Il percorso del Privacy Shield appare sempre più irto di ostacoli. Dopo l'annuncio della Commissione europea i Garanti europei si sono espressi negativamente esplicitando numerosi dubbi. Fermo restando che l'opinione dei Garanti, tramite il Gruppo di Lavoro Articolo 29, non è vincolante, per cui la Commissione potrebbe comunque decidere di procedere ugualmente, allo stato appare piuttosto difficile l'approvazione di questo accordo.
In effetti le preoccupazioni sono molteplici, e anche le associazioni per la tutela dei diritti umani hanno evidenziato come il Privacy Shield potrebbe porre a rischio la fiducia nell'economia digitale e perpetuare violazioni dei diritti umani.
In realtà il Privacy Shield non è altro che una diversa veste della precedente decisione Safe Harbour, e in tal senso autorizza la raccolta e la conservazione dei dati personali anche in contrasto con quanto asserito dalla sentenza della Corte di Giustizia europea del 6 ottobre che ha invalidato il Safe Harbour. Il Privacy Shield, infatti, si appoggia ai medesimi principi del Safe Harbour, mutuandone addirittura la terminologia.
Finalità
La finalità è l’elemento portante della normativa europea in materia di trattamento dei dati, e si prevede che essa debba essere specifica, esplicita e legittima.
Nel Privacy Shield di fatto non esiste una specifica finalità, ma si autorizza il trattamento dei dati per qualsiasi tipo di motivo, utilizzando una terminologia eccessivamente generica, così giustificando praticamente qualsiasi tipo di trattamento, come ad esempio: “we use all of the information we have to help us provide and support our services” (Facebook).
Non solo. Il Privacy Shield include una esenzione generale nei casi di conflitto con le norme americane: “Adherence to these principles may be limited: (a) to the extent necessary to meet national security, public interest, or law enforcement requirements; (b) by statute, government regulation, or case law that creates conficting obligations or explicit authorizations”.
Raccolta indiscriminata
Le recenti modifiche normative americane e in particolare la direttiva presidenziale americana PPD-28, pur imponendo dei limiti all'utilizzo dei dati raccolti da persone non americane, non limita in alcun modo la raccolta di massa. In effetti negli Usa vi è una differente prospettiva, in base alla quale la raccolta (collection) e la conservazione di dati non è trattamento di dati, almeno fino a quando questi dati non vengono effettivamente letti ed utilizzati.
È importante comprendere che la legge americana non prevede come obiettivi i singoli sospetti, bensì “foreign intelligence information”, senza alcuna differenziazione in base al chi o al dove si trovano le informazioni. Le limitazioni (targeting) agiscono quale filtro nell’utilizzo delle informazioni, ma non in fase di raccolta.
In tal senso raccogliere dati per conservarli (che per noi europei è trattamento -processing-), al fine di utilizzarli in una fase successiva di indagine, così cercando tra i dati raccolti indiscriminatamente (bulk collection) solo quei dati che occorrono per l'indagine (ad esempio un agente utilizza un apposito “selector” -come un indirizzo mail oppure un numero di telefono- per cercare tra i dati raccolti e conservati), mentre per noi europei è sorveglianza di massa, quindi illecita, per gli americani è sorveglianza mirata (targeted).
La documentazione sul Privacy Shield richiama il PPD-28 evidenziando che esso limita l'utilizzo dei dati raccolti a soli sei specifiche ipotesi (“provide that signals intelligence collected in bulk can only be used for six specific purposes”): spionaggio, minacce terroristiche, armi di distruzione di massa, cyberminacce, minacce alle forze armate Usa, reati finanziari e evasione fiscale. Si tratta, come si può vedere, di ipotesi eccessivamente ampie e generiche
La direttiva americana, quindi, fa riferimento a limitazioni per l’uso di dati raccolti “in bulk”, cioè appunto raccolta di massa, così autorizzando una generale raccolta di dati personali, in maniera non conforme alla sentenza della CGUE.
A conferma di ciò le limitazioni contenute nella sezione 2 non si applicano ai dati “temporarily acquired to facilitate targeted collection” (nota 5). Cioè le restrizioni all’uso dei dati raccolti “in bulk” non si applicano ai dati conservati, per un periodo di tempo non specificato, ai fini di consentire la sorveglianza mirata.
Interferenza strettamente necessaria
La normativa europea come interpretata dalla CEDU e dalla CGUE prevede che l’interferenza con il diritto alla privacy (la raccolta, conservazione o utilizzo dei dati) sia strettamente necessaria per la salvaguardia delle istituzioni democratiche e per ottenere informazioni essenziali alla singola operazione.
Il Privacy Shield, invece, prevede soltanto che l’attività sia “tailored as feasible and reasonable” (possibile e ragionevole) e quindi indebolisce notevolmente i requisiti richiesti dalle norme europee per attuare una misura di sorveglianza.
Conservazione dei dati
Il Privacy Shield non richiede alcuna valutazione sulla necessità e la proporzionalità per conservare dati personali. La direttiva presidenziale americana PPD-28 prevede per la prima volta un termine alla conservazione dei dati: cinque anni. Ma la conservazione è comunque possibile oltre i termini se i dati sono rilevanti oppure se la conservazione è nell’interesse della sicurezza nazionale.
Infine, la cancellazione dei dati è prevista per le informazioni solo nella sua forma originale, mentre le agenzie americane, e in particolare l’NSA, trattano i dati modificandone la forma (in genere cifrandoli) e, secondo l’NSA stessa, l’obbligo di cancellazione non si applica al prodotto di lavorazione dell’agenzia.
Notifica
Per coprire le evidenti carenze il Privacy Shield introduce il sistema “notice and choice”, in pratica un sistema di notifica del trattamento, al fine di consentire agli interessati di opporsi al trattamento medesimo. In pratica una sorta di opt-out.
In realtà il sistema è insufficiente, in quanto l’interessato può opporsi solo in due ipotesi di trattamento (divulgazione e cambio di finalità). A ciò si deve aggiungere la previsione di finalità eccessivamente generiche, che di fatto rendono inutile una modifica della finalità del trattamento.
Libertà di espressione
Il Privacy Shield prevede l’eccezione giornalistica, che in sostanza è l’attuazione del diritto all’oblio di previsione giurisprudenziale (Corte di Giustizia europea). In realtà ogni azienda americana potrà tranquillamente disattendere tale diritto dichiarando di avvalersi della libertà di espressione come prevista dal Primo Emendamento, e in tal senso potrà divulgare tranquillamente dati personali degli europei.
Rimedi legali
La normativa europea obbliga a prevedere rimedi legali per i cittadini, in modo che possano tutelare i propri diritti ottenendo la rettifica o la cancellazione dei dati raccolti o detenuti.
Il Privacy Shield instaura un sistema eccessivamente complesso, che prevede ben 7 modalità di tutela che, a ben vedere, sembrano soltanto rendere più difficile per i cittadini europei ottenere tutela.
Ad esempio, si prevede il ricorso a enti di ADR che in realtà non hanno veri poteri ispettivi. Un’altra forma di tutela si ha tramite il Dipartimento del Commercio, il cui unico potere appare quello di cancellare dall’elenco degli aderenti l’azienda trovata a violare ripetutamente gli obblighi del Privacy Shield.
La Federal Trade Commission ha effettivi poteri di indagine, ma si occupa di commercio e non ha una effettiva competenza in materia di diritti umani. L’FTC, quindi, tende a considerare il diritto alla privacy come un limite alla libertà di commercio delle aziende e niente più.
Ancora, il Privacy Shield prevede la figura dell’Ombudsman (difensore civico), designato dal Segretario di Stato, e che è inquadrato all’interno del Dipartimento di Stato americano (che si occupa degli affari esteri). Di fatto l’Ombudsman (Catherine Novelli) manca di indipendenza rispetto all’esecutivo. Inoltre appare avere poteri estremamente limitati. Le informazioni che l’Ombudsman potrà fornire in risposta ai reclami appaiono decisamente carenti, infatti non potrà mai confermare né negare se il cittadino europeo è stato effettivamente soggetto a sorveglianza, né potrà confermare lo specifico rimedio applicato al caso. In ogni caso un cittadino europeo non potrà rivolgersi direttamente all’Ombudsman, ma dovrà prima passare per i Garanti europei, che poterebbero anche non girare il reclamo all’Ombudsman.
E infine occorre ricordare che la Costituzione americana non si applica ai soggetti non americani, che si ritrovano, quindi, ad avere una tutela decisamente limitata.
Clicca per caricare il video. Alcuni dati potrebbero essere inviati a YouTube. Leggi l'informativa Privacy
Conclusioni
La bulk collection è una raccolta indiscriminata di dati, e per questo è considerata una inammissibile interferenza con i diritti fondamentali dei cittadini, come sancito anche da recenti sentenze della Corte dei diritti dell’uomo. Secondo la CEDU la sorveglianza deve essere mirata, e l’ordine di autorizzazione deve identificare specificamente gli obiettivi dell’intercettazione, siano essi indicati tramite nomi, indirizzi, numeri telefonici o altre informazioni determinate. Anche la semplice possibilità che le informazioni siano intercettate costituisce interferenza con la privacy. Si tratta, evidentemente, di una prospettiva completamente diversa rispetto a quella americana, per cui fin quando si avrà un avvicinamento tra le differenti terminologie sarà difficile conformare le regole americane e quelle europee.
Appare quindi ovvio che il Privacy Shield finisce per minare profondamente la tutela dei diritti dei cittadini europei nel momento in cui consente alle aziende e agenzie americane di trattare i dati degli europei in base a standard non conformi alla legislazione europea. Con l’attuazione del Privacy Shield il sistema di tutela americano sarà di sicuro non equivalente a quello europeo.
E questo proprio quando l’Europa si avvia ad attuare la riforma della normativa sulla protezione dei dati (GDPR) che inevitabilmente aumenterà il livello di protezione previsto in Europa.
L’argomentazione principale degli americani a giustificare tale stato di cose deriva dalla considerazione che alcuni Stati europei hanno un sistema di sorveglianza molto simile a quello americano, come ad esempio il Regno Unito, ma anche Francia e Germania. In tal senso, quindi, il sistema americano potrebbe essere considerato “equivalente” a quello europeo. In realtà tali sistemi di sorveglianza difficilmente supererebbero una pronuncia della Corte di Giustizia europea, anche se è vero che l’Unione Europea non ha giurisdizione sulla sicurezza nazionale.
In ogni caso, non è affatto vero che “le regole previste dagli Usa sono designate a limitare ogni interferenza per finalità di sicurezza nazionale, ai casi in cui sia strettamente necessario per raggiungere un legittimo obiettivo”, come asserisce la Commissione europea nel considerando 75 del testo.
Negli Usa le misure di sorveglianza sono ammesse per svariati scopi dai contorni assolutamente generici, come “la conduzione di affari esteri” o “minacce penali internazionali”. Gli Usa ammettono una raccolta indiscriminata non solo dei metadati ma anche dei contenuti (testo delle mail), che vengono raccolti e conservati per tempi indefiniti, anche oltre i cinque anni, fino a che qualcuno non effettua una ricerca nei dati tramite un filtro che non necessariamente è una singola persona. l’utilizzo dei dati selezionati in base al filtro è consentito in una serie di ipotesi anch’esse estremamente vaghe.
