Nuovi problemi per il Privacy Shield, l'accordo prevalentemente politico (in quanto basato su promesse politiche che potrebbero essere spazzate dal prossimo governo americano) tra la Commissione Europea e il governo americano per garantire il flusso transfrontaliero dei dati tra Usa e Unione Europea dopo la cancellazione del Safe Harbour.
Già abbiamo dato conto di come il Privacy Shield sia niente altro che un modo per svendere i diritti dei cittadini europei agli americani, laddove di fatto la legislazione europea, più tutelante, viene ad essere limitata per consentire alle aziende americane di continuare a trattare i dati degli europei e fornire servizi online. Cioè si abbassa l'asticella dei diritti fino al livello, inferiore, degli Usa.
Tra il 6 e il 7 aprile il Garante tedesco si è riunito per discutere di varie questione, tra le quali appunto il Privacy Shield. La valutazione dei Garanti nazionali poi confluirà nella valutazione del Gruppo Article 29 (WP29) che darà il parere definitivo, sebbene non vincolante. Nel documento del Garante tedesco, come si può vedere sul blog dell'avvocato Carlo Piltz, esperto di privacy, si legge che il Gruppo Article 29 non sarebbe in grado di raggiungere una conclusione definitiva sull'adeguatezza del Privacy Shield, ma che sarebbero necessari chiarimenti. La conclusione è che il Gruppo non può confermare che il Privacy Shield garantisca un livello di protezione equivalente a quello dell'Unione europea.
La particolarità è che il detto documento è sparito, dopo poco, dal sito del Garante tedesco, a conferma che non sarebbe altro che parte del documento finale del Gruppo Article 29.
Il Gruppo Article 29, a febbraio ha già chiarito che devono ricorrere quattro requisiti perché si possa ritenere che il Privacy Shield sia conforme alle norme europee:
1) il trattamento deve essere basato su regole chiare, precise e riconoscibili, cioè chiunque deve poter comprendere ciò che può accadere ai suoi dati se trasferiti;
2) occorre che la necessità e la proporzionalità relativamente ai legittimi obiettivi perseguiti sia dimostrata, occorre un equilibrio tra l’obiettivo per il quale i dati sono raccolti (sicurezza nazionale) e i diritti della persona;
3) deve esistere un ente indipendente, efficace e imparziale, per il controllo del trattamento, che può essere un giudice o un’autorità indipendente;
4) devono esistere rimedi effettivi che consentano agli individui di tutelare i proprio diritti dinanzi all’organismo indipendente.
Come precisato altrove, allo stato non sembra che i quattro requisiti siano rispettati, in particolare in relazione all’organismo indipendente che dovrebbe tutelare i diritti dei cittadini europei in caso di violazioni da parte delle aziende americane. Il Difensore civico europeo, infatti, dovrebbe interfacciarsi con l’FTC americana la quale ha poteri limitati in materia di privacy. La tutela sarebbe inefficace, e comunque limitata a meri ed eventuali risarcimenti.
Inoltre permane il problema della sorveglianza di massa, che continua ad essere una priorità per gli americani (basti vedere il recente Cyber Security Act che prevede il trasferimento segreto di dati dalle aziende del web al governo Usa) e che il Privacy Shield non sembra intaccare in nessun modo. La legislazione americana è estremamente carente in materia di privacy e tutela dei diritti umani, tendendo a far prevalere gli interessi generici dello Stato e dell’economia, per cui alcuni diritti (come appunto la privacy) finiscono per essere sacrificati, o sono visti quali mere limitazioni alle esigenze di sicurezza e di tutela del commercio.
Al momento, quindi, non solo il Garante tedesco sembra contrario al Privacy Shield, ma anche varie associazioni per i diritti civili, che hanno stilato un testo per chiedere che l’accordo sia rispedito al mittente.
Quello che occorre davvero è imporre agli Stati Uniti di modificare la sua legislazione includendo forme di tutela dei diritti umani equivalenti a quelle presenti nella normativa europea. Purtroppo con il Privacy Shield avremo un doppio binario, una tutela maggiorata per le imprese europee e una tutela decisamente più limitata per le imprese americane. Ciò da un lato comporta una violazione dei diritti degli europei, ma conferisce anche alle aziende americane un vantaggio competitivo.
Se la Commissione europea non riesce a capire quanto siano importanti i diritti dei cittadini, dovrebbe almeno rendersi conto del danno economico che il Privacy Shield determina per le imprese europee.