Il suo nome è EU-US Privacy Shield ed è il nuovo complesso di norme che consentirà di trasferire dati personali dei cittadini del Vecchio continente dall’Unione europea agli Stati Uniti, anche per scopi di sicurezza e intelligence. Lo “scudo” – per ora solo un’intesa politica che andrà formalizzata nelle prossime settimane -, dovrebbe sostituire il Safe Habor, il preesistente meccanismo del 2000 invalidato dalla Corte di giustizia europea lo scorso 6 ottobre, perché la Commissione, all’epoca, non avrebbe constatato l’adeguatezza della protezione dei dati personali garantita.

Cosa cambia, invece, con questa nuova intesa? Quali le ripercussioni sulla vita (e la privacy) dei cittadini europei? Quali dati potranno essere raccolti, scambiati e conservati? Come e per quanto tempo?

Sono alcuni degli aspetti analizzati in una conversazione di Formiche.net con Giovanni Buttarelli, Garante europeo della protezione dei dati.

Buttarelli, quali sono gli aspetti salienti di questa intesa?

L’accordo politico che dovrà essere tradotto in realtà nei prossimi mesi riguarda una delle modalità per trasferire dati personali dall’Europa verso gli​ Stati Uniti che è molto importante soprattutto per le PMI, perché le grandi imprese avevano iniziato due anni fa a fare uso di altri strumenti per mettersi al riparo dal possibile annullamento della decisione del 2000. Tuttavia, il bilanciamento degli interessi che si sta facendo intorno al Safe Harbor, avrà un effetto orizzontale, anche su questi altri strumenti.

Entriamo nel merito.

La prima conclusione è, appunto, che un accordo apparentemente riferito a una sola delle tante opzioni per trasferire dati all’estero avrà in realtà un effetto orizzontale, perché non stiamo discutendo tanto delle garanzie offerte dalle imprese in questo specifico contesto quanto, piuttosto, ed è stata questa la ragione per la quale la decisione del 2000 della Commissione Ue è stata annullata dalla Corte di Giustizia, dell’accettabilità in Europa di un uso di questi dati da parte delle autorità di intelligence di altri Paesi, in questo caso degli Stati Uniti, laddove l’uso non sia necessario, proporzionato, sicuro e con rimedi a garanzia dell’interessato in casi di errori o eventuali abusi.

Che idee e che aspettative ha, a riguardo, come Garante Ue sulla protezione dei dati?

La nostra tradizione giuridica è diversa da quelli di altri Paesi, compresi gli USA, e sebbene condividiamo alcuni valori generali in chiave di privacy, per quanto riguarda poi il modo concreto in cui queste attività di intelligence tengono luogo c’è molta differenza. Il gruppo di tutte le autorità garanti in Europa guarda positivamente all’annuncio che un accordo politico sarebbe stato concluso. Si tratta di una fumata, ma prima di vedere il colore bianco o nero dobbiamo vedere la sostanza. E questo avverrà nelle prossime settimane.

Quali saranno i prossimi passi per finalizzare l’accordo?

Per il momento le autorità garanti dei 28 Paesi assieme al Garante europeo hanno adottato e pubblicato ieri una decisione con cui guardano a favore a questo annuncio e rendono noto che sono in procinto di completare l’analisi del sistema legale USA anche alla luce di recenti modifiche; hanno evidenziato quali sono i punti per loro essenziali, ai quali va aggiunto il profilo della vincolatività di queste misure per gli USA, in cui si accenna al fatto se siano sufficienti assicurazioni per iscritto da parte di alte autorità americane che l’accesso dei dati trasferiti dall’Europa, se necessario per ragioni di intelligence, avverrà soltanto quando è necessario e proporzionato.

Qual è la tempistica ora?

Gli “sherpa” interni alla Commissione sono stati delegati in sede plenaria dalla Commissione stessa a tradurre in concreto l’accordo politico in uno schema di decisione europea che dovrà essere sottoposto a vari pareri. La Commissione conta di finalizzare il primo schema entro qualche settimana e quindi non credo che prima della fine di marzo avremo la disponibilità integrale di questi testi. Dopodiché, la mia autorità da sola e insieme, in separato parere, con le autorità degli altri Paesi e anche un terzo organismo che riunisce i rappresentanti dei governi degli Stati membri, dovranno separatamente adottare dei pareri che hanno un’influenza sulla procedura. Quindi, come accaduto nel 1999 quando il Safe Harbor è stato adottato, è possibile che tra la proposta iniziale e poi quello che sarà eventualmente adottato e pubblicato in Gazzetta Ufficiale, ci sia una differenza sostanziale su aspetti anche importante.
Le grandi linee che sono state annunciate sono positive e vanno nella giusta direzione. In questi casi il diavolo è nei dettagli, quindi bisogna vedere come esse sono, poi, concretamente sviluppate, considerato anche che il sistema giuridico americano è particolarmente complesso.

Su cosa non sarà disposto a transigere?

Sono particolarmente quattro punti quelli che hanno importanza. Il primo è la conoscibilità, da parte del pubblico, di ciò che ragionevolmente il cittadino può aspettarsi, rispetto alla utilizzazione di questi dati da parte dell’intelligence, una volta che questi dati sono stati sono stati trasferiti dall’Europa. Quindi, la possibilità di avere regole molto precise, facilmente accessibili, non vaghe, e in base alle quali il cittadino non è preventivamente, ovviamente, informato di un’azione investigativa da parte dell’intelligence, ma può capire in anticipo
cosa queste autorità possono fare in termini generali. Questo serve a rafforzare la fiducia, che è essenziale anche verso le autorità di intelligence. La seconda dimensione importante è la necessità e la proporzionalità. Queste attività di intelligence non devono essere effettuate solo perché un domani potrebbe essere eventualmente utile il risultato investigativo; devono essere focalizzate su obiettivi specifici basati su ragioni concrete e il tipo di attività svolte sui dati che vengono raccolti, i soggetti che vengono coinvolti, la durata dell’investigazione e la durata della detenzione dei dati devono avere una ragionevole proporzionalità. Ci sarà ovviamente una discrezionalità nel valutare tutto ciò, ma al fondo ci deve essere un approccio obiettivamente ragionevole, non soggettivamente ritenuto tale.

Quali sono gli altri due punti?

Il terzo punto è quello dell’esistenza di un meccanismo di garanzia indipendente, che può avere varia forma – quella giudiziale, quella di un’organismo indipendente – si parla ora della introduzione nel sistema americano di un cosiddetto Ombudsperson – oggi noi abbiamo già un primo nucleo, un organismo che in maniera autonoma effettua un sindacato presso l’ufficio della National Security Agency (NSA). Si tratterà di sviluppare questi meccanismi per avere un approccio ancora più imparziale, ancora più effettivo, ancora più da “terza parte” che possa sviluppare e completare l’analisi di eventuali irregolarità, per poterne trarre obiettivamente conclusioni che possno servire di aiuto al cittadino nel caso in cui ci fossero eventuali abusi. Da ultimo, ovviamente, rimedi giuridici nel caso in cui questi diritti siano violati, compreso il diritto di rivolgersi ad un’autorità indipendente.

Cosa cambia per i cittadini europei rispetto al Safe Harbor del 2000, invalidato dalla Corte di giustizia Ue?

Va apprezzato il fatto che, diversamente da quanto è accaduto nel 2000, si parla di meccanismi periodici di revisione ed è chiaro che la Corte, come “Guardiano dei Trattati”, vuole correre meno rischi perché è possibile, forse probabile, che il nuovo accordo sugli scudi della privacy venga portato anch’esso all’esame della Corte e un secondo annullamento sarebbe senz’altro abbastanza negativo per la credibilità dell’Unione che ha sottoscritto un accordo di questo tipo, nonché per le imprese che hanno continuato ad applicare questa disciplina in buona fede e infine per i cittadini stessi: quindi, non c’è spazio per errore questa volta, anche perché la giurisprudenza della Corte è molto chiara, assai precisa e specifica. La necessità e la proporzionalità non sono criteri validi per sempre, che si traducono in una cosa uniforme nel tempo. Però, c’è un fil rouge che dev’essere rispettato.

Queste misure potranno evitare il ripetersi di casi come quello che ha opposto l’Nsa a Edward Snowden?

Nel 2014 e 2015 ci sono stati sviluppi normativi negli Stati Uniti e uno è ancora pendente. Questi cambiamenti hanno portato aspetti positivi in termini generali, ma non tutti. Alcune formulazioni sono state ritenute non chiare, non precise e addirittura insoddisfacenti. Comunque, qualcosa si è mosso. Vediamo adesso rispetto a quello che è stato fatto negli ultimi due anni che cosa interverrà in più, in un momento in cui c’è una transizione dell’amministrazione americana e l’Europa ha bisogno di rassicurazioni stabili nel tempo, che tengano conto di sviluppi di vario tipo e dell’esito delle elezioni negli Usa, tenendo conto che quello che è stato fatto negli ultimi due anni è stato realizzato da un certo tipo di presidenza che potrebbe essere diversamente collocata nel futuro. L’Europa vuole certezza e vuole il più possibile qualcosa simile a un sistema giuridico. Gli Usa hanno un approccio che limita al massimo il ruolo del Congresso nel ratificare accordi internazionali e c’è molta delega all’esecutivo in tutto questo. Ma qui siamo in una terra delicatissima: diritti umani e diritti della personalità. Bisogna andarci con i piedi di piombo.

I più critici sottolineano che tutto ciò possa danneggiare indagini nelle quali la prevenzione è fondamentale, come quelle su possibili attentati terroristici.

Parlo per un secondo come magistrato: non ho mai visto un caso in cui, per ragioni di tutela della privacy, ci sia stato un insuccesso di un’attività investigativa. Al contrario, ritengo che la selettività possa aiutare perché più dati significa “rumore informatico” e non possiamo delegare alle nuove tecnologie ciò che non riusciamo a raggiungere sul piano investigativo. I recenti insuccessi di intelligence in Francia e in Belgio pur a seguito del monitoraggio di persone che erano ben individuate e sono state anche seguite per mesi sono risultati a tutti abbastanza evidenti. L’introduzione del cosiddetto Passenger Name Record (Pnr) che, se introdotto, comporterebbe la spesa di milioni e milioni di euro non avrebbe aggiunto alcunché. Preferisco un approccio molto più selettivo.