La sentenza contro il “Safe Harbor”

La Corte di giustizia dell’Unione Europea ha stabilito oggi che “Safe Harbor”, espressione con cui si fa riferimento a un accordo che permette alle aziende statunitensi di utilizzare gli stessi standard per la gestione dei dati personali negli Stati Uniti e in Europa, può essere sospeso a discrezione dei singoli stati membri nel caso in cui non sia garantito un “livello adeguato” di protezione delle informazioni. Aziende come Facebook, Microsoft e Google, che spostano spesso i file dei loro utenti tra i loro vari centri dati in giro per il mondo, potrebbero quindi essere obbligate a seguire nel dettaglio le regole decise da ogni stato membro invece di contare sull’accordo utilizzato fino a ora che offriva una sorta di protezione generalizzata. Business Insider stima che almeno 4.500 aziende finora abbiano beneficiato delle regole contenute in “Safe Harbor”. Secondo la Corte, l’accordo non può essere posto al di sopra della giurisdizione degli stati membri.

La decisione della Corte deriva da un’iniziativa legale avviate da Max Schrems, un attivista per la privacy che aveva fatto causa a Facebook in Irlanda, dicendo che il suo diritto alla riservatezza era stato violato in seguito ai programmi di sorveglianza di massa della NSA, rivelati dall’ex collaboratore della CIA Edward Snowden. Schrems è austriaco ma aveva fatto causa in Irlanda perché è lì che Facebook ha la sua sede principale in Europa. La sua iniziativa legale era stata inizialmente respinta dall’autorità per la privacy irlandese, proprio perché ricadeva sotto il “Safe Harbor”; Schrems fece appello e alla fine portò il caso alla Corte di giustizia dell’Unione Europea. La sentenza di oggi, che ha dato sostanzialmente ragione a Schrems, è definitiva e non può essere appellata.

Finora il “Safe Harbor” ha permesso alle aziende di Internet di trasferire i dati dei loro utenti europei tra i centri dati in Europa verso quelli negli Stati Uniti. Ora le autorità per la privacy dei singoli paesi potrebbero contestare questa pratica, cosa che complicherebbe molto la gestione stessa dei dati: aziende come Google e Facebook potrebbero dover rispettare decine di regolamenti diversi a seconda dei paesi. In assenza del “Safe Harbor” le aziende di Internet potrebbero comunque proseguire le loro pratiche chiedendo un consenso esplicito ai loro utenti europei per il trattamento dei loro dati all’esterno dell’Europa, o inserendo nuove clausole nei loro contratti per le condizioni di utilizzo.