Come, più in generale, assicurarne la privacy? La domanda è rimasta senza risposta dopo che, a ottobre scorso, la Corte di Giustizia Ue ha invalidato l'accordo che dal 2000 regolava il trasferimento delle informazioni alle due sponde dell'Atlantico, il cosiddetto 'Safe Harbor'. Merito dell'azione giudiziaria promossa da un giovane austriaco, Max Schrems, e della sua tenacia. Ma anche di un principio molto chiaro, stabilito dai giudici europei: "norme che consentono all'autorità pubblica di avere accesso su base generalizzata al contenuto delle comunicazioni elettroniche compromettono l'essenza del diritto fondamentale al rispetto della vita privata".
Le autorità avevano fino a fine gennaio per porvi rimedio. È nato così, in extremis, l'erede del 'Safe Harbor'. Si chiama 'Privacy Shield', uno "scudo" per proteggere i diritti dei milioni di utenti europei di Internet e garantire l'operatività delle migliaia di aziende che dipendono dalla possibilità di trasferire dati personali tra Europa e Usa.
I contraenti esultano. "Un accordo storico", dice il Dipartimento del Commercio statunitense; un modo per assicurare i cittadini europei che "i loro dati personali saranno completamente protetti", aggiunge sulla stessa falsariga il vicepresidente della Commissione Ue, Andrus Ansip. Ma i dettagli scarseggiano. E quelli che sono stati finora forniti hanno già sollevato un coro di critiche tale da far dubitare che la risposta possa davvero essere efficace.
Perché se manca ancora un testo vero e proprio su cui discutere (e i Garanti europei chiedono di vederlo al più presto, entro fine febbraio), ciò che le autorità europee e statunitensi hanno reso noto dell'"accordo" lascia presagire che la richiesta della Corte di sottrarre i dati dei cittadini alla sorveglianza di massa - negli Stati Uniti come in Europa - sarà difficilmente soddisfatta.
La commissaria Vera Jourová, per esempio, parla di "garanzie vincolanti" fornite "per la prima volta" dagli Stati Uniti; e di "chiare limitazioni, tutele e meccanismi di controllo" nel rispetto dei principi di "necessità e proporzionalità". Insomma, "gli Stati Uniti hanno assicurato di non condurre sorveglianza di massa o indiscriminata" sui cittadini europei.
Difficile tuttavia fidarsi quando è lo stesso Dipartimento del Commercio a precisare, in un botta e risposta via Twitter, che non sono previste modifiche alle norme Usa in materia. E perché mai, si chiedono in molti, dovrebbero bastare le "assicurazioni scritte" dell'amministrazione Obama? Non hanno valore di legge, nota l'europarlamentare olandese, Sophie In't Veld: e allora in che senso sarebbero "vincolanti"? E perché dovrebbero esserlo anche per la prossima presidenza?
1) Yes. 2) No. #PrivacyShield https://t.co/1y7q8TG4sy
— U.S. Commerce Dept. (@CommerceGov) February 3, 2016
Soprattutto, come scrive il Ceo di Think Privacy, Alexander Hanff, cosa in questo nuovo "accordo" dell'ultimissima ora dovrebbe farci pensare che ora, improvvisamente, tutto l'apparato legale di sorveglianza di massa USA, talmente segreto che nemmeno il Congresso vi ha accesso, dovrebbe venire meno? Se l'intenzione fosse di dare più strumenti effettivi di ricorso ai cittadini europei, come prevede il 'Privacy Shield' tra le sue novità, allora perché l'apposita riforma - il 'Judicial Redress Act' - non ha mai visto la luce?
Very good points by @alexanderhanff #PrivacyShield https://t.co/css38bK8n6 pic.twitter.com/VQBdwWHw7t
— Fabio Chiusi (@fabiochiusi) February 3, 2016
In assenza di risposte, lo "scudo" potrebbe presto subire la sorte del predecessore. Ovvero, essere invalidato dalla Corte di Giustizia. A sostenerlo è anche il presidente del Libe, il comitato del Parlamento Ue per i diritti civili, Claude Moraes: "Il primo problema" dello schema proposto, ha dichiarato, è proprio il suo avere "troppo in comune" con quello precedente, rigettato dai giudici.
Nulla, tra le misure annunciate, convince i tanti critici - dai Verdi ai Socialisti, da organizzazioni per i diritti online come Edri e Access Now allo stesso Snowden - che andrà diversamente. Si parla per esempio di una revisione costante delle prassi di trattamento dei dati da parte della Federal Trade Commission e dei Garanti dei singoli paesi; ma la prima non ha giurisdizione in tema di diritti umani, e del controllo dei secondi non si conoscono ancora le forme.
Ancora, è prevista l'istituzione della figura di un "difensore civico" indipendente, all'interno di una serie di modalità per garantire effettivo ricorso al cittadino che si senta ingiustamente derubato della propria privacy. Ma anche in questo caso è difficile immaginare come questo controllore indipendente possa avere una "reale possibilità di agire" in presenza di questioni di sicurezza nazionale, e dunque di informazioni che potrebbero essere indispensabili per una valutazione e insieme anche più indispensabilmente segrete. Se si aggiunge, con In't Veld, che "è improbabile che i cittadini siano consapevoli del trattamento dei loro dati personali da una specifica agenzia Usa o di una qualunque violazione dei criteri stabiliti dalla Corte di Giustizia", si capisce perché l'eurodeputata possa concludere che "questa clausola sarà di fatto insignificante".
Il sospetto, ben riassunto da Simon McGarr, è che quello raggiunto non sia affatto un "accordo", quanto piuttosto un adeguamento della Commissione all'"ultima posizione negoziale degli Usa", un tentativo di trasmetterla alle altre istituzioni coinvolte e insieme una "disperata mossa comunicativa" per prendere tempo "prima che la Commissione Ue e gli Usa siano costretti a fare fronte alle conseguenze dell'incompatibilità legale tra la Carta Europea dei Diritti Fondamentali e l'impegno degli Stati Uniti a condurre sorveglianza di massa".
E dire che, come ricorda The Intercept, l'obiettivo era l'opposto: "Promuovere reali riforme sulla sorveglianza in entrambe le giurisdizioni".
