Il Privacy Shield è l’accordo UE-USA che (forse) consentirà alle aziende USA che vi aderiranno di trattare dati personali anche di cittadini europei, garantendo gli stessi standard di protezione previsti da questo lato dell’oceano. Ma la sua stipulazione e l’entrata in vigore nei prossimi giorni non risolvono i problemi strutturali del modo diverso di concepire privacy e trattamento di dati personali nei due Paesi. Dunque i problemi dello scambio intercontinentale di dati sono ben lungi dall’essere risolti.
La stipulazione del Privacy Shield è stata necessaria dopo che la Corte di giustizia europea aveva annulato il Safe Harbour, l’accordo che aveva la stessa identica funzione del Privacy Shield, ma che era stato ritenuto insufficiente a tutelare i cittadini europei dalle attività di spionaggio del governo statunitense.
Al di la dei contenuti che sono stati negoziati fra Unione Europea e Stati Uniti, tuttavia, il Privacy Shield è inutile e giuridicamente debole quanto il Safe Harbour e dunque non stupirebbe che facesse la stessa fine: annichilito da una sentenza della Corte, al primo ricorso di qualche attivista che non gradisce di essere oggetto delle attenzioni delle strutture di sicurezza americane.
Per capire il senso di questa affermazione, è bene ricordare il motivo per il quale la Corte europea ha annullato il Safe Harbour: la sua incapacità di proteggere dalla “intrusioni” delle strutture di intelligence i dati personali che i cittadini europei depositavano in server soggetti alla giurisdizione americana (nel caso specifico del ricorso, quelli di Facebook).
Il problema di questa sentenza è che applica la direttiva sul trattamento dei dati personali a un settore (quello della sicurezza nazionale) che è espressamente al di fuori del raggio di azione della direttiva stessa. Pretende di regolare la politica interna di uno Stato sovrano con uno strumento giuridico che, invece, era stato concepito per regolare il trattamento dei dati personali in ambito puramente civilistico. E inoltre, da un punto di vista tecnico, trascura il fatto che i powers-that-be hanno ben altri strumenti di controllo globale, rispetto al presentarsi a casa di Mr. SocialNetwork o Dr. SearchEngine per chiedere dati e informazioni.
Se questa, dunque, è la premessa, anche il Privacy Shield non potrà interferire con le attività informative dei servizi segreti americani e dunque si rivelerà sostanzialmente inutile rispetto agli obiettivi perseguiti dalla Corte europea.
Un altro elemento che vizia il Privacy Shield è il suo stesso nome.
Privacy e dati personali sono due ambiti parzialmente sovrapponibili ma non coincidenti. Ne è prova il testo della direttiva 95/46 che già poneva la privacy come presupposto del trattamento dei dati personali, concetto recepito e ribadito nel Regolamento generale sulla protezione dei dati personali che entrerà in vigore fra un paio d’anni. Dunque, il Privacy Shield non è uno scudo a difesa della privacy, ma “soltanto” del modo in cui vengono trattati i dati personali, nel ristretto ambito della protezione delle persone fisiche.
Questo modo superficiale di considerare privacy e dati personali come nozioni perfettamente intercambiabili, invece, ha creato una (errata) diffusa percezione che l’obiettivo del Privacy Shield sia, appunto, quello di proteggere un diritto assoluto cosa che, invece, non è vera.
Che valore ha, dunque, l’atto formale compiuto dalla Commissione Europea di pubblicare la adequacy decision che fissa al 1 agosto 2016 il termine a partire dal quale società e aziende americane potranno certificare la propria conformità al Privacy Shield direttamente presso lo US Department of Commerce?
In realtà nessuno, perchè prima del Safe Harbour, dopo il Safe Harbour, prima del Privacy Shield e dopo il Privacy Shield lo scambio di dati personali fra UE e USA non si è mai fermato e – realisticamente – non si fermerà mai. Checchè ne pensino la Commissione Europea e le autorità di protezione dei dati.
Questo mi ricorda un’aforisma di Winston Churchill a proposito dei cartelli “Vietato fumare”: Se due persone fumano sotto il cartello “vietato fumare” le sanzioni, se venti persone fumano sotto il cartello “vietato fumare” chiedi loro di spostarsi, se duecento persone fumano sotto il cartello ” vietato fumare” togli il cartello.
