La storia parte qualche anno fa, quando l’attivista austriaco Maximilian Schrems [1] inizia la sua protesta contro Facebook. Alla fine di settembre, l’Avvocato Generale della Corte di Giustizia dell’Unione Europea ha pubblicato le sue conclusioni relative al caso, chiedendo l’annullamento dell’accordo che permette il trasferimento dei dati personali dei cittadini dell’UE verso gli USA. Il successivo 6 ottobre la Corte di Giustizia ha fatto propria tale richiesta [2].
Dal 2000 esiste un accordo tra il Dipartimento del Commercio degli Stati Uniti e l’UE (e tra USA e Svizzera) conosciuto come “Safe harbor” (porto sicuro) che permette, alle imprese americane che vi aderiscono, di acquisire e trattare i dati personali che vengono a loro forniti dai cittadini del vecchio continente. Senza entrare troppo nei dettagli questo accordo dovrebbe garantire che i dati in questione vengano usati in conformità alle direttive europee riguardanti la riservatezza, nella convinzione che queste norme siano maggiormente rispettose di quelle in vigore dall’altra parte dell’Oceano.
La decisione della Corte ha, in pratica, invalidato l’accordo e stabilito che le strutture giudiziarie dei singoli paesi europei possono legittimamente valutare – caso per caso – se le misure adottate da una impresa extra-europea per la protezione dei dati personali sono conformi o meno a quelle alle quali ha diritto un loro cittadino.
Come spesso accade, quando le sentenze giudiziarie riguardano argomenti vicini alla comunicazione elettronica, la faccenda è più intricata di quello che sembra. Sia perché il funzionamento di computer e reti sfuggono per la loro natura alla giurisprudenza classica, sia perché i problemi che si trovano ad affrontare oggi i legislatori quando si occupano del settore informatico hanno molto raramente il conforto di precedenti ai quali fare riferimento.
Quando ci registriamo per usare o acquistare un qualsiasi servizio su Internet, da una banale casella di posta elettronica a un intero server a nostra completa disposizione, forniamo i nostri dati personali che vengono trattati (almeno in teoria) in base alle leggi vigenti. Già a questo punto sorge la prima domanda. Quali leggi? Quelle del computer dove i nostri dati sono conservati, quelle del paese dove viviamo o quelle dove ha sede la società che ci fornisce il servizio? E visto che questi dati, che per la loro natura possono anche essere conservati in diversi paesi contemporaneamente, di quali leggi stiamo parlando?
La cosa si complica visto che, come è noto, i Big della Rete hanno un enorme numero di server a disposizione [3] che sono sparsi, per ovvie ragioni, in tutto il mondo, Europa e USA compresi, il che a volte rende decisamente problematico capire dove sono finiti i nostri dati o dove finiranno tra un secondo. Resta il fatto che, una volta che abbiamo fornito dati personali non sapremo mai veramente l’uso che ne verrà fatto e questo, in alcuni casi, può essere un problema anche grosso, anche se non sempre pubblicizzato. Per esempio molto poco scalpore ha sollevato, lo scorso anno, la notizia che molte Università italiane stanno affidando alcuni o tutti i loro servizi di comunicazione elettronica a Google [4] con tutto quello che comporta trasferire una enorme massa di dati personali e di contenuti a una impresa solo perché ti promette di lavorare gratis.
In questo scenario, già abbastanza ingarbugliato, ha fatto irruzione negli ultimi anni la consapevolezza che tutti gli Stati, attraverso le loro propaggini poliziesche, impegnano enormi quantità di risorse per spiare i loro cittadini, a prescindere dall’esistenza di qualsiasi accordo o norma di legge, buoni solo per contentare coloro che ancora si ostinano a credere che sia possibile percorrere la via delle riforme per giungere ad una migliore organizzazione sociale. La pagliacciata sulla riservatezza dei dati che è andata in scena rivela quanto sia fallimentare confidare nelle istituzioni che da una parte giurano di voler difendere certi valori e dall’altra sono tra i mandanti di tutte le loro violazioni. Come si può leggere sulle pagine del sito ufficiale, dopo l’annuncio dell’annullamento dell’accordo: “Nell’attuale scenario in rapido cambiamento il Dipartimento del Commercio continuerà a gestire il programma Safe Harbor […]. Se avete domande, vi preghiamo di contattare la Commissione Europea, l’appropriata autorità di protezione dei dati nazionali europea, o un consulente legale.” [5]
Benvenuti nel porto, sicuramente insicuro.
Pepsy
Riferimenti
[1] https://en.wikipedia.org/wiki/Max_Schrems
[2] http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf
[3] Non esistono dati ufficiali ma si trovano stime come questa http://www.cryonie.com/en/web/servers.php
[4] Una discussione sull’argomento qui http://server-nexa.polito.it/pipermail/nexa/2014-July/007753.html
[5] http://www.export.gov/safeharbor/
