Da mesi, ormai, si sente parlare di leggi a tutela della privacy dei cittadini europei, di scontro aperto tra le principali Big Tech americane e l'Unione europea, di Facebook, e Instagram pronti a lasciare il Vecchio Continente. E ancora, di dati esportati illegalmente, di regole aggirate e Privacy Shield, Schrems II e GDPR. Ma di cosa si parla precisamente, e soprattutto perché? Ve lo spieghiamo noi.
In principio fu il Privacy Shield
In principio fu il Privacy Shield, ovverosia la normativa che era stata adottata nel 2016 dalla Commissione europea per regolare il trasferimento dei dati tra UE e USA. L’accordo consentiva alle imprese americane di conservare i dati personali degli utenti europei sia nell'Unione europea che negli Stati Uniti, ma con qualche restrizione. I funzionari americani ed europei avevano concordato lo “scudo” dopo che la Corte di giustizia europea aveva di fatto sepolto il Safe Harbour, un modello di accordo senza particolari sanzioni né garanzie vecchio di quindici anni, soprattutto alla luce di una politica di sorveglianza di massa che negli Stati Uniti stava prendendo piede.
GDPR, ovverosia: General Data Protection Regulation
Ma la questione protezione dei dati personali non è affatto risolta. Pian piano, complici anche le proteste e i ricorsi di molte associazioni europee dei consumatori, i dubbi che questo accordo non tuteli affatto i cittadini europei, inizia a serpeggiare tra molti politici del Vecchio Continente. Così si comincia a discutere di un nuovo regolamento, che dopo mesi e mesi di discussioni porta a una prima bozza di quello che sarebbe diventato la General Data Protection Regulation (GDPR). Il nuovo regolamento, entrato in vigore dal 25 maggio 2018, prevede che le multinazionali, soprattutto hi-tech, non possono più trasferire i dati dei clienti europei all’interno di quelle aree "che non offrono lo stesso livello di protezione che esiste in Europa".
Tra questi Paesi rientrano ovviamente gli Stati Uniti, visto che le leggi statunitensi, come scritto prima, consentono alle Big Tech di fornire alle autorità i dati personali degli utenti per motivi di sorveglianza e sicurezza. L'Unione Europea, dunque, decide di alzare davvero uno scudo protettivo nei confronti dei suoi cittadini. Ma bisogna prima trovare una soluzione con il governo USA, con cui è comunque in vigore il Privacy Shield.
Schrems II
La situazione per le Big Tech cambia e diventa ancora più pesante quando il 16 luglio 2020 l’organizzazione no-profit NOYB, co-fondata dal legale e attivista Maximilian Schrems, vince un ricorso alla Corte di giustizia europea, che di fatto invalida proprio il Privacy Shield. La sentenza, meglio conosciuta come Schrems II (Caso C-311/18), cambia quindi le carte in tavola perché conferma i dubbi dell'UE e chiama le multinazionali operanti sul territorio europeo a verifiche specifiche per controllare la congruità normativa degli Stati in cui trasferiscono i dati rispetto alle garanzie offerte a questo punto dal GDPR.
In tale contesto iniziano un po' a tappeto i primi controlli dei Garanti privacy europei, che trovano impreparate praticamente tutte le aziende coinvolte nelle indagini. Risultato? Multe, divieti, sentenze di condanna, ricorsi e una serie di battaglie legali che per le Big Tech, a oggi, non hanno portato a nulla. Per ora, o si adeguano a trovare nuovi sistemi per coniugare i loro rispettabili interessi economici con le regole europee, o sono guai. Come per il sito web che utilizza il servizio Google Analytics (GA), che l'Autorità italiana ha accusato in questi giorni di "violare la normativa sulla protezione dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti".