Negli ultimi mesi Brexit e crisi bancaria hanno catalizzato gran parte dell’attenzione del pubblico europeo, relegando in secondo piano l’accordo raggiunto tra Bruxelles e Washington noto come Privacy Shield. Un occasione perduta vista l’importanza di un trattato nel quale si stabiliscono i criteri con cui sarà regolamentato il trasferimento di dati personali verso gli Stati Uniti e che consente di superare il vuoto legislativo determinato dalla decisione della Corte di Giustizia di invalidare Safe Harbor, l’accordo precedente, giudicato insufficiente e poco garantista di fronte all’intrusività dello spionaggio di massa operato dall’intelligence statunitense.
In estrema sintesi, l’intesa nasce per garantire che i dati degli europei godano di un livello di protezione della privacy paragonabile a quello europeo anche quando vengono trasferiti nei server di proprietà USA dislocati in giro per il mondo. Dovremmo dunque rallegrarci del fatto che nel giro di un anno si sia colmato un vuoto legislativo reclamato soprattutto dai giganti del web. In realtà l’accordo lascia aperte molte questioni. Dopo l’annuncio della chiusura del primo round negoziale tra Bruxelles e Washington, il Garante europeo aveva espresso più di una riserva sul Privacy Shield, a suo parere non abbastanza robusto in termini di garanzie e controlli per reggere al vaglio della Corte di giustizia, sollecitando l’intervento della Commissione perché apportasse “miglioramenti significativi” al trattato. Il Working Party, un organismo consulente di cui fa parte anche il Garante dei dati, ha pubblicato un parere in cui vengono sottolineati i difetti nel nuovo accordo e individua sei eccezioni, ai sensi del diritto statunitense, che consentirebbero alle autorità di raccogliere in alcune circostanze dati personali in massa.
Il Parlamento europeo con una risoluzione approvata lo scorso maggio con 501 voti favorevoli su 651, ha espresso preoccupazione per le vistose carenze nell’impianto proposto dalla Commissione, soffermandosi in particolare sull’accesso alle informazioni da parte di forze di polizia e spionaggio e sulla possibilità di raccogliere una quantità di dati abnorme rispetto ai criteri di necessità e proporzionalità sanciti dalla Carta UE dei diritti fondamentali. Inoltre, riguardo al ruolo dell’Ombudsman, il garante dei diritti dei cittadini europei, interno al dipartimento di Stato americano, gli eurodeputati ritenevano questa figura non sufficientemente indipendente, nè dotata di poteri adeguati per esercitare in modo efficace le proprie funzioni. Gli europarlamentari concludevano la loro disamina con la richiesta di rendere più semplice ed efficace la procedura per fare ricorso. Lo stesso voto finale in Commissione ha registrato quattro astensioni. Con Austria e Slovenia molto critiche circa la capacità del patto di assicurare una sufficiente protezione della privacy ai propri cittadini.
Sulla carta le società USA dovranno assumere specifici obblighi in relazione alle modalità di trattamento dei dati. L’accordo per esempio prevede il loro impegno, in alcuni casi, ad agire in conformità con le decisioni prese dalle Autorità garanti dei singoli stati membri, affidandone però il controllo alla Federal Trade Commission, inadempiente durante gli oltre quindici anni di validità del Safe Harbor e sul cui operato l’UE non può intervenire per sanzionarne eventuali inadempienze. Il trattato contempla la possibilità per i cittadini di sporgere reclamo all’azienda che ha l’obbligo di esaminare eventuali violazioni entro il termine massimo di 45 giorni, affidando al Garante nazionale il ruolo di supervisore della corretta presa in carico dei ricorsi. Pur con questi vincoli però rimane forte il sospetto che le restrizioni all’uso improprio dei dati siano facilmente raggirabili da parte dei colossi USA dell’hi-tech. Mentre per quanto riguarda il rischio, tuttora concreto di sorveglianza di massa, la Commissione ha ottenuto solo una garanzia scritta che impegna gli Stati Uniti a fare in modo che tutti i diritti di accesso ai nostri dati saranno soggetti a restrizioni e garanzie. Ma in caso di violazioni la sola strada percorribile sarà quella di rivolgersi all’Ombudsman, figura i cui effettivi poteri restano avvolti nell’incertezza.
E’ senz’altro vero che gli interessi in ballo sono enormi e che l’eventuale sospensione del trattato non sarebbe indolore per i vari Facebook e Amazon; ma che l’accordo in sé disponga di meccanismi tali da assicurare che gli impegni verranno onorati, rimane alquanto dubbio. Lo spionaggio USA ha già dato prova di totale disinteresse delle ragioni del business. Ed è difficile credere che un apparato così esteso e quasi privo di contrappesi anche al proprio interno, possa sentirsi minacciato da armi così spuntate. Gli impegni potrebbero essere disattesi in qualsiasi momento e come unica via di fuga rimarrebbe solo la sospensione dell’accordo.
Gli elementi per cedere alla tentazione di lasciarsi andare a invettive e recriminazioni ci sono tutti. In realtà, è adesso che si rende opportuno pretendere dalla UE un controllo fattivo sull’accordo. Ammesso che possa reggere al vaglio della Corte di Giustizia, il trattato rappresenta un’occasione irripetibile di riscatto di fronte alle opinioni pubbliche. La Commissione, verificando in modo puntuale che quanto negoziato aderisce alle esigenze di cittadini e imprese, ha una chance importante per riguadagnare almeno parte della fiducia persa per strada negli ultimi anni. Un modo, anche questo, per scongiurare altre exit dopo quella britannica.