Attenzione ai dati personali. Il Safe Harbor, il principio che permette alle aziende non europee di trattare i dati dei cittadini dell’Unione all’estero, sta per saltare: la Corte di Giustizia europea ha dato tempo fino al 31 gennaio per trovare una soluzione e poi sarà considerato non più valido. E i Garanti dei dati personali nei paesi dell’Unione potranno bloccare l’attività dei soggetti che, previa verifica, risulteranno non più a norma.
È un pasticcio in piena regola, perché la normativa, che nasce dalla direttiva 95/45 che da venti anni regola i dati in Europa, doveva essere cambiata e si sapeva. Ma i tempi della politica sono stati lunghi e a novembre la Corte di giustizia ha preso tutti in contropiede stabilendo il momento in cui sarebbe stato necessario avere una normativa alternativa, pena il blocco e altre sanzioni. Visto che l’80% del flusso di dati personali che esce dall’Ue va verso gli Stati Uniti questo vuol dire bloccare il cuore del commercio con gli Usa: dalle mail ai negozi di ecommerce, dai servizi digitali all’ultima delle registrazioni come ad esempio quelle dei social network. «Si sta lavorando all’accordo – dice l’avvocato Rocco Panetta, partner dello studio NCTM ed esperto di internet e nuove tecnologie – ma i tempi adesso sono veramente stretti».
Il punto è che la partita è molto complessa. Perché non riguarda solo il Safe Harbor, come si chiama la normativa che prevede la possibilità di muovere i dati verso spazi extracomunitari in modo semplificato, ma anche Schengen. E l’Autorità garante per la Privacy, Antonello Soro, ha ribadito oggi con una lettera al Presidente del Consiglio l’urgenza a fare presto e in particolare a Renzi di farsi portatore del problema in sede comunitaria.
«La premessa – dice Panetta – è che da venti anni a questa parte quando i dati vanno verso l’estero devono essere assistiti da alcuni meccanismi di tutela, perché all’estero, fuori cioè dalla Ue, sono considerati “non sicuri”». I meccanismi, sette requisiti per la safe circulation, sono stati scelti da 4.500 aziende che operano in Europa ma anche da altrettante aziende europee che operano all’estero e potrebbero avere server magari in centri di calcolo fuori dal territorio comunitario. Se una grande banca ha un sistema di backup localizzato in un’altra geografia, ad esempio negli Usa, deve anch’essa utilizzare il Safe harbor sennò scatta la sanzione o il blocco in caso di controllo (che è compito obbligatorio da parte del Garante), e adesso non basta neanche più.
«La sentenza della Corte – dice Panetta – dichiara che il meccanismo ha falle e quindi annulla la normativa costringendo gli stati a regolarizzarsi. Cambiare cioè la normativa. Ma questo ancora non è successo. Il termine per farlo è il 31 gennaio: se non succede, allora scatteranno sanzioni e blocchi nel corso dei controlli che per i garanti europei sono un obbligo amministrativo, cioè non sono facoltativi».
Il gruppo dei garanti europei, che è un organo riconosciuto e che fa da consigliere tecnico della Commissione, ha già ovviamente notificato più volte il problema. I tempi stanno andando avanti e, se la lancetta che toccherà la mezzanotte del 31 lo farà senza una soluzione, l’ecommerce e la vita digitale (e quindi sempre più quella fisica) di tutta Europa e degli Usa avranno un grosso problema.
«Non siamo arrivati a questo punto per pigrizia – spiega Panetta – ma perché la partita è molto ampia e complessa. La libera circolazione delle informazioni in Europa fa parte di Schengen. Rimettere in discussione l’accordo per via dei flussi migratori ha ricadute anche in quest’ambito. E la normativa che deve essere trovata ha quindi anche questo rilievo».
Il problema è che la soluzione al Safe harbor deve essere in armonia con il testo della bozza di regolamento sulla nuova normativa della protezione dei dati, che è stata approvata da un punto di vista politico lo scorso 15 dicembre ma non ancora sciolta completamente come bozza normativa. Qui entra in gioco la crisi dell’immigrazione e il nodo di Schengen. «Dal punto di vista tecnico – dice Panetta – è molto semplice: gli uffici tecnici hanno già capito, anche sulla base delle motivazioni della sentenza della Corte, come e dove intervenire sul testo. Il problema è tutto politico, in questa fase. Però se salta Schengen la prima cosa che si blocca alle frontiere non sono le persone o le merci, ma i dati personali. I problemi politici legati a questo passaggio sono enormi».
Ecco perché Soro è intervenuto per interessare il capo del Governo, chiedendogli di attivarsi con ancora più passione: «Attraverso la privacy – dice Panetta – passa anche il futuro dell’Europa e buona parte del suo rapporto con gli Stati Uniti». Tutti i garanti europei si sono attivati e adesso la partita sta diventando centrale. Anche il trattato intercontinentale per il libero scambio pesa in questa questione, ma solo marginalmente. «Il problema è politico e al centro c’è Schengen e la privacy”. Una soluzione deve arrivare presto perché l’orologio non si ferma.