I miei dati al di là dell’oceano

I nostri dati personali sono più tutelati dalla sorveglianza di massa e in generale dalle ingerenze dei pubblici poteri se archiviati e trattati in Europa piuttosto che nei data center dei provider americani?

È la domanda finale della sentenza emessa dalla Corte di Giustizia Europea nel caso Schrems.

Nel dichiarare invalida la decisione che riconosceva adeguato il safe harbour adottato dal Governo degli Stati Uniti nel 2000, la Corte non contesta l’efficacia dei principi volontariamente assunti dalle imprese USA, ma stigmatizza il fatto che quelle garanzie concordate a tutela degli utenti europei possano esser legittimamente violate e vanificate per ordine della pubblica autorità in relazione a sicurezza nazionale, interesse pubblico, o per la repressione dei reati. Per i Giudici, è una eccezione troppo ampia e priva di adeguate garanzie che, anche per quanto emerso a seguito delle rivelazioni di Snowden, determina una sorta di eccessiva e incontrollabile permeabilità dei provider americani alle sproporzionate richieste di accesso delle varie agenzie governative USA. Quella clausola di salvaguardia degli interessi del Governo USA, non presidiata da garanzie, permette inaccettabili compressioni dei diritti fondamentali alla riservatezza ed alla protezione dei dati riconosciuti dalla normativa europea.

Argomentazione ineccepibile, che porta, al di là dei tecnicismi, a rimettere ai 28 Garanti privacy dei singoli Stati Membri l’onere di rispondere alla domanda iniziale:
negli Stati Uniti, l’accesso da parte dei Governi e dei pubblici poteri ai dati personali dei cittadini europei, sotto la legittima bandiera della sicurezza nazionale, è regolamentata in modo “adeguato”? L’ordinamento statunitense appresta garanzie, limiti e procedure almeno equivalenti a quanto previsto dalla normativa dell’Unione Europea?

La Corte prudentemente non risponde, e dopo aver bacchettato la Commissione invalidando l’accordo, rispedisce il quesito alle Autorità indipendenti; e non avrebbe potuto fare altrimenti, a meno di non ritrovarsi in un vicolo cieco.

La debolezza della sentenza Schrems (decisamente sopravvalutata e che rischia di rimanere una pregevole dichiarazione di principi senza pratici effetti) risiede in un punto abilmente sottaciuto dalla Corte ma con cui dovranno fare i conti le Autorità indipendenti: la normativa europea su cui si basa l’intera sentenza, la Direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, contiene una clausola di salvaguardia identica a quella che ha determinato l’invalidità dell’accordo di safe harbour.
L’art. 3 della Direttiva (ambito di applicazione) esclude, esattamente come per il safe harbour, l’applicabilità dei diritti e delle facoltà riconosciuti ai cittadini europei “ai trattamenti di dati personali aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato, laddove tali trattamenti siano connessi a questioni di sicurezza dello Stato) e le attività dello Stato in materia di diritto penale”.

È grazie a questa clausoletta che gli Stati europei da sempre hanno sostanzialmente fatto quel che volevano dei nostri dati, disconoscendo ogni garanzia nei settori legati alla “sicurezza nazionale” ed alla prevenzione/repressione dei reati.
La libertà del Governo Usa sui dati dei cittadini europei è la stessa identica libertà dei nostri Governi.
Certo ci sono le Costituzioni, il IV emendamento in America e la Carta dei diritti in Europa, ma declamare i diritti serve a poco se il loro esercizio non è tutelato da norme positive.

Nel settore delicato della sorveglianza da parte dei pubblici poteri il quadro normativo europeo è fortemente carente: vi è in discussione da anni una debole proposta di Direttiva “sulla protezione dei dati personali trattati nell’ambito della cooperazione giudiziaria e di polizia in materia penale”, ma è proposta risibile, che lascia le mani libere ai Governi. E la ragione è intuitiva: non c’è pubblica autorità che non aneli ad avere presso di sè, con libero accesso, dati e informazioni dei suoi sudditi (rectius,cittadini).

D’altra parte riconoscere inadeguata la normativa americana semplicemente basandosi sul datagate e sulle pratiche di sorveglianza di massa attuate dall’NSA e rivelate da Snowden – pratiche che gli stessi giudici americani hanno riconosciuto incostituzionali – espone la Corte e l’Europa a troppo facili contro-argomentazioni in fatto.

Il giudizio sui due ordinamenti, quello europeo e quello statunitense, sul tema della sicurezza nazionale si appiattisce senza scampo alla drammatica equivalenza al ribasso del così fan tutti:

–  l’NSA lavorava (e lavora) passo passo con gli amici europei del GCHQ inglese che sappiamo proprio dalle rivelazioni di Snowden, coordinava una coalizione di volenterosi Stati europei, tra cui Francia Spagna e Svezia impegnati a succhiare traffico telefonico e telematico direttamente sui cavi di loro competenza; il mandante non è più colpevole del complice.

–  negli ultimi anni non c’è Stato europeo che non abbia implementato o tentato di implementare la capacità intrusiva dei propri apparati di prevenzione/repressione senza che la normativa a protezione dei dati potesse dar adeguato argine (non si aplica!); mentre il Governo americano approva il FREEDOM Act, che un po’ ridimensiona i poteri dell’NSA, Francia, Spagna, Austria e Inghilterra si dilettano con black box, malware, dati e metadati da conservare, in spregio alla nota sentenza della Corte Europea sulla data retention, per periodi anche maggiori rispetto a quanto volontariamente facciano buona parte dei provider americani;

– ad accrescere i data center dell’NSA con interi data set di informazioni sui cittadini europei non sono solo le imprese commerciali, ma è lo stesso Governo europeo che dal 2004 costringe tutte le nostre compagnie aeree a trasferire i PNR (Passenger Name Record) direttamente al DHS (Department of Homeland Security); una straordinaria raccolta in massa di dati personali “made in europe”.

– quanto a trasparenza, se sappiamo che i provider americani sono “permeabili” alle pretese bulimiche delle loro Autorità e sottoposti ad un impressionante numero di richieste da parte delle forze dell’ordine, lo dobbiamo non solo a Snowden, ma anche grazie ai report che annualmente le fameliche imprese USA pubblicano (tutte, Telco comprese).In Europa, l’unico provider che ha pubblicato un privacy transparency report mi pare esser l’inglese Vodafone. Per il resto il cittadino europeo, portatore dei diritti fondamentali declamati dalla Corte, nulla può sapere di ciò che il suo governo fa dei dati archiviati per anni presso i provider europei;

– in ultimo, se anche avessimo uno Snowden europeo che svela le peggiori pratiche dei nostri servizi, temo non accadrebbe nulla, come nulla è accaduto dopo aver appreso in Italia che nostre forze dell’ordine hanno speso centinaia di migliaia di euro per comprare un software, quello di Haking Team, il cui utilizzo è illecito anche e soprattutto da parte dello Stato, per l’evidente inaccettabile violazione dei diritti fondamentali alla riservatezza ed alla protezione dei dati.

Voglio credere che la Corte Europea di Giustizia sia stata spinta dalle migliori intenzioni, nel tentativo di riportare al centro dell’Europa i diritti fondamentali della persona, e voglio credere che la sentenza sia scevra da pulsioni banalmente commerciali o protezionistiche.
Ma nei confronti dello Stato, dei poteri del nostro Stato, siamo ancora disarmati, in Europa come negli Stati Uniti.

Se debbo dire, conscio della globalizzazione del big data, io preferisco se c’è l’oceano tra i miei dati privati e gli occhi indiscreti al servizio del mio governo. La prossimità è ancora un elemento fondamentale nel concetto di riservatezza e di privacy.

Carlo Blengino

Avvocato penalista, affronta nelle aule giudiziarie il diritto delle nuove tecnologie, le questioni di copyright e di data protection. È fellow del NEXA Center for Internet & Society del Politecnico di Torino. @CBlengio su Twitter