Il tribunale dell’UE stabilisce nuovamente che lo spionaggio dell’NSA rende le aziende statunitensi inadeguate per la privacy

La più alta corte dell'Unione europea oggi ha chiarito – ancora una volta – che i programmi di sorveglianza di massa del governo statunitense sono incompatibili con i diritti alla privacy dei cittadini dell'UE. Il giudizio è stato emesso nell'ultimo caso che ha coinvolto Max Schrems, difensore della privacy austriaco e vincitore dell'EFF Pioneer Award. Ha invalidato il "Privacy Shield", l'accordo sulla protezione dei dati che garantiva il flusso di dati transatlantico e ha ridotto la capacità delle aziende di trasferire dati utilizzando accordi individuali ( clausole contrattuali standard o SCC).

Nonostante le numerose dichiarazioni del "siamo delusi" dalla Commissione UE, dai funzionari del governo degli Stati Uniti e dalle imprese , non dovrebbe sorprendere, poiché segue il ragionamento fatto dalla corte nel precedente caso Schrems, nel 2015 .

All'epoca, la Corte di giustizia dell'UE (CGUE) ha osservato che i cittadini europei non potevano ricorrere alla legge degli Stati Uniti se i loro dati fossero stati raccolti nei programmi di sorveglianza dei governi degli Stati Uniti. Una tale violazione dei loro diritti di base alla privacy significava che le società statunitensi non potevano fornire un "livello adeguato di protezione [dei dati]", come richiesto dalla legge dell'UE e promesso dal regime di autoregolamentazione "Privacy Safe Harbor" UE / USA. Di conseguenza, il Safe Harbor è stato ritenuto inadeguato e il trasferimento di dati da parte di società tra l'UE e gli Stati Uniti è stato vietato.

Da quella decisione originale, le società multinazionali, il governo degli Stati Uniti e la Commissione europea hanno cercato di mascherare il gigantesco divario tra le pratiche di spionaggio degli Stati Uniti ei valori fondamentali dell'UE. Il governo degli Stati Uniti ha chiarito che non intende modificare le sue pratiche di sorveglianza, né spingere per soluzioni legislative al Congresso. Tutte le parti hanno invece convenuto di semplicemente giocherellare con i margini delle pratiche transatlantiche sui dati, reinventando il precedente accordo Safe Harbor, che governava debolmente la gestione aziendale dei dati personali dei cittadini dell'UE, sotto un nuovo nome: lo scudo per la privacy UE-USA.

L'EFF, insieme al resto della società civile su entrambe le sponde dell'Atlantico, ha sottolineato che si trattava solo di mescolare sedie sul Titanic . La Corte ha citato programmi governativi come PRISM e Upstream come motivo principale per porre fine ai flussi di dati tra Europa e Stati Uniti, non le pratiche di privacy (certamente dolorose) delle società stesse. Ciò significava che era interamente nelle mani del governo e del Congresso degli Stati Uniti decidere se le società tecnologiche statunitensi possono gestire i dati personali europei. Il messaggio al governo degli Stati Uniti è semplice: aggiustare la sorveglianza di massa statunitense o minare una delle principali industrie degli Stati Uniti.

Cinque anni dopo l'originale iceberg di Schrems 1, Schrems 2 ha spinto il Titanic completamente sotto le onde. La nuova sentenza richiama esplicitamente le debolezze del diritto statunitense nel proteggere le persone non statunitensi dalla sorveglianza arbitraria, evidenziando che:

La sezione 702 della FISA non indica alcuna limitazione al potere che conferisce di attuare programmi di sorveglianza ai fini dell'intelligence straniera o l'esistenza di garanzie per persone non statunitensi potenzialmente prese di mira da tali programmi.

e

… né la sezione 702 della FISA, né l'EO 12333, letta in combinato disposto con la PPD-28, è correlata alle garanzie minime risultanti, ai sensi del diritto dell'UE, dal principio di proporzionalità, con la conseguenza che i programmi di sorveglianza basati su tali disposizioni non può essere considerato limitato a quanto strettamente necessario.

La CGUE non potrebbe essere più schietta nelle sue dichiarazioni: ma non è chiaro come reagiranno i vari attori che potrebbero risolvere questo problema. Le autorità dell'UE per la protezione dei dati intensificheranno le loro attività di applicazione e invalideranno gli SCC che autorizzano i flussi di dati negli Stati Uniti per non aver protetto i cittadini dell'UE dai programmi di sorveglianza di massa statunitensi? E se le società statunitensi non possono fare affidamento con sicurezza su SCC o sul defunto Scudo per la privacy, faranno pressioni più forti per un vero cambiamento legislativo degli Stati Uniti per proteggere i diritti alla privacy degli europei negli Stati Uniti, o troveranno semplicemente un altro tampone temporaneo per forzare un'altra decisione della CGUE? E la Commissione europea passerà dalla difesa dello status quo e delle attuali pratiche aziendali ad agire veramente a nome dei suoi cittadini?

Qualunque sia la reazione iniziale dei regolatori dell'UE, delle società e della Commissione, la vera soluzione sta, come sempre, con il Congresso degli Stati Uniti. La decisione odierna è un altro indicatore significativo del fatto che le pratiche di sorveglianza dei servizi segreti esteri del governo statunitense necessitano di una massiccia revisione. Il Congresso ha iniziato a malincuore il processo di miglioramento di alcune parti della FISA all'inizio di quest'anno, un processo che ora sembra essere stato abbandonato. Ma questa decisione mostra, ancora una volta, che gli Stati Uniti hanno bisogno di una riforma molto più ampia e che protegga la privacy e che l'inazione del Congresso ci rende tutti meno al sicuro, ovunque ci troviamo.