Intervista all’Avv. Rocco Panetta, esperto di Internet, Privacy e Cybersecurity.
A cura di Antonello Salerno.
Stati Uniti ed Unione Europea alla prova del Privacy Shield
Trasferimenti all’estero di dati personali e Privacy Shield: finalmente è stato approvato ed entro l’estate diventerà operativo. Qual è il suo giudizio complessivo?
Si tratta di un buon accordo, il migliore possibile considerato il punto di partenza, ossia la sentenza della Corte di Giustizia che ha invalidato nel 2015 il precedente accordo chiamato Safe Harbor, e anche se paragonato alla versione precedentemente circolata ed inesorabilmente stroncata dalle Autorità garanti per la privacy di tutta Europa, il Privacy Shield oggi introduce significativi passi in avanti. Sono tanti i punti che rendono il Privacy Shield idoneo e compatibile con le regole europee sulla libera circolazione e protezione dei dati personali. Il successo dell’accordo, tuttavia, passerà attraverso la prova della sua implementazione soprattutto in America.
Mi preme tuttavia ricordare che oggi è stato anche più semplice scrivere regole più comprensibili e vicine al business. Sono passati diversi anni dalla negoziazione del Safe Harbor, tra la Commissione EU ed il Department of Commerce degli Usa. Il testo, peraltro, fu sostanzialmente scritto nel lontano 2000, in primis ad opera e dietro l’impulso dell’allora Presidente dell’Autorità Garante italiana per la privacy, Stefano Rodotà, all’epoca anche Presidente del Gruppo dei Garanti Europei (c.d. Gruppo Art. 29 della Direttiva 95/46/CE).
Gli Stati Uniti, ma anche gli Stati nazionali europei, non avevano ancora sviluppato la necessaria sensibilità per rendere l’accordo uno strumento vivo e utile. Col passare del tempo il Safe Harbor è diventato uno strumento obsoleto e triste, un semplice registro cieco e sordo ad ogni esigenza di tutela e privo di qualsiasi aggancio con la realtà dei flussi di dati, nel frattempo diventata profondamente diversa da quella inizialmente immaginata.
La nuova formulazione del Privacy Shield introduce i giusti anticorpi contro il rischio della precoce decadenza e dell’abbandono dell’accordo al suo destino. La previsione volta a verificare su base annuale i presupposti di aggiornamento dell’accordo è uno strumento di straordinaria potenza che responsabilizza gli attori sulle due sponde dell’Oceano e rilancia il dialogo su temi ineludibili, in continua mutazione, che riguardano la circolazione dei dati, lo sviluppo della rete, le opportunità che il digitale offre e gli stessi equilibri economici e sociali tra Usa e Ue.
Perché gli Usa sul fronte della circolazione dei dati e delle relative regole, comunemente note con il nome di “privacy”, sono considerati come un sorvegliato speciale in Europa?
La questione non è di facile ed immediata perimetrazione. Proviamo a dirla così: la disciplina europea sulla privacy protegge il dato, l’informazione personale, ergendolo a bene giuridico meritevole di tutela, in quanto elemento costitutivo della identità e della personalità di ogni individuo e pertanto tassello indispensabile a garantire il godimento dei diritti e di tutte le libertà fondamentali posti dalle carte costituzionali degli Stati nazionali, ma anche dalla Carta dei diritti fondamentali di Nizza, la Costituzione dell’Unione Europea.
Negli Usa, invece, il dato personale non assume tali caratteristiche. E’ un bene giuridicamente rilevante solo nella misura in cui esso può rappresentare oggetto di scambio, come qualunque altra merce. E come tale è trattato. Il dato personale in Europa è bene indisponibile, in Usa è oggi il motore dell’economia digitale e come tale è un bene disponibilissimo. Teniamo altresì in considerazione che all’epoca in cui la direttiva 95/46 fu adottata, gli Stati Uniti erano lontanissimi anche solo dal comprendere cosa significasse l’insieme di regole sulla c.d. privacy introdotte in Europa.
Erano quelli gli anni della rivoluzione delle dot.com, in cui vi era un’irresponsabile consapevolezza che la tecnologia si potesse autodisciplinare e che potesse risolvere ogni bisogno dell’uomo e della società, a prescindere dal diritto e dalle regole. Quel sistema crollò e fu travolto. Il risveglio, il giorno dopo il crollo di Wall Street, fu brusco e per anni il dialogo sulla privacy tra i due blocchi è proseguito sulla base di profonde incomprensioni e reciproche delegittimazioni.
Non sono lontani gli anni in cui i grandi protagonisti di Internet deridevano la privacy, considerandola un inutile orpello. Oggi lo scenario è sostanzialmente cambiato. Le grandi aziende americane come Microsoft, Intel o General Electric sono campioni della privacy. Investono nel settore della privacy compliance e nella cyersecurity più di ogni altro soggetto al mondo. Hanno inventato ruoli, istituti e figure oggi patrimonio del Gdpr (il regolamento europeo sulla privacy), come il Dpo (il data protection officer), la privacy by design e la privacy impact assessment.
Nonostante ciò, a causa della diversità di tutela del dato personale, gli Usa sono visti dal sistema europeo come un ambiente ostile, pericoloso e lo stesso trasferimento dei dati dall’Ue agli Usa è di per sé illecito in assenza di garanzie precise. Il Privacy Shield oggi dovrebbe rappresentare una di queste garanzie, andandosi ad unire alle Standard Contractual Clauses – che certamente saranno presto influenzate dai contenuti introdotti dal Privacy Shield – e alle Binding Corporate Rules, utili per i trasferimenti di dati extra Ue infragruppo.
A questo punto la strada delle relazioni Usa-Ue è in discesa: le regole della rete ne trarranno beneficio? Ci potrà essere un’accelerazione anche sul Ttip?
L’accordo del Privacy Shield è un esempio virtuoso di cooperazione, non facilmente riproducibile a tutti i livelli. Il Ttip tocca molti e diversi interessi e si inserisce in ambiti commerciali e produttivi tra i più vari e sensibili. Non vedo tuttavia un’immediata simmetria di approcci e di posizioni tra i due accordi.
Qual è invece la relazione tra il Privacy Shield e il voto nel Regno Unito che ha sancito la Brexit?
Con il voto britannico per il “leave”, ossia per l’uscita della Gran Bretagna dalla Ue, la circolazione dei dati tra i Paesi dell’Unione e il Regno Unito diventa tecnicamente identica a quella in essere tra i Paesi europei ed il resto del mondo. Pertanto per permettere una circolazione fluida e solida da un punto di vista legale, sarà necessario assistere i flussi di dati con strumenti quali le Standard Contractual Clauses o le Binding Corporate Rules. Sarà anche possibile aprire un negoziato per raggiungere uno status di sostanziale adeguamento, cosi come avviene già per la Svizzera e per gli altri Paesi dello Spazio Economico Europeo, come la Norvegia e l’Islanda. Non è neanche da escludersi un accordo ad hoc che metta in piedi una sorta di Privacy Shield per i flussi verso il Regno Unito. Tuttavia, per rispondere alla domanda, non vi è alcuna relazione tra il Privacy Shield appena approvato ed i rapporti tra Ue e Uk post Brexit, essendo esso stato approvato con riferimento esclusivo alle relazioni tra Usa e Ue senza alcuna possibilità di estensione ad altre giurisdizioni.
