Unione Europea e Stati Uniti hanno intrapreso un nuovo percorso verso quello che sarà il nuovo Privacy Shield, ovvero lo “scudo per la privacy” atto ad assicurare un transito di dati oltreoceano che abbia al centro la sicurezza dei cittadini e la tutela dei loro dati personali.
Infatti, in questi giorni è stato pubblicato il nuovo ordine esecutivo dell’amministrazione Biden pensato come risposta alle preoccupazioni europee sulle pratiche di sorveglianza di massa messe in atto dal governo degli Stati Uniti, e che hanno coinvolto anche cittadini europei.
Ma perché un nuovo Privacy Shield? Cosa dobbiamo aspettarci dal nuovo accordo UE-USA?
Infatti, in questi giorni è stato pubblicato il nuovo ordine esecutivo dell’amministrazione Biden pensato come risposta alle preoccupazioni europee sulle pratiche di sorveglianza di massa messe in atto dal governo degli Stati Uniti, e che hanno coinvolto anche cittadini europei.
Ma perché un nuovo Privacy Shield? Cosa dobbiamo aspettarci dal nuovo accordo UE-USA?
PRIVACY SHIELD: UN PO’ DI STORIA
Lo scambio di dati tra una sponda e l’altra dell’oceano Atlantico rappresenta un fattore critico per gli oltre 7,1 trilioni di dollari di relazioni commerciali transatlantiche tra Unione Europea e Stati Uniti.
Due partner molto diversi per quanto riguarda la normativa sulla privacy:
- l’UE ha un approccio alla tutela generalista, e considera i dati personali come un diritto inviolabile dell’uomo; in UE la raccolta di informazioni personali necessita del consenso degli utenti;
- gli Stati Uniti, invece, hanno un approccio di tipo utilitaristico, e vedono i dati personali come un vero e proprio oggetto di scambio commerciale; la tutela riguarda invece solamente il loro utilizzo, lasciando quindi spazio a una raccolta indiscriminata.
Inoltre, l’intelligence americana basa le proprie attività di sorveglianza di massa sull’acquisizione di dati appartenenti a tutti coloro che operano sul mercato statunitense, indipendentemente che siano o meno cittadini americani.
Una pratica in netto contrasto con il Regolamento generale sulla protezione dei dati (GDPR) Europeo, che impone invece che nessuna organizzazione possa trasferire dati personali verso un paese terzo senza un accordo internazionale.
Per assicurare un canale commerciale tra le due potenze, in un’economia che nel prossimo decennio si baserà per il 70% su piattaforme digitali e di e-commerce, la Commissione Europea e lo US Department of Commerce avevano già siglato nel 2000 il Safe Harbor Framework, ovvero un primo scudo per la privacy.
L’obiettivo era quello di colmare i divari nella salvaguardia dei cittadini europei che intraprendevano rapporti commerciali o lavorativi con imprese statunitensi.
Aziende che potevano decidere se aderire al Safe Harbor oppure se riformare autonomamente il proprio sistema di tutela della privacy dei consumatori.
Indipendentemente dalla scelta, l’UE imponeva comunque ai propri partner commerciali le misure previste nel Safe Harbor come necessarie ed imprescindibili.
Pena l’esclusione dal mercato europeo.
Ma quali sono queste misure?
Innanzitutto, gli enti dovevano garantire che i dati dei consumatori fossero conservati in modo sicuro e criptato.
Le aziende avevano poi l’obbligo di informarli riguardo all’obiettivo per cui le informazioni personali venivano raccolte e utilizzate; alle modalità con cui contattarle in caso di domande o contestazioni; a quali terze parti avrebbero potuto cedere i dati; e, infine, alle modalità per limitare l’utilizzo dei propri dati personali.
SNOWDEN E LA SORVEGLIANZA DI MASSA
Fu l’inizio del fallimento dei negoziati UE-USA per uno scudo sulla privacy e la fine del Safe Harbor.
Il Parlamento Europeo dichiarò che la fiducia tra i due partner transatlantici aveva profondamente vacillato e che avrebbe bloccato ogni accordo commerciale futuro con gli Stati Uniti finché il governo USA non avesse abbandonato le pratiche di sorveglianza di massa che coinvolgevano i cittadini europei.
Nel febbraio 2016 vide poi la luce il Privacy Shield.
Questo nuovo patto tra UE e Stati Uniti sanciva la volontà USA di mantenere i propri rapporti commerciali con l’Europa e conformarsi ai requisiti posti come necessari.
Il Privacy Shield non era nulla di differente dal suo predecessore Safe Harbor, se non per una clausola fondamentale: il governo statunitense poteva utilizzare i dati di cittadini europei per le sue pratiche di sorveglianza solamente nel caso di rischio conclamato di attacchi terroristici, pericolo di spionaggio, utilizzo di armi di distruzioni di massa, e minaccia alla sicurezza nazionale
Quando sembrava che il Privacy Shield avesse risolto le divergenze tra Washington e Bruxelles, il divario divenne però più ampio che mai.
Nel luglio 2020 infatti, il Privacy Shield subì la stessa sorte del suo predecessore, venendo invalidato dalla Corte Europea.
Il motivo?
Di nuovo le attività di sorveglianza governativa statunitense.
Secondo l’UE, infatti, gli Stati Uniti non avevano imposto limiti sufficienti alle proprie pratiche e non avevano garantito adeguate protezioni ai cittadini europei.
UN PRIVACY SHIELD 2.0 È FONDAMENTALE
Sono passati ormai due anni da quanto il Privacy Shield è stato invalidato, e raggiungere un accordo è però più necessario che mai.
La decisione presa dall’UE nel 2020 ha infatti avuto impatti sostanziali su migliaia di aziende che si basavano su di esso per trasferire legalmente grandi quantità di informazioni oltreoceano.
E’ vero che le imprese raccolgono e analizzano i dati personali dei consumatori per capirne le preferenze di acquisto e adattare i propri servizi e prodotti in modo da rispondere alla domanda di mercato.
Ma questi dati rappresentano solo una parte di quelli scambiati ogni giorno tra le due sponde dell’Atlantico.
Una grande quantità è infatti utilizzata invece per monitorare i propri sistemi di produzione, le catene di fornitura e la forza lavoro.
E queste informazioni sono scambiate tra le diverse filiali sulle due sponde dell’atlantico e in tutto il resto del mondo.
Nel 2020, 5.211 aziende avevano infatti sottoscritto il Privacy Shield.
Di queste, 1.500 lo utilizzavano come strumento normativo per trasferire dati riguardati il personale.
Nel settembre 2019, lo US Department of Commerce ha infatti riportato che più del 70% delle aziende che lo avevano sottoscritto appartenevano a questa categoria.
Un dato in contrasto con la concezione popolare, secondo cui l’utilizzo dei big data sia soprattutto appannaggio di giganti tecnologici come Google o Meta.
Inoltre, i soggetti che hanno sottoscritto il Privacy Shield non sono solamente statunitensi, ma anche Europei e Asiatici, come Aldi (Germania), Barilla (Italia), Lidl (Germania), Siemens (Germania), e Shiseido (Giappone).
Queste aziende si trovano così attualmente in una situazione di profonda incertezza.
Un contesto legale chiaro, stabile e accessibile per la protezione della privacy è fondamentale per rendere le PMI parte del commercio transatlantico, in quanto queste realtà non hanno le risorse e l’expertise necessario per investire in meccanismi legali più costosi e complessi.
I costi annuali di sottoscrizione del Privacy Shield erano infatti commisurati al fatturato delle aziende e partivano da 250 dollari per le microimprese, rendendolo uno strumento semplice, chiaro e soprattutto conveniente per un’ampia gamma di soggetti minori.
Senza un accordo internazionale come questo, sarà sempre più costoso e complesso scambiare legalmente dati oltreoceano e salvaguardare la privacy dei cittadini.
Per le PMI l’aumento di costi legato alla necessità di conformarsi ad un sistema legale complesso ed in continuo cambiamento potrebbe addirittura rappresentare un ostacolo insormontabile, escludendole dal commercio internazionale.
COSA ASPETTARCI PER I PROSSIMI MESI
Per il momento le dichiarazioni di Biden e della Von der Leyen sono entusiastiche.
Il Presidente degli Stati Uniti ha dichiarato che il nuovo accordo, firmato il 25 marzo, “promuoverà la crescita e l’innovazione in Europa e negli Stati Uniti e aiuterà le aziende a competere nell’economia digitale”, mentre la Presidente dell’Unione Europea ha sottolineato la salvaguardia della privacy e delle libertà civili fondamentali.
Entusiasmo c’è stato anche da parte delle Big Tech, Meta in testa, per ovvi motivi di carattere commerciale, mentre è stata a dir poco tiepida la reazione di Max Schrems, l’avvocato e attivista della privacy al cui nome si ispirano le due più importanti sentenze emesse dalla Corte di Giustizia Europea riguardanti la materia della protezione dei dati e del trasferimento dei dati all’estero, ovvero la Schrems I, del 2015, che ha invalidato l’accordo Safe Harbor, e la Schrems II, nel 2020, che ha annullato il Privacy Shield, rendendo di fatto gli Stati Uniti un “paese pericoloso” per quanto riguarda il trattamento dei dati personali.
L’avvocato Schrems ha twittato il suo scetticismo, sottolineando come gli Stati Uniti non intendano attuare alcuna riforma fondamentale per quanto riguarda l’approccio ed i principi fondamentali sottesi al trattamento dei dati e scommettendo che il nuovo testo fallirà di nuovo.
Schrems ha inoltre già promesso battaglia, sostenendo che adirà nuovamente la Corte di Giustizia Europea con una causa civile ed un’ingiunzione preliminare, per invitare la Corte a pronunciarsi una terza volta qualora l’accordo non rispetti i diritti fondamentali già garantiti ai cittadini europei con il GDPR (Reg. UE 679/2016).
Tutti coloro che si occupano della materia trovano encomiabile l’opera svolta da Scherms intesa alla divulgazione della cultura della privacy, alla sensibilizzazione ed alla risoluzione di problematiche giuridiche di ampia portata, come dimostrano infatti le due sentenze ottenute dalla Corte di Giustizia.
Tuttavia, la storia ci ha insegnato a caro prezzo che la “guerra preventiva” è poco utile e spesso si risolve con un gran massacro di civili, che in questo caso metaforico sarebbero i diritti civili calpestati.
Quindi attendiamo il testo dell’accordo per il trasferimento dei dati tra USA e UE, consapevoli che si tratta di un passo fondamentale per la tutela dei singoli e per il business delle aziende, da cui non solo i colossi come Meta, ma anche le piccole realtà potranno beneficiare, per ritagliarsi il proprio spazio nella corsa al digitale ed al dominio dei dati che sempre di più sta caratterizzando il tempo in cui viviamo.
Hai bisogno di altre informazioni o di un aiuto per gestire la compliance al GDPR nell’uso dei dati per la tua attività?
Scrivici all’indirizzo info@abinnovationconsulting.com.