Security managementSicurezza

Molti dubbi sul Privacy Shield nell’era Trump

Giornalista e collaboratore di TechWeekEurope, si occupa professionalmente di IT e nuove tecnologie da oltre vent'anni e ha collaborato con le principali testate italiane di settore

Follow on: Linkedin

Il Privacy Shield ha sempre meno garanzie, spiegano HRW e ACLU alla Commissione Europea

Tutto il lavoro fatto per arrivare al Privacy Shield, il trattato tra UE e USA per regolare gli scambi dei dati personali dei cittadini europei tra le due sponde dell’Atlantico, potrebbe essere stato vanificato dalle prime decisioni dell’amministrazione Trump? In queste settimane alcuni esponenti USA hanno sottolineato che il pericolo non sussiste, ma ora una lettera aperta alle Commissione Europea di Human Rights Watch e American Civil Liberties Union spiega in dettaglio perché il rischio c’è, eccome.

La ACLU aveva già espresso opinione negativa (non l’unica, peraltro) sul funzionamento del Privacy Shield, indicando in particolare che la legislazione statunitense al momento non garantisce una protezione della confidenzialità dei dati equivalente a quella richiesta dalle norme europee. Questa considerazione è aggravata ora dalle norme contenute nel decreto Enhancing Public Safety in the Interior of the United States emesso a gennaio, ossia quello genericamente indicato come “anti immigrazione” e che tanto ha fatto e sta facendo discutere.

Il Privacy Shield senza Privacy Act

In estrema sintesi, le due organizzazioni indicano alla Commissione Europea che il decreto Trump permette alle autorità statunitensi di non garantire a chi non sia cittadino statunitense la protezione prevista dal Privacy Act della legge americana per quanto riguarda l’accesso e la gestione dei dati personali. Questa assenza di tutela vale anche per chi risiede nella UE, quindi non solo per chi si trova fisicamente negli Stati Uniti.

jourova privacy shield
Vera Jourova, il Commissario europeo che ha portato avanti i lavori per la definizione del Privact Shield

Una parte importante del Privacy Shield riguarda poi l’istituzione di procedure di redress (rimedio) che permettano ai cittadini europei di segnalare e correggere eventuali trattamenti irregolari dei loro dati o semplicemente di modificare le informazioni memorizzate sul loro conto. In effetti il Judicial Redress Act copre questo aspetto ma ha un raggio d’azione molto più limitato se non è (come pare non essere più) affiancato da Privacy Act.

Ad esempio, si spiega, anche con il Privacy Shield in vigore un cittadino europeo non potrebbe più fare causa alle autorità USA se non per violazioni intenzionali delle norme legate alla privacy. Una “perdita di privacy” dovuta invece a errori o imprecisioni non potrebbe essere affrontata legalmente. Per quanto riguarda poi le informazioni personali gestite per scopi investigativi, il Privacy Shield e le procedure di redress coprono solo le informazioni cedute esplicitamente, quelle che potrebbero essere acquisite direttamente da enti federali USA restano senza protezione.

Il ruolo del PCLOB

Una parte delle garanzie offerte dal Privacy Shield si basa sulla presenza di organismi di controllo in merito alle attività di raccolta dati e sorveglianza portate avanti dalle agenzie governative statunitensi. Uno di questi organismi è, per espressa indicazione degli esponenti USA, il Privacy and Civil Liberties Oversight Board, o PCLOB.

Le tutele alla privacy dei dati personali nel mondo
Le tutele alla privacy dei dati personali nel mondo

Ma il PCLOB ora è quasi una scatola vuota, affermano sostanzialmente Human Rights Watch e American Civil Liberties Union. Quattro dei cinque posti del Board sono vacanti e pare che non ci sia nessuna fretta di riempirli. Anche perché i rapporti tra il PCLOB e il Governo USA sono ai minimi termini data la posizione estremamente critica del Board sulle attività di spionaggio collegate al caso Snowden. In queste condizioni il Board non ha nessuna possibilità di operare e quindi di verificare la corretta applicazione del Privacy Shield.

La morale della lettera aperta delle due organizzazioni è espressa indirettamente ma è chiara: ora come ora il Privacy Shield non potrebbe passare il vaglio della Corte di Giustizia Europea, quindi è inutile portarlo avanti così com’è.