Lo scudo per la privacy dei cittadini europei sarà messo alla prova per un anno. Il Privacy Shield, cioè il nuovo regolamento sulla protezione dei dati personali nei rapporti transatlantici Usa-Ue, dal 12 luglio è diventato effettivo, sostituendo il precedente Safe Harbor e introducendo alcune misure di tutela ulteriori per i cittadini e le aziende che concedono (direttamente o indirettamente) i loro dati a soggetti statunitensi: social network, operatori cloud, società Web, portali di e-commerce. L’elenco comincia dai colossi come Google, Facebook, Microsoft, Apple, Twitter, Amazon, che sono però solo la punta di un iceberg fatto di decine di migliaia di aziende. “Gli europei possono stare certi che i loro dati personali saranno completamente protetti mentre le nostre imprese, in particolare le più piccole, avranno una cornice giuridica certa per sviluppare le loro attività oltre l’Atlantico”. Così aveva promesso lo scorso febbraio il commissario Ue per il Digital Single Market, Andrus Ansip.
Dimostrata l’inadeguatezza del Safe Harbor nel difendere la privacy di cittadini e imprese (o almeno così ha giudicato la Corte Europea di Giustizia, invalidando l’accordo), il Privacy Shield ha dovuto introdurre regole più rigide per le aziende che conservano o utilizzano i dati provenienti dall’Europa, e. Ha introdotto, inoltre, sanzioni più pesanti per chi trasgredisce, nuove procedure per l’avvio di reclami e la figura dell’ombudsman, un difensore civico chiamato a esprimersi nelle diatribe.
Le tutele del Privacy Shield non hanno però convinto il Gruppo di Lavoro Article 29, composto dalle autorità per la tutela della riservatezza dei dati degli Stati membri, dalla Commissione Europea e dal Garante europeo per la data protection, Giovanni Buttarelli. Il gruppo in aprile aveva espresso alcune preoccupazioni, poi rimarcate a breve distanza Buttarelli che ha definito il regolamento come “non abbastanza solido per resistere a un futuro controllo giuridico dinanzi alla Corte Europea”. Insomma, si teme che operazioni di raccolta a tappeta dei dati, per non chiamarle spionaggio (e come non pensare al Datagate), siano ancora possibili.
Un data center di Microsoft
Ora Article 29 ha comunicato di voler attendere un anno prima di esprimere una nuova valutazione sul Privacy Shield. Trascorsi i dodici mesi il regolamento verrà sottoposto a una revisione formale, al termine della quale potrà essere contestato su singoli punti con la proposta di modifiche, ma anche approvato in blocco oppure – ipotesi più estrema – contestato per vie legali. Ma è anche possibile che prima dell’estate del 2017 qualche organismo indipendente, di non diretta emanazione dell’Ue, possa avviare un procedimento. È già successo, con le note conseguenze, per il Safe Harbor: in quel caso, il merito o la colpa dell’iter sfociato nell’abolizione dell’accordo partì dalla denuncia di uno studente austriaco, Max Schrems, insoddisfatto delle tutele alla privacy offerte da Facebook.