Il 6 ottobre la corte di giustizia europea ha dichiarato invalido il cosiddetto accordo Safe harbor sullo scambio di dati personali tra l’Unione europea e gli Stati Uniti. I giudici di Lussemburgo hanno ritenuto che questi ultimi non offrono un livello di protezione adeguato e che gli stati membri dell’Ue possono verificare se gli scambi di dati rispettano gli standard fissati dalla direttiva europea in materia.

La Corte ha accolto il ricorso dell’attivista per la privacy austriaco Max Schrems, che aveva fatto causa alla filiale europea di Facebook (che ha sede in Irlanda), accusando il social network di raccogliere, conservare ed esportare negli Stati Uniti, dove la società ha la sede principale, i suoi dati personali senza il suo consenso.

In un comunicato, Schrems ha dichiarato che “questa sentenza traccia una linea precisa: dice chiaramente che la sorveglianza di massa viola i nostri princìpi fondamentali. La decisione è un grosso smacco per la sorveglianza globale statunitense, che si appoggia pesantemente su partner privati e dice chiaramente che le aziende statunitensi non possono aiutare lo spionaggio degli Stati Uniti violando i diritti fondamentali europei”.

A determinare il suo orientamento, che di fatto cancella un accordo che andava avanti da quindici anni, sono state tra l’altro le rivelazioni del whistleblower ed ex agente dell’Nsa Edward Snowden, secondo cui i dati degli utenti europei conservati da società americane presso server basati negli Stati Uniti “non sono al riparo da forme di sorveglianza che sarebbero illegali in Europa”, spiega Business Insider, e in particolare dal programma Prism. La decisione della corte è definitiva e senza appello.

Snowden si è complimentato con i giudici di Lussemburgo – “È la seconda volta in due anni che il mondo fa affidamento alla corte per difendere i diritti digitali”, ha twittato – e con Schrems, che “ha cambiato il mondo in meglio”.

Ora, prosegue Business Insider, “società come Facebook o Twitter potrebbero essere monitorate dalle authority per la protezione dei dati personali dei paesi europei ed essere costrette a trasferire i dati degli utenti europei presso server basati nell’Ue”. Questo vuol dire che potenzialmente le società internet statunitensi potrebbero ritrovarsi a negoziare con ogni singola authority europea. Alternativamente, sottolinea una giurista interrogata dalla rivista, “potrebbero negoziare direttamente con i singoli utenti il consenso alla conservazione dei loro dati” negli Stati Uniti.

La decisione, sottolinea EUobserver, “riguarda oltre 4.400 società che hanno firmato il cosiddetto accordo di autocertificazione” con cui s’impegnano a fornire una “protezione adeguata” della privacy – protezione che non è sottoposta a nessuna verifica indipendente. Non a caso “centinaia di società hanno mentito sull’adesione a Safe harbor”, aggiunge il sito basato a Bruxelles, e diverse sono state denunciate dall’authority statunitense per le comunicazioni.

Un’altra conseguenza potenziale è che le filiali europee di società statunitensi potrebbero essere costrette a chiedere a ogni dipendente di dare il consenso all’uso dei propri dati.

Tocca ora alla Commissione europea stabilire se gli Stati Uniti danno una protezione sufficiente per i dati personali dei cittadini europei conservati sul loro territorio. Negoziati sono in corso ormai da due anni – da quando Snowden ha rivelato l’esistenza di Prism e Schrems ha avviato il suo procedimento – ma non sono stati fatti passi avanti, nota Politico.eu. Inoltre la vicenda getta un’ombra sui negoziati in corso sul Partenariato transatlantico sul commercio e gli investimenti (Ttip), il discusso accordo di libero scambio tra Unione europea e Stati Uniti.