Safe harbouring: la giustizia europea interviene quando la politica dell’Unione si addormenta

E’ il 21 ottobre 2015 e, in un mondo arido, a volte illegale e di sicuro complicato, a volte succede anche qualcosa che – fino a pochi mesi fa – nessuno sano di mente avrebbe lontanamente immaginato. In un post sul blog aziendale, infatti, Brad Smith, presidente di Microsoft e capo dell’ufficio legale della società fondata da Bill Gates ha riconosciuto che i dati personali dei cittadini dell’Unione europea devono gestiti secondo le leggi dell’Unione europea così da non violare i diritti di nessuno.

La notizia potrebbe essere meramente tecnica, ma viene dopo una sentenza senza precedenti della Corte di Giustizia dell’Unione europea. Il massimo organismo giurisdizionale dell’Ue ha, infatti, deciso, lo scorso 6 ottobre, come – dal punto di vista dell’Unione europea – il trasferimento di dati personali dall’Unione  agli Stati Uniti sia – al momento – illegale, data la scarsa protezione di cui godono i dati personali oltreoceano.

Questa decisione nasce da una causa intentata da un cittadino austriaco, studente di legge, che ha portato in tribunale Facebook esattamente per chiarire i termini del trattamento dei dati personali, una volta che hanno varcato i confini dell’Unione verso gli Stati Uniti. Il cittadino austriaco si chiama Max Scrhems e ha presentato, in Irlanda deve la sussidiaria europea di Facebook ha sede,  una causa contro il social network dopo le rivelazioni di Edward Snowden sulle malefatte della NSA. La causa ha fatto la sua strada verso la Corte di Giustizia dell’Unione europea che ha preso la decisione che stiamo discutendo.

La conseguenza pratica della decisione degli euro-giudici – anche se l’implementazione della sentenza dovrebbe essere lasciata ai singoli stati membri – è che Facebook e gli altri operatori dovrebbero smettere di utilizzare la pratica del cosiddetto safe harboring dei dati personali, lasciandoli entro server all’interno dei singoli stati membri.

Questa decisione da parte della Corte di Giustizia ha lasciato sgomente alcune anche tra le menti più brillanti dell’Internet nostrana. Prima di congelare il suo profilo Facebook, Vittorio Zambardino (tra le tante cose uno dei fondatori di Repubblica.it) ha scritto che si trattava di un arbitrio, di una messa in scacco dell’autoregolamentazione di Internet.

Ad interessare, nella riflessione sul safe harbouring e sulla gestione dei dati personali, sono almeno due aspetti: la spregiudicatezza americana subito dopo l’11 settembre e l’assenza della politica europea che non è stata capace, in quindici anni, di porsi – almeno – la domanda se, mutate le condizioni di contesto, era ancora accettabile che i dati personali di cittadini dell’Unione europea finissero – come abbiamo scoperto – direttamente in pasto agli analisti del governo americano.

In un articolo precedente scrivevo che a volte si ha come l’impressione che le grandi società che offrono servizi come quelli di social network facciano un po’ come vogliono, arrivando a costituire, con i loro termini di servizio quasi un framework giuridico parallelo a quello ufficiale.

Con la nuova sentenza della Corte di Giustizia dell’Ue, forse, abbiamo raggiunto un momento di rottura: in altre parole, i giudici dell’Unione hanno deciso di rovinare una festa che andava avanti da quando i social network sono arrivati in Europa e che esponeva (espone) i cittadini europei alla sorveglianza da parte del governo americano senza che questi possano farci alcunché, sulla base del fatto che una quindicina di anni fa la Commissione Ue aveva deciso che i dati personali potevano viaggiare liberamente tra le due sponde dell’Atlantico.

Il mondo dopo Snowden

Edward Snowden non è un personaggio simpatico: Snowden è il responsabile di una tra le peggiori fughe di notizie mai viste nella storia umana. Eppure, nonostante abbia messo a rischio partite importanti per l’amministrazione americana e per l’occidente tutto – vedasi la lotta al terrorismo – ha, comunque, avuto il merito di esporre in modo chiaro i meccanismi della sorveglianza di massa ai quali – purtroppo – siamo tutti soggetti.

In fondo, però, sono quasi vent’anni che ci interroghiamo sul rapporto tra tecnologia e sorveglianza di massa. Alzi la mano chi non si ricorda di “Nemico pubblico (Enemy of State)” dove si anticipavano di molti anni le rivelazioni del tecnico informatico convertitosi al bene e fuggito in Russia, alla corte di Putin.

Prima di Snowden potevamo sostenere in santa pace che quel bel film era solo frutto della paranoia di Hollywood. Tuttavia, come abbiamo spesso imparato, la finzione anticipa la realtà. Ed eccoci, due anni dopo l’uscita del film, specialmente al 26 luglio del 2000 quando, con la decisione 2000/520, la Commissione Ue apriva la porta affinché le società americane potessero approfittare dei nostri dati e servirli alle varie agenzie governative statunitensi.

La decisione (giuridicamente basata sulla direttiva 95/46/EC) prende le mosse da una dichiarazione del Dipartimento del Commercio inclusa nel testo. Nella dichiarazione, comprensiva di un’enunciazione di principi e di una serie di FAQ, non viene mai citata la possibilità che agenzie governative possano appropriarsi dei dati personali di un cittadino europeo in conformità con il testo della citata direttiva secondo la quale i paesi verso i quali migrano i dati personali devono fornirne un adeguato livello di protezione.

Le condizioni che devono soddisfatte affinché un dato lasci il territorio dell’unione furono esplicitate dalla decisione della Commissione e sono qui testualmente riportate:

NOTIFICA

Le organizzazioni devono informare i singoli individui in merito alle finalità per cui vengono raccolte e utilizzate le informazioni su di essi, alle modalità per contattare le organizzazioni in relazione ad eventuali quesiti o reclami, alla tipologia dei terzi a cui vengono fornite le informazioni, e infine ad opzioni e mezzi che le organizzazioni mettono a disposizione dei singoli individui per limitare l’utilizzazione e la rivelazione delle informazioni. Queste indicazioni vanno formulate in un linguaggio chiaro e in modo da attirare l’attenzione quando si tratti del primo invito a fornire informazioni personali alle organizzazioni rivolto ad una persona oppure non appena ciò risulti successivamente possibile, ma comunque prima che le organizzazioni utilizzino o rivelino per la prima volta a terzi tali informazioni per finalità diverse da quelle per le quali le informazioni stesse erano state originariamente raccolte(1).

SCELTA

Un’organizzazione deve offrire agli individui la possibilità di scegliere (facoltà di rifiuto) se le informazioni personali che li riguardano vadano a) rivelate a terzi(2), ovvero b) utilizzate per fini incompatibili con quelli per cui le informazioni stesse erano state originariamente raccolte o con quelli successivamente autorizzati dall’interessato. Agli interessati andranno forniti mezzi chiari, agevolmente riconoscibili in quanto tali, di rapida fruizione e di costo accettabile per esercitare la propria scelta.

Per le informazioni di carattere delicato (ossia informazioni personali concernenti condizioni mediche o sanitarie, origine etnica o razziale, opinioni politiche, credenze filosofiche o religiose, appartenenza a sindacati, o la vita sessuale dell’individuo), va data la possibilità di scelta affermativa o esplicita (facoltà di consenso) per quanto riguarda la possibilità che le informazioni in questione vengano rivelate a terzi od utilizzate per scopi diversi da quelli per cui esse erano state originariamente raccolte o da quelli successivamente autorizzati dagli interessati con l’esercizio della facoltà di consenso. Un’organizzazione è in ogni caso tenuta a considerare di carattere delicato qualsiasi informazione ricevuta da un terzo che la definisca e la consideri tale.

TRASFERIMENTO SUCCESSIVO

Le organizzazioni che comunicano informazioni a terzi devono applicare i principi di notifica e di scelta. Un’organizzazione che intende trasferire informazioni a terzi che agiscono in qualità di rappresentanti, come specificato nella nota, lo può fare a condizione di accertarsi prima che questi ultimi aderiscono ai principi dell’approdo sicuro, o rientrano nel campo d’applicazione della direttiva o di un’altra forma d’accertamento dell’idoneità, ovvero di stipulare con i terzi un accordo scritto che comporti per essi l’obbligo di offrire almeno lo stesso livello di protezione della riservatezza richiesto dai relativi principi. Un’organizzazione che ottemperi a tali prescrizioni non può essere ritenuta responsabile (salvo che non abbia concordato altrimenti) se i terzi, cui ha trasferito l’informazione, la elaborano secondo modalità contrarie a quanto imposto o dichiarato, a meno che l’organizzazione stessa non fosse od avesse dovuto essere a conoscenza del fatto che i terzi in questione avrebbero proceduto in tal modo e non abbia preso provvedimenti ragionevoli per impedire che ciò accadesse o porvi termine.

SICUREZZA

Le organizzazioni che detengono, aggiornano, utilizzano o diffondono informazioni personali devono prendere ragionevoli precauzioni per proteggerle da perdita ed abusi nonché da accesso, rivelazione, alterazione e distruzione non autorizzati.

INTEGRITÀ DEI DATI

Conformemente a questi principi le informazioni personali devono risultare pertinenti ai fini per cui sono state raccolte od a quelli successivamente autorizzati dagli interessati. Se ed in quanto necessario per tali fini un’organizazione deve prendere provvedimenti ragionevoli per garantire che i dati siano attendibili in funzione dell’uso che si prevede di farne, accurati, completi e aggiornati.

ACCESSO

Gli individui devono poter accedere alle informazioni personali che li riguardano in possesso di una data organizzazione, ed altresì poterle correggere, emendare o cancellare se ed in quanto esse risultino inesatte, salvo il caso specifico in cui l’onere o la spesa che tale accesso comporta siano sproporzionati ai rischi per la riservatezza degli interessati oppure vengano violati i diritti di persone che non siano i diretti interessati.

GARANZIE D’APPLICAZIONE

Per tutelare efficacemente la riservatezza dei dati personali occorre disporre meccanismi volti a garantire il rispetto dei principi, la possibilità di ricorso per gli individui cui si riferiscono i dati che vedano lesi i propri interessi dal mancato rispetto dei principi stessi, e la non impunità di un’organizzazione che non rispetti i principi. Nel novero di detti meccanismi devono rientrare come minimo: a) meccanismi di ricorso indipendenti, di pronto impiego e di costo accessibile, atti a consentire d’istruire e dirimere qualsiasi ricorso o contenzioso individuale grazie all’applicazione dei principi nonché di riconoscere gli indennizzi del caso laddove questa possibilità sia contemplata dalla legge o da iniziative del settore privato; b) procedure di controllo per verificare la veridicità di attestati e affermazioni rilasciati dalle organizzazioni riguardo alle proprie pratiche in fatto di riservatezza dei dati personali e l’effettivo rispetto degli impegni presi a questo proposito; e c) l’obbligo di rimediare ad eventuali problemi insorti in seguito al mancato rispetto dei principi da parte di organizzazioni che dichiarino di aderirvi, con precisazione delle conseguenze che ciò comporta per tali organizzazioni. Le sanzioni devono risultare sufficientemente rigorose da garantire il rispetto dei principi da parte delle organizzazioni.>/div>

Al tempo, le assicurazioni del Dipartimento del Commercio americano fecero sì che la Commissione ritenesse sicuro liberalizzare il flusso di dati personali dall’Unione verso gli USA. Tuttavia, come abbiamo scoperto, le cose non sono andate molto bene, dall’11 settembre in avanti.

Infatti, senza che nessuno si premurasse di verificare se le pratiche di safe harboring fossero, in effetti sicure, la storia è andata avanti abbastanza da sé: nessuno ha pensato – mentre i social network e i servizi informatici diventavano parte integranti delle nostre vite – di andare a verificare davvero se una decisione del 2000 poteva ancora essere sostenibile.

Nessuno l’ha fatto, e ci siamo ritrovati davanti a un caparbio 27enne austriaco che ha scalato la montagna della giurisdizione europea per arrivare a un verdetto che mette in imbarazzo una buona parte della classe dirigente continentale che si è rivelata non all’altezza di capire quello che stava succedendo, anche a livello normativo negli Stati Uniti soprattutto in risposta al terrorismo internazionale. Ma come avrebbe potuto la leadership europea mettere in dubbio la guida morale americana dopo il crollo delle due torri?

Bush, l’11 settembre e il Patriot Act

Subito dopo l’11 settembre, il mondo si è mobilitato per dare la caccia a Osama Bin Laden. Mentre l’Occidente tutto si impegnava, tra gli improbabili ruggiti di Oriana Fallaci, l’etica discutibile di personaggi come Renato Farina (scandalosamente riammesso dall’Ordine dei Giornalisti), l’agente Betulla dello scandalo Abu Omar, il Congresso americano consegnava sulla scrivania di George W. Bush una legge che si chiamava “Patriot Act”.

Il “Patriot Act”  è una norma molto restrittiva delle libertà personali. Una vera e propria misura di emergenza che, in nome della lotta al terrorismo, ha permesso molto (forse troppo) alle agenzie investigative statunitensi anche in termini di accesso ai dati personali in segretezza.

L’aspetto sinistro del “Patriot Act”, nella sua formulazione del 2001 è che costituisce una forte limitazione dei diritti scritti negli emendamenti della Costituzione americana e, nonostante ne limiti il godimento, è scritto in modo da non violarli apertamente. In fondo, dov’è la violazione del Quarto emendamento, tanto per essere concreti, quando se aprire o no un file è una decisione di un giudice? Peccato che la persona i cui dati personali sono stati controllati non verrà mai a saperlo, perché il testo della “Legge patriota” del 2001 vieta la diffusione della notizia che i dati personali di una persona sono stati compromessi.

L’articolo 215 nella sua formulazione è volutamente molto complicato e va ad emendare l’Articolo 501 del Foreign Intelligence Surveillance Act del 1978. Il punto è che l’FBI può chiedere “La produzione di oggetti tangibili (inclusi libri, registri, articoli, documenti ed altri oggetti) per un’indagine per proteggere contro il terrorismo internazionale o l’intelligence clandestina dando per scontato che l’indagine su una persona degli Stati Uniti non è condotta esclusivamente sulla base di attività protette dal primo emendamento alla Costituzione” [il primo emendamento tutela la libertà religiosa, nda]. Proseguendo, l’articolato prevede  che “Nessuno divulgherà a nessun altro (rispetto alle persone necessarie alla produzione delle cose [tangible things] sotto questo articolo) che l’FBI ha cercato o ottenuto gli oggetti descritti da questo articolo”.

Le decisioni prese in segreto sono prese dal Foreign Intelligence Survellance Court che, caso per caso, decide di autorizzare o meno l’apertura dei file degli utenti. Dal momento che è tutto svolto in segreto, non è difficile immaginare come il giudice non sia altro che un passacarte del magistrato che, nei vari procedimenti, rappresenta il governo. Tra l’altro, viene da chiedersi chi rappresenta la parte della quale vengono ispezionati i dati, data la segretezza del procedimento.

Il funzionamento di questo meccanismo legale nella realtà è stato reso pubblico. Infatti, nel 2013, fu pubblicata una decisione del  Foreign Intelligence Surveillance Court che giustificava il massiccio uso dei dati personali da parte della NSA. Il testo di questa sentenza – per quanto controverso – rende nota la giustificazione legale delle pratiche di sorveglianza di massa da parte del governo americano. Infatti, secondo la Corte, la procedura di cui all’Art. 215 del “Patriot Act”, citiamo, “non richede ‘fatti specifici e articolabili’ e non richiede neanche che l’informazione sia materiale. Piuttosto, richiede soltanto una dichiarazione di fatti dimostrando che ci sono ragionevoli basi che i dati richiesti siano rilevanti”.

In tutta questa vaghezza, i regolatori europei sono stati a guardare. E hanno fallito almeno due volte: nel 2001 quando questa legge è stata approvata e nel 2011 quando è stata ri-autorizzata dal Congresso, nonostante la Congress Library ne custodisse un testo che, come abbiamo visto, è molto accessibile. Tuttavia – ammesso che i regolatori europei fossero in buona fede – chi può sospettare di terrorismo un gruppo di cristiani, educati, uomini d’affari europei? Quindici anni dopo, la domanda ha un retrogusto molto amaro che dà la dimensione di come la classe dirigente europea dovrebbe prendere un po’ più seriamente il suo compito.

E quindi?

Abbiamo insistito molto sul “Patriot Act” e sulla miopia europea che non ha capito (o non ha voluto capire) la portata di quanto successo. Ora il Parlamento europeo ha chiesto agli stati membri di abbandonare le accuse penali (ove ve ne fossero) contro Edward Snowden, ma questo ravvedimento non riesce a compensare la gravità di quanto successo fino ad oggi.

La sentenza europea riconosce che la decisione della Commissione non annulla i poteri delle autorità nazionali in fatto di privacy. Vero, ma è altrettanto vero che  – per esempio – i governi nazionali non hanno brillato per quanto riguarda la tutela della riservatezza dei propri cittadini. A parte il fatto che una legge sulla riservatezza, in Italia, non è arrivata prima degli Anni ’90, la maggior parte dei paesi europei – inclusa la neutrale Svezia – hanno fatto parte della coalizione contro il terrorismo, dislocando anche truppe in Afghanistan e, in qualche caso, prestandosi ad aperte violazioni (extraordinary rendition, tanto per essere espliciti) dei diritti umani come ha fatto l’Italia.

E’ vero che, dopo il 2013, sono state avviate delle trattative per migliorare il trattamento dei dati personali nei server delle società statunitensi. Il punto, però, è che tutto molto complicato. In fondo, i portatori di interesse hanno da difendere istanze molto diverse. Da un lato c’è l’Unione europea che vuole difendere i propri cittadini che hanno bisogno dei servizi erogati dalle società americane. Da un lato, ci sono le società americane che hanno bisogno di essere credibili quando dicono di non permettere a nessuno di accedere ai dati che custodiscono e dall’altro ci sono i regolatori americani che hanno fatto della sicurezza nazionale un inattaccabile totem politico. Una trinità impossibile difficilmente risolvibile anche se nei contratti le aziende – come sostiene Schrems – inserissero delle clausole apposite per derogare la sentenza europa. E se aggiungiamo che, tra i due lati dell’Atlantico, è in corso anche la trattativa sul controverso TTIP e che uno dei nodi della trattativa è proprio la protezione dei dati personali, capiamo quanto è alta la posta in palio.

Sullo sfondo, intanto, rimangono alcune riflessioni generali. Per esempio sul concetto di privacy. Tutti noi consideriamo la riservatezza un nostro diritto. In Italia abbiamo addirittura un’autorità garante. L’idea è che il governo e aziende non dovrebbero avere diritto a ficcare il naso nei nostri affari. Lo percepiamo – a ragione – come un attacco alla nostra libertà. E le aziende tecnologiche sono diventate molto pervasive, nella profilazione dei nostri dati.

Da qualche parte e molto ben nascosta, esiste una pagina Google che ricostruisce i nostri spostamenti, la nostra cronologia Internet (inclusa quella che non vorremmo far sapere neanche al nostro doppio davanti allo specchio) e – in generale – tutto quello che abbiamo fatto sul  web. I dati vengono raccolti attraverso Google Chrome e le applicazioni dell’ecosistema Google. E – a quanto pare – esiste la possibilità molto concreta che la NSA e il governo americano ci abbiano ficcato il naso. Soprattutto, però, non abbiamo effettivamente il controllo di quello che Google fa di quei dati.

Le conseguenze che possono interessare la nostra avrebbero potuto essere molteplici: potrebbe – per esempio – esserci stato negato un visto perché, magari, per sbaglio, siamo passati davanti a un centro islamico sospetto. Anche se, magari, non lo avremmo mai saputo data la segretezza del processo.

Ad ogni modo, è certo che sul campo del trattamento dei dati personali si scontrano tanti mondi e tante necessità. Una tra le cose che fa molto riflettere è il ruolo di infrastruttura che hanno società come Google e Facebook nella vita economica e sociale dei paesi dell’Unione europea. In pratica, è come se le piazze e le strade di una città fossero di una proprietà privata – per giunta – straniera in una terra dove non vige quella che gli accademici anglofoni chiamano rule of law. Verrebbe da fare un’analogia tra quanto succedeva con le varie Compagnie delle Indie. Quando una di queste società reclamava un pezzo di terra in India o in America qual era la legge che doveva rispettare? La propria, quella locale o quella del proprio governo nazionale?

In un territorio inesplorato come Internet la domanda è esattamente questa. L’Unione europea, con le sue direttive e le decisioni della Commissione ha provato a tutelare i suoi cittadini fallendo clamorosamente e creando un ulteriore grave problema di credibilità delle istituzioni europee con l’aggravante che l’esecutivo dell’Unione è difficilmente richiamabile alle proprie responsabilità da parte dell’opinione pubblica e nessuno ci garantisce che le future decisioni siano prese attraverso un’attenta verifica delle condizioni di contesto.

In questi giorni, il Parlamento UE ha giustamente votato contro il roaming internazionale nella telefonia mobile includendo anche alcune decisioni in termini di neutralità della Rete. Luca de Biase, uno tra i più interessanti analisti di Internet in Italia, parla di “strategia della confusione”. Forse, anche lui denuncia quello che denuncio io da tempo, ovvero che la consapevolezza nella classe politica europea sui temi della tecnologia dovrebbe crescere. La Harvard Business Review ha pubblicato un articolo di Bhaskar ChakravortiRavi e Shankar Chaturvedi che parla apertamente di “recessione digitale” in Europa. Forse i due professori della Tufts University esagerano, ma è un dato di fatto che, alle condizioni attuali, il Vecchio Continente rischia di rimanere schiacciato dalla sua sclerosi per quanto riguarda la sua capacità di intervento su tutte le politiche che riguardano l’ecosistema Internet nel suo complesso.


Vuoi leggere l’anteprima del numero due di Pandora? Scarica il PDF

Vuoi aderire e abbonarti a Pandora? Le informazioni qui

Nato a Massa M.ma (GR). Giornalista (professionista dal 10/04/2013), videomaker, appassionato di tecnologia e nuovi media. Vivo e lavoro tra la Maremma e Milano.

Comments are closed.