Lo raccontiamo spesso: la giurisprudenza deve correre veloce per tenere il passo delle dinamiche contemporanee.
Quando il ritmo è dettato dall’innovazione tecnologica, soprattutto in tema privacy, il Garante e tutte le Autorità preposte devono costantemente correre per essere sempre allineate con le dinamiche.
Spesso si studia il contesto, ci si allena e si fanno dei sondaggi prima di partecipare a queste infinite maratone di aggiornamento: ma non è sufficiente
Capita a volte che l’invito sia tanto urgente quanto precipitoso, che da tempo si vociferi di una presunta e importante nuova gara, ma che nessuno abbia il coraggio e l’audacia di organizzarla.
Le rivelazioni di Edward Snowden segnano il punto di non ritorno
Nel 2013 le importanti rivelazioni di Edward Snowden in merito al programma di sorveglianza di massa operato dal governo degli Stati Uniti denominato PRISM grazie alla partecipazione di Facebook e altri provider non sono cadute nel vuoto.
Il controllo massivo per almeno 6 anni della comunicazione online dei clienti delle società informatiche più importanti da parte dell’agenzia per la sicurezza nazionale USA ha creato uno scandalo politico.
Snowden rivela, Scherms denuncia: il caso Scherms che rivoluziona il trattamento dei dati personali
L’attivista austriaco Maximillian Schrems ne ha approfittato per presentare denuncia alla Data Protection Commissioner irlandese sostenendo l’illecito trattamento dei dati personali suoi e di altri milioni di cittadini europei che sarebbero stati trasferiti negli USA e sottoposti al controllo massivo delle autorità governative statunitensi.
Una patata bollente, prodotta da Snowden e servita da Scherms che puntava a far prevalere la normativa UE sul trasferimento dei dati verso paesi Extra UE a discapito dell’accordo stipulato nel 2000 e denominato “Safe Harbor” che consentiva il libero trasferimento di dati a certe condizioni tra UE e USA.
La patata bollente viene passata alla Corte di Giustizia Europea che 2 anni dopo, il 6 ottobre 2015 accoglie l’accusa di Scherms e invalida il Safe Harbor.
Decisione più temporanea che definitiva, come una porta chiusa ma non a chiave perché la corte di giustizia europea rinvia la decisione al Garante Irlandese per una nuova pronuncia.
In conseguenza a questa sentenza, nel 2016 L’EDBP (European Data Board Protection) ha creato il “Privacy Shield”, un accordo che prevedeva obblighi di trasparenza e pene più severe riguardo l’accesso ai dati da parte del governo e delle autorità pubbliche USA.
Una storia che non conosce fine: la sentenza Schrems II
In un contesto in continua evoluzione, dove ogni confine è labile e soggettivo e gli interessi in gioco sono decisamente importanti, chiudere una porta senza lucchetto equivale a un invito ad aprirla.
Il rinvio della decisione al Garante Irlandese, in concomitanza con l’avvento del GDPR e quindi di un nuovo regolamento in termini di protezione dei dati personali hanno rappresentato un’occasione troppo ghiotta per lasciarsela sfuggire.
La sentenza Scherms II non ha tardato troppo: il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea (CGUE) ha invalidato la decisione di adeguatezza del Privacy Shield.
Il principio di proporzionalità introdotto dal GDPR: secondo la sentenza, le autorità pubbliche e di controllo USA devono accedere e trattare i dati senza limitazioni in base alle necessità di sorveglianza.
Inoltre il difensore civico introdotto dal Privacy Shield non fornisce le garanzie richieste dal diritto UE e quindi questa figura viene eliminata.