Approfondimento
Facebook, tra dati e responsabilità
di La redazione —
La Commissione europea ha pubblicato i documenti relativi a quel che dovrebbe essere il "nuovo scudo UE-USA per la privacy” in materia di trasferimenti transatlantici dei dati degli utenti. Una decisione attesa dall’ottobre 2015, quando la Corte di giustizia dell’Unione europea aveva bollato come "invalido" il precedente accordo sull’approdo sicuro perché incapace di garantire un adeguato livello di protezione dei dati personali. Ma il nuovo "accordo" non convince
A quasi centocinquanta giorni dalla storica sentenza della Corte di giustizia dell’Unione europea “Maximillian Schrems vs Data Protection Commissioner”, la Commissione europea, dopo un primo giro di inizio febbraio, ha presentato i documenti di quello che ha definito essere il nuovo “scudo UE-USA per la privacy” in materia di trasferimenti transatlantici dei dati degli utenti.
“Nuovo” perché il precedente “approdo sicuro” (Safe Harbor) -avallato da una “Decisione” della Commissione datata 26 luglio 2000- era stato dichiarato invalido dalla Corte poiché ritenuto “lesivo del contenuto essenziale del diritto fondamentale al rispetto della vita privata”. In sostanza, come recitava la sintesi della sentenza, “Il regime americano dell’approdo sicuro rende […] possibili ingerenze da parte delle autorità pubbliche americane nei diritti fondamentali delle persone”, senza prevedere affatto “norme intese a limitare queste eventuali ingerenze, né l’esistenza di una tutela giuridica efficace contro tali ingerenze”.
Ad aprire il caso era stato un giovane ragazzo austriaco, Maximillian Schrems, iscritto a Facebook dal 2008. A seguito delle clamorose rivelazioni di Edward Snowden nel 2013 in merito alla sorveglianza di massa dei servizi di intelligence degli Stati Uniti -e in particolare a quelle della National Security Agency (NSA)-, Schrems aveva intentato una causa su vari livelli giurisdizionali per far sì che fosse vietato alla Facebook Ireland di trasferire i suoi dati personali in direzione degli Stati Uniti.
Il prodotto di quella sentenza si è tradotto in Italia nella dichiarazione di “decadenza” dell’autorizzazione in forza della quale si erano consentiti i trasferimenti di dati verso gli Stati Uniti. Tradotto, per usare le parole che il Garante per la protezione dei dati personali ha messo nero su bianco in una lettera aperta al presidente del Consiglio risalente alla fine dello scorso gennaio, tutti i trasferimenti effettuati sulla base del Safe Harbor si sarebbero rivelati “privi di una base giuridica”.
Per costringere la Commissione a rimettere mano alle regole, e tutelare gli utenti, le Autorità di protezione dei dati (riunite ne Gruppo di lavoro “Articolo 29”) avevano fissato come termine finale quello della fine del gennaio 2016.
È trenta giorni dopo quel traguardo che la Commissione ha diramato una nota celebrativa per “Ripristinare la fiducia nei trasferimenti transatlantici di dati mediante forti misure di salvaguardia”. In attesa di una presa di posizione pubblica del Garante del nostro Paese -che fonti dell’ufficio riferiscono essere al lavoro all’interno del Gruppo Articolo 29 su un parere che verrà espresso durante la sessione plenaria di metà aprile-, ha preso posizione tra gli altri anche l’associazione no-profit European Digital Rights (EDRi). “Un accordo che non è un accordo”, ha dichiarato Joe McNamee, direttore esecutivo di EDRi, incapace di risolvere il nodo delle condizioni “rigorose” imposte alle società che operano i trasferimenti, le garanzie di trasparenza, il meccanismo annuale di verifica e la protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso.
In attesa che il presunto “scudo” sul trasferimento dei dati prenda effettivamente forma, la questione della responsabilità dei colossi della rete è tornata in discussione dopo il deposito della sentenza 8328/16 della V sezione penale della Cassazione. La diffamazione derivante dalla diffusione di un messaggio attraverso la bacheca di Facebook, secondo la Corte, “integra” un’ipotesi di diffamazione aggravata visto il “numero indeterminato id persone” che potrebbero essere raggiunte. Resta aperto, o meglio, irrisolto, il tema della corresponsabilità del provider (Facebook) che ha veicolato quel tipo di contenuto -come del resto già accade per il direttore responsabile di una testata editoriale-.
Il punto di contatto tra la Decisione in materia di “Safe Harbor” e la legislazione italiana in materia di responsabilità dei provider -che poco condividono su un piano di merito- è l’assoluta inadeguatezza normativa. La prima, infatti, è del 2000. L’altra (frutto di un recepimento di una direttiva del 2000) è un decreto del 2003. L’economia digitale corre, le regole restano indietro.
Commenta