Da settembre le aziende europee e statunitensi inizieranno ad appoggiarsi al nuovo Data privacy framework concordato da Bruxelles e Washington. Ma si preannuncia un’altra sfida legale che riguarderà i poteri (americani e non) nel campo dell’intelligence
A luglio la Commissione europea ha dato il suo benestare agli sforzi statunitensi per far sì che i dati personali degli europei siano più protetti oltreoceano. La svolta ha sbloccato l’impasse che vigeva da quando lo scorso accordo-quadro di trasferimento e protezione dei dati, il cosiddetto Privacy Shield, è stato invalidato dalla Corte di giustizia dell’Ue, minando le fondamenta dell’infrastruttura digitale Ue-Usa e gettando nell’incertezza migliaia di aziende.
Quelle stesse aziende hanno tirato un sospiro di sollievo collettivo: avevano appena assistito all’autorità per la privacy irlandese colpire Meta (già Facebook) con una multa record da €1,2 miliardi e l’ordine di sospendere il trasferimento dei dati privati degli europei negli Usa, appunto per via del vuoto legislativo. Il titano californiano sta facendo ricorso, mentre gli operatori del settore inizieranno ad appoggiarsi al nuovo EU-US Data Privacy Framework a partire da settembre.
Secondo Roberto Liscia, presidente di Netcomm (il consorzio italiano di realtà del commercio digitale), il Dpf favorirà una maggiore dinamicità dei mercati e consentirà alle aziende europee di generare 720 miliardi di euro di indotto in più da qui al 2030. Questo perché consentirà alle aziende europee – tra cui quelle piccole e medie – di raggiungere più agevolmente gli oltre 300 milioni di consumatori statunitensi e creare 700.000 nuovi posti di lavoro, “molti dei quali altamente qualificati, in quanto legati allo sviluppo del digitale”.
Com’era prevedibile, le prossime settimane porteranno anche al rinnovo della sfida legale per mano dello stesso attivista le cui cause hanno invalidato i due predecessori del Dpf: l’avvocato austriaco Max Schrems. Secondo lui le modifiche chieste da Joe Biden – tra cui una quasi-corte nel Dipartimento di giustizia statunitense che prenderà in consegna le eventuali lamentele europee in materia – sono una pezza che non tappa il vero “buco”: nella fattispecie, la Sezione 702 del Foreign Intelligence Surveillance Act, che permette alle agenzie di intelligence Usa di autorizzare la raccolta di dati di cittadini non americani per motivi di sicurezza.
Mark Scott di Politico, uno dei più attenti osservatori della materia, dubita che questa Corte di revisione e protezione dei dati verrà mai utilizzata. “Gli europei devono prima presentare un reclamo all’autorità nazionale di vigilanza sulla protezione dei dati. Poi, c’è un potenziale processo di arbitraggio tra i singoli e l’azienda. Poi deve intervenire l’Ufficio per le libertà civili, la privacy e la trasparenza del direttore dell’Agenzia di intelligence nazionale degli Stati Uniti. Solo alla fine di tutto ciò”, scrive Scott su Digital Bridge, la nuova Corte deciderà se le pratiche di sorveglianza statunitensi hanno davvero violato i diritti alla privacy degli europei. I precedenti non sono dei migliori: un meccanismo simile agganciato al Privacy Shield non è mai stato usato.
Dall’altra parte dell’Atlantico si sostiene che i controlli aggiuntivi sono sufficienti per rispettare le normative europee. Perlopiù una revisione statunitense delle pratiche di sorveglianza europee ha confermato quanto gli esperti ripetono da anni: ossia che anche i Paesi Ue non si fanno particolari scrupoli nel raccogliere aggressivamente i dati altrui per questioni di sicurezza nazionale. Vero, i titani tecnologici che trattano dati personali sono perlopiù statunitensi, ma visto quanto si sta sviluppando l’economia digitale globale (e considerando che l’Ue non si pone il problema altrettanto intensamente con altri Stati del mondo) a Washington hanno la sensazione che a Bruxelles si utilizzino due pesi e due misure – specie se si tratta di Big Tech.
I prossimi due appuntamenti sono la fine dell’anno, ossia la data entro la quale il Congresso Usa dovrà ri-autorizzare la Sezione 702 – anche se stando a Scott “non è realistico che la riformi in modo da placare i sostenitori della privacy” europei. Più in là, a seconda di come si muove Schrems, la sua causa preannunciata dovrebbe arrivare alla Corte di giustizia dell’Ue – probabilmente entro il 2025 – e si riaprirà l’annosa questione. Ma chissà, per allora si potrebbero vedere dei passi in avanti nel campo dei flussi transfrontalieri di dati.
