy Shield, come proposto, non è abbastanza robusto da resistere a un futuro esame minuzioso della Corte [UE]“. Alterne vicende, grande inattività da parte di tutti gli attori in gioco e temi prioritari nelle agende dei governi dei due blocchi non portarono mai alla risoluzione degli atavici nodi del trattato. Ma nessun salmo del nostro tempo, nel bene o nel male, finirebbe in gloria senza l’intervento di Trump.

Sì, perché a dare il colpo di grazia al Privacy Shield è stato proprio l’attuale presidente degli Stati Uniti, un anno dopo il concepimento del trattato. Con l’ordine esecutivo 13768, intitolato “Enhancing Public Safety in the Interior of the United States”, il Presidente azionò la ghigliottina: “Le agenzie, nella misura in cui siano coerenti con la legge applicabile, garantiscono che le loro politiche sulla privacy escludano le persone che non sono cittadini degli Stati Uniti o residenti permanenti legittimi dalle protezioni della legge sulla privacy in merito a informazioni di identificazione personale”. Detto in modo più chiaro, per motivi di sicurezza nazionale, le tutele alla privacy vigenti negli States (Privacy Shield compreso) non devono intendersi estese a chi non sia cittadino e residente nel territorio federale. Capirete bene che nessuno vuole firmare un trattato che abbia vantaggi soltanto per una delle contraenti. Con un immane sforzo diplomatico, la Commissione Europea riuscì a far riapplicare il trattato attraverso un nuovo accordo, il c.d. Umbrella Agreement, e tutti vissero felici e contenti. Oppure, anche questa volta, no.

Non lo sanno in tanti, ma (dopo Snowden in America) anche in Europa abbiamo un eroe: Mr. Maximiliam Schrems. Max è un cittadino Austriaco comune che un giorno si è svegliato e ha pensato che nessuno, ma proprio nessuno dovesse avere il potere di trattare i suoi dati senza il suo consenso, neanche gli Stati Uniti d’America (che sembra abbiano usato i dati in possesso di Facebook per il programma PRISM), neanche con motivazioni legate all’antiterrorismo.

Così Max, semplicemente usando la legge e i meccanismi di tutela europei, è riuscito il 16 luglio scorso in un’impresa in cui in tanti hanno fallito per decenni: proteggere realmente i nostri dati e la nostra privacy fuori dai nostri confini. Ha infatti bussato alla Corte di Giustizia dell’Unione Europea e talmente ha rotto le scatole da riuscire a fare pronunziare una sentenza storica: il Privacy Shield è invalido poiché non sembra garantire sui dati europei tutele sufficienti, alla luce del GDPR, nei confronti dei programmi di sorveglianza di massa del governo statunitense. L’Unione Europea è giunta a tutelare così tanto la privacy dei propri cittadini da impedire a qualsiasi entità, pubblica o privata, di usare i suoi dati se non alle proprie condizioni. In una parola, sovranità!

Chi ci guadagna? Tutti. Chi storcerà il naso (e parecchio)? Le imprese. Ebbene sì, perché da oggi la musica cambia, le regole sono chiare in modo disarmante: aprite i server in UE, gestite i vostri affari da qui, investite in infrastrutture sul nostro territorio o garantite ai dati degli utenti europei la stessa identica protezione che avrebbero a casa loro. Ancora di più, tutto questo serve ad incrementare le tutele dei dati anche presso gli stati membri dell’UE. Antonello Soro, Presidente dell’Autorità garante per la protezione dei dati personali, ha infatti recentemente definito l’obiettivo della creazione di un’infrastruttura cloud pubblica non più eludibile per l’indipendenza dai poteri privati.

Non stiamo parlando solo di Google, Facebook, Amazon e Apple (che si sono già parzialmente attrezzate dopo la caduta del Safe Harbor). Da un minuto all’altro hanno smesso di essere compliant con gli standard del vecchio continente ben 5378 società americane con cui noi entriamo in contatto ogni giorno e che, adesso, dovranno capire cosa fare (e scegliere se abbandonare il mercato, ipotesi più che utopistica).

O così, quindi, o non si lavora con i dati dei cittadini Europei, giusto? Ancora, non proprio. Oltre a futuri (più che plausibili) ulteriori accordi, c’è ancora la possibilità che le società facciano firmare ai propri utenti clausole con cui questi acconsentano esplicitamente al trasferimento proposto come necessario per il funzionamento delle app, dopo essere stati informati dei possibili rischi che comportano tali trasferimenti. Prepariamoci quindi a vedere richieste di aggiornamento delle privacy policy di tanti nostri servizi online.

Alcuni commentatori paventano un impatto negativo di tutto questo sul Pil dell’Ue, approssimativamente tra lo 0,8% e l’1,3%, personalmente credo che siamo “soltanto” davanti ad un’epocale svolta, un grande segno di forza da parte delle istituzioni dell’Unione Europea ed una splendida notizia per i suoi cittadini. Gli investimenti delle imprese per adeguarsi ci saranno e noi saremo davvero, finalmente, tutelati. Per questo dobbiamo ringraziare non tanto politicanti e diplomatici, non burocrati o proteste di piazza, e forse neanche i bravi giuristi che hanno trovato le leve giuste, ma un cittadino, che con tempo e con pazienza ha fatto valere i nostri diritti.