Martedì 1 marzo la Commissione europea ha pubblicato i testi giuridici che instaurano lo scudo Ue-Usa per la privacy, il cosiddetto Privacy shield. Si tratta di un accordo volto a proteggere la riservatezza dei dati dei cittadini europei in caso di trasferimento oltreoceano e che sostituisce il vecchio Safe Harbor, bocciato a ottobre scorso dalla Corte europea di giustizia. Per Bruxelles, d’ora in poi ci saranno obblighi più stringenti per le imprese Usa rispetto alla protezione dei dati e un monitoraggio più severo che le autorità europee condurranno con quelle federali americane. Il percorso del nuovo quadro giuridico, tuttavia, non è terminato: la bozza dovrà ora ottenere il disco verde di un comitato di rappresentanti degli Stati membri e delle autorità europee per la protezione dei dati, per poi passare dalla decisione finale nel Collegio dei commissari. (Redazione Formiche.net)

Ogni giorno sui social media vengono condivisi 500 milioni di foto e ogni minuto almeno 200 ore di video. Numeri che possono impressionare ma che sono destinati a crescere ancora, perché la narrazione delle nostre esperienze è sempre più affidata a luoghi virtuali che ci permettono di condividerle con amici e conoscenti. Senza considerare inoltre i flussi di email, messaggistica, servizi di cloud di cui ci avvaliamo quotidianamente, per lavoro, studio o tempo libero.

Non sono solo le comunicazioni one-to-many a passare dai social ma ormai anche molte di quelle one-to-one, così come l’archiviazione di dati, anche tra i più sensibili, avviene sempre meno su supporti fisici di nostra proprietà, ma sempre di più in remoto. Per le generazioni native digitali la domanda “Dove sono i miei dati?” suona non completamente sensata, e forse addirittura incomprensibile se riferita a luoghi fisici. Risultano, invece, di immediata comprensione da parte di tutti, almeno a grandi linee, le problematiche legate al rischio di un’esposizione impropria dei nostri dati, e non solo di quelli sensibili. Per quanto ci riguarda, come europei, è chiaro che questa criticità investe soprattutto le relazioni con gli Stati Uniti, visto che la quasi totalità degli over-the-top del web sono americani.

Prima della sentenza Max Schrems della Corte di giustizia dell’Unione europea, Ue e Stati Uniti regolavano i propri rapporti con il Safe harbor agreement, l’accordo risalente al 1998, poi recepito nel 2000 (il garante della privacy italiano si pronunciò nel 2001), che consentiva alle imprese americane di autocertificare la propria conformità agli standard europei sulla base dei famosi sette principi, basati in larga parte sulla logica notice and consent.

È evidente che si trattava – anche al netto delle rivelazioni di Edward Snowden sull’attività della National security agency (Nsa) che hanno preoccupato non poco questo lato dell’Atlantico – di un modello superato, tarato sugli scambi di dati che potevano esserci negli ultimi anni 90 e primi 2000: un’epoca precedente i social media e con una diffusione molto minore di connessioni, soprattutto mobili, a grande velocità. Del resto, già nel 2013 l’Europa aveva trasmesso 13 raccomandazioni agli Stati Uniti sul Safe harbor, ben prima, quindi, della sentenza di ottobre 2015. La sentenza Schrems ha invalidato di fatto l’accordo del 2000 rendendolo inapplicabile, riconoscendo un ruolo decisivo alle autorità nazionali per quanto riguarda le valutazione delle garanzie offerte ai propri cittadini nel trasferimento di dati oltreoceano.

In un quadro di grande transitorietà è giunto l’annuncio del Privacy shield, un nuovo accordo Usa-Ue per superare il vulnus della situazione attuale. È bene ricordare, infatti, che oggi una volta invalidate le norme del Safe harbor, l’unica modalità in mano alle aziende per procedere al trasferimento dei dati across the pond è avvalersi di clausole contrattuali o delle binding corporate rules. L’annuncio del raggiunto accordo è già un fatto positivo, anche se per vederlo realmente in vigore manca ancora qualche passaggio decisivo, primo fra tutti il quello nel Gruppo di lavoro ex Articolo 29, l’organismo composto da un rappresentante per ciascuna delle autorità di protezione dei dati personali degli Stati membri.

Da quanto si è appreso, è positivo che saranno previsti limiti alla possibilità per le autorità di pubblica sicurezza di accedere ai dati personali, evitando così attività di monitoraggio indiscriminato e non proporzionate alle finalità di pubblica sicurezza. Inoltre, vi sarà la possibilità per le autorità europee di riportare casi alla Federal trade commission, oppure di rivolgersi a un ombudsman, organismo collegiale creato appositamente in caso di violazioni da parte delle autorità di intelligence.

Infine, il fatto che la Commissione europea e il Dipartimento del commercio americano si riuniranno una volta all’anno per rinnovare o modificare i termini dell’accordo è la circostanza più rilevante e indica la necessità di una regolamentazione sempre più dinamica, sempre più al passo delle innovazioni. La staticità, infatti, era il vero punto debole del Safe harbor agreement, che non teneva conto dell’evoluzione rapidissima e imprevedibile della tecnologia: nessuno, specialmente alla vigilia dell’Internet of things, è infatti in grado di prevedere di fronte a quali implicazioni e problematiche ci troveremo da qui a qualche anno, così come nel 2000 era imprevedibile l’epoca social e l’importanza che oggi ricoprono i social media nelle interazioni quotidiane di ciascuno di noi.

Un altro aspetto fondamentale è rendere il Privacy shield coerente con tutte le discussioni in corso, da un lato con gli Usa a partire dal Ttip e dall’umbrella agreement e, dall’altro, sulla privacy a livello europeo, primo fra tutti il nuovo regolamento sul data protection che entrerà in vigore nella prima parte del 2016. È un regolamento che aggiorna in modo significativo l’approccio e introduce diritti che suonano completamente nuovi, come il diritto alla portabilità del dato, cioè il diritto da parte dell’utente ad avere piena disponibilità dei propri dati, se si volesse ad esempio trasferirli da un social network a un altro, o il diritto all’oblio, cioè a ottenere la cancellazione completa dei propri dati una volta che si decide di uscire da determinati circuiti.

Sul Privacy shield e sul regolamento europeo sul data protection è necessaria una grande operazione di divulgazione e conoscenza verso i cittadini da parte di tutti gli attori coinvolti: legislatori, regolatori, stakeholder ed esperti in materia. Se, infatti, ormai le enormi potenzialità della Rete sono note agli utenti, soprattutto ai più giovani, non altrettanto si può dire sui diritti di cui gli stessi utenti godono per quanto riguarda la privacy. Solo così si supererà definitivamente il modello notice and consent e arriveremo, anche in questo campo, all’età della awareness, ossia della consapevolezza.