Di Mirko Fallacia
La corte suprema d’Europa afferma che Washington gioca a ruota libera con i dati europei. Facebook non è d’accordo.
Nonostante la più alta corte dell’Unione Europea abbia dichiarato due volte che gli Stati Uniti non offrono una protezione sufficiente per i dati degli europei dalle agenzie di sicurezza nazionale americane, gli avvocati del gigante dei social media continuano a non essere d’accordo, secondo documenti interni.
“La conclusione della valutazione dell’equivalenza è, in sintesi, che la legislazione e la pratica degli Stati Uniti pertinenti forniscono una protezione dei dati personali sostanzialmente equivalente al livello di protezione richiesto dal diritto dell’UE”, afferma uno dei documenti interni di Facebook, datato 2021.
Le aziende effettuano valutazioni per giudicare il confronto tra le protezioni della privacy nei paesi extra UE e quelle europee.
Nel luglio 2020, la Corte di giustizia dell’Unione europea (CGUE) ha annullato uno strumento di trasferimento dei dati tra Stati Uniti e Unione europea chiamato Privacy Shield.
La corte ha concluso che Washington non offriva una protezione adeguata per i dati dell’UE spediti all’estero perché la legge sulla sorveglianza degli Stati Uniti era troppo invadente per gli standard europei.
Nella stessa storica sentenza, il tribunale lussemburghese ha confermato la legalità di un altro strumento utilizzato per esportare dati fuori dall’Europa, le clausole contrattuali standard (SCC).
Ma mette in dubbio se questi complessi strumenti legali possano essere utilizzati per trasportare dati verso paesi in cui gli standard dell’UE non possono essere soddisfatti, compresi gli Stati Uniti.
La CGUE ha raggiunto una conclusione simile nel 2015, annullando l’accordo precedente allo Scudo per la privacy a causa della legge e delle pratiche di sorveglianza degli Stati Uniti.
In entrambe le sentenze, i massimi giudici europei hanno affermato categoricamente che Washington non aveva standard di privacy sufficientemente elevati.
Tuttavia, Facebook, la società al centro di entrambi i casi, pensa che non dovrebbe seguire il ragionamento del tribunale.
Gli avvocati della società sostengono nei documenti che la sentenza del tribunale dell’UE “non dovrebbe essere invocata” per la valutazione della società di social media sui trasferimenti di dati negli Stati Uniti, perché le conclusioni dei giudici si riferiscono al patto sui dati del Privacy Shield, e non allo Standard Contractual Clausole che Facebook utilizza per trasferire dati negli Stati Uniti.
“La valutazione della legge (e della pratica) degli Stati Uniti ai sensi dell’articolo 45 GDPR è sostanzialmente diversa dalla valutazione della legge e della pratica richiesta ai sensi dell’articolo 46 GDPR”, si legge nel documento.
Ciò si riferisce ai due diversi tipi di strumenti legali per il trasferimento dei dati ai sensi del regolamento generale sulla protezione dei dati dell’UE e indica che la valutazione ai sensi degli SCC è diversa dalla valutazione ai sensi dello scudo per la privacy.
La società afferma inoltre che dovrebbero essere prese in considerazione le modifiche alla legge e alle pratiche statunitensi dalla sentenza di luglio 2020.
Come esempio, cita la Federal Trade Commission degli Stati Uniti, un cane da guardia, “che svolge il suo ruolo di agenzia per la protezione dei dati con forza e vigore senza precedenti”.
Questi argomenti sono stati al centro del discorso di Washington durante i negoziati transatlantici in corso su un nuovo accordo UE-USA.
Sebbene le aziende debbano tenere conto della sentenza del tribunale dell’UE quando effettuano le proprie valutazioni sui regimi dei paesi terzi, in teoria possono discostarsi dalle conclusioni del tribunale se ritengono che sia giustificato in una situazione particolare.
Ciò significa che aziende come Facebook possono, in teoria, continuare a spedire dati fuori dall’Europa se possono dimostrare che sono sufficientemente protetti.
“Una valutazione dell’impatto del trasferimento condotta ai sensi del diritto dell’UE dovrebbe tenere conto [le conclusioni del tribunale] per i trasferimenti negli Stati Uniti, ma si tratta comunque di una valutazione che ciascuna società effettua per i propri trasferimenti specifici ai sensi delle SCC, di cui è responsabile se la legalità di quel trasferimento è o sarà contestato”, ha affermato Gabriela Zanfir-Fortuna del think tank Future of Privacy Forum.
Anche così, diversi esperti legali hanno affermato di non poter vedere se Facebook fosse in grado di concludere che le protezioni degli Stati Uniti sono essenzialmente equivalenti a quelle dell’UE alla luce della sentenza del tribunale.
Uno ha affermato che ciò era particolarmente vero per Facebook, poiché i trasferimenti di dati dell’azienda erano al centro del caso.
Le rivelazioni accumulano nuove pressioni sulla Commissione irlandese per la protezione dei dati (DPC), che ha ricevuto per la prima volta una denuncia contro i trasferimenti di dati di Facebook nel 2013 dall’attivista austriaco Max Schrems.
Tale denuncia ha portato alle cosiddette sentenze Schrems I e Schrems II della CGUE che hanno concluso che le protezioni degli Stati Uniti sono inferiori agli standard dell’UE.
In una decisione preliminare nel settembre 2020, il DPC irlandese ha suggerito che Facebook avrebbe dovuto interrompere il trasferimento di dati negli Stati Uniti a seguito della sentenza dello scorso luglio, ma deve ancora finalizzare la decisione nonostante abbia ribaltato la sfida di Facebook alle indagini dell’agenzia a maggio. Dublino ora detiene il potere di impedire a Facebook di trasferire i dati dell’UE negli Stati Uniti.
Se l’autorità di vigilanza irlandese seguisse questa decisione, segnerebbe un duro colpo agli sforzi di Facebook per mantenere il flusso di dati tra l’UE e gli Stati Uniti in corso.
Il DPC irlandese ha affermato di non poter commentare poiché ha un’indagine aperta sulla questione.
Un portavoce di Facebook ha dichiarato: “Come altre società, abbiamo seguito le regole e fatto affidamento su meccanismi di trasferimento internazionale per trasferire i dati in modo sicuro e protetto. Le aziende hanno bisogno di regole chiare e globali, sostenute da un forte stato di diritto, per proteggere i flussi di dati transatlantici a lungo termine”. Peccato poi che quei dati molto sensibili vengano venduti alle aziende per fare profitto.
Il documento interno della società indica anche l’accordo sui flussi di dati dell’UE con il Regno Unito, approvato da Bruxelles a giugno.
“È chiaro che per alcuni aspetti importanti, il regime del Regno Unito, che la Commissione ha valutato adeguato ai sensi dell’articolo 45 GDPR, adotta un approccio simile agli Stati Uniti in relazione alle limitazioni ai diritti di protezione dei dati nel contesto dell’intercettazione delle comunicazioni”, recita il documento.
In un documento separato che elenca i fattori rilevanti per i suoi trasferimenti di dati, Facebook cerca di minimizzare il rischio che le autorità statunitensi accedano ai tuoi dati.
Prende atto che le 234.998 richieste di dati ricevute dalle autorità statunitensi nel 2020 “rappresentano una piccola frazione” del numero totale di utenti, che Facebook stima in circa 3,30 miliardi.