Security
Now Reading
La sentenza della Corte Europea di Giustizia sul Safe Harbour è la prima risposta al caso Snowden
2

La sentenza della Corte Europea di Giustizia sul Safe Harbour è la prima risposta al caso Snowden

by Guglielmo MengoraOctober 7, 2015

Come The Server-Side Technology aveva anticipato con un post del 24 Settembre, la Corte Europea di Giustizia ha definitivamente dichiarato nullo il trattato Safe Harbour. La decisione non è appellabile ed è quindi da considerarsi non più modificabile. Non sono solo le conclusioni della Corte a sorprendere, quanto  i toni piuttosto duri usati sia nel parere di cui abbiamo scritto qualche settimana fa, sia nel testo conclusivo della determinazione.

Quando la Corte scrive che “una legislazione [ndr: quella degli Stati Uniti] che permette alle autorità pubbliche di avere accesso in maniera generalizzata al contenuto delle comunicazioni elettroniche deve essere considerata una legislazione che compromette l’essenza del diritto fondamentale al rispetto della vita privata” o che “una legislazione che non prevede ogni possibilità per un individuo di usare tutti i metodi legali per avedere accesso ai dati che lo riguardino, o per ottenere la correzione o la cancellazione di tali dati, compromette l’essenza del diritto fondamentale alla tutela giudiziaria, con l’esistenza di questa possibilità come diretta conseguenza dell’esistenza di uno Stato di Diritto” usa parole di una durezza oggettivamente impressionante che da molti sono state sottovalutate.

Quella degli Stati Uniti deve essere considerata una legislazione che compromette l’essenza del diritto fondamentale al rispetto della vita privata

In sostanza, la Corte accusa gli Stati Uniti (riconosciuti come unica “terza parte” in causa, essendo il trattato valido solo con quel paese) di essere una nazione che non protegge i diritti fondamentali dell’individuo e dove non vige in modo completo lo Stato di Diritto.

Nonostante un pronunciamento così forte in Italia la notizia è stata riportata dai principali siti Web di informazione generalista e poi abbandonata velocemente tanto che il giorno dopo non se ne ha traccia sui quotidiani online, nemmeno con articoli di approfondimento, e questa circostanza non sorprende vista la blanda reazione alle rivelazioni di Edward Snowden che c’è stata nel nostro paese, rivelazioni che hanno destato molto stupore ed indignazione negli altri paesi europei tanto da mettere in discussione accordi di ben altra natura ed essere tuttora, come dimostra questa sentenza, assolutamente al centro della scena in ambito europeo. Sarà forse il caso di chiedersi se i grandi editori non siano molto favorevoli ad aprire discussioni relative alla privacy dei dati personali sapendo bene che dalle violazioni alla privacy stessa dipende gran parte delle loro attività online.

Che cosa è (era) il trattato Safe Harbour

Il trattato oggetto della determinazione della Corte è un accordo nato attorno agli anni 2000 che consentiva alle aziende statunitensi di trasferire nelle loro sedi principali i dati personali derivanti dalle loro attività europee, garantendo il rispetto di determinate normative sulla protezione di tali dati. I giganti tecnologici statunitensi avevano così il vantaggio di poter analizzare e gestire i dati dei cittadini europei direttamente nelle proprie sedi centrali, combinandoli con i dati derivanti dalle altre attività ma ottenendo anche altri benefit come l’approvazione “automatica” da parte di tutti i 28 stati membri e soprattutto la possibilità di gestire le accuse di violazione in tribunali statunitensi e non europei.

Molti datacenter negli Stati Uniti avevano inoltre deciso di completare le procedure di certificazione in modo da poter offrire ai propri clienti la possibilità di ottenere più facilmente le autorizzazioni necessarie per il trattamento dei dati personali e sensibili dei cittadini europei ed il trasferimento di queste informazioni è ancora oggi parte integrante del modello di business non solo di piccole aziende ma anche delle “major” tecnologiche statunitensi come Facebook, Microsoft, Google, Yahoo e tante altre.

L’era del dopo-Assange e dopo-Snowden

Non era difficile immaginare che, nonostante il silenzio (assenso?) italiano, gli altri paesi europei non avrebbero tardato a fare pesare le rivelazioni che Edward Snowden ha fatto sui programmi di sorveglianza illegale (che adesso possiamo definire non solo incostituzionali ma anche in palese violazione dei diritti fondamentali, come ha rilevato la Corte Europea di Giustizia) portati avanti dal Governo USA ma soprattutto del coinvolgimento diretto delle sue più grandi aziende IT. A poco sono servite le professioni di innocenza di queste ultime che hanno dichiarato spesso non di avere collaborato ma di essere state vittime di vere e proprie intrusioni o attacchi da parte del proprio Governo: troppo vasta e troppo articolata è stata la collaborazione che si era instaurata per credere che fosse “inconsapevole”.

Dal punto di vista commerciale, le aziende dell’IT hanno fiutato subito il gravissimo pericolo e si sono affrettate negli ultimi 2 anni ad avviare programmi di trasparenza volti a rassicurare i propri clienti e, nel contempo, hanno iniziato ad opporsi duramente alle richieste di accesso ai dati dei cittadini europei e non solo, da parte del loro governo.

Questo cambiamento ai più è sembrato solo di facciata, un gioco alla “poliziotto buono – poliziotto cattivo”, volto a cercare di recuperare laddove possibile un minimo di credibilità nell’interesse non solo delle aziende stesse ma anche del Governo statunitense che da un possibile massiccio trasferimento dei dati verso “porti più sicuri” avrebbe tutto da perdere, rendendo più difficile l’accesso proprio a quei dati che sono stati spesso miniere di informazioni commerciali e industriali dietro al paravento della lotta al terrorismo. Per le aziende la perdita di fiducia può rappresentare un danno commerciale enorme e, soprattutto, la possibilità di veder emergere concorrenti regionali, proprio nel momento in cui la centralizzazione delle informazioni e l’outsourcing delle infrastrutture sta assumendo dimensioni impressionanti.

Quali saranno le ripercussioni per le aziende USA

La prima conseguenza del pronunciamento di ieri è che le aziende che fino ad ora hanno usato il Safe Harbour per ottenere una sorta di consenso implicito al trasferimento dei dati non potranno più farlo e dovranno quindi ottenere i consensi dai singoli soggetti interessati quindi non solo utenti ma anche dipendenti, partner ed in generale qualsiasi soggetto che possa essere soggetto al trasferimento dei propri dati. I singoli paesi potranno ordinare alle aziende di bloccare il flusso di informazioni verso gli Stati Uniti e obbligarle a gestire i dati dei cittadini europei all’interno dei confini nazionali o continentali.

La prima conseguenza del pronunciamento di ieri è che le aziende che fino ad ora hanno usato il Safe Harbour per ottenere una sorta di consenso implicito al trasferimento oltreoceano dei dati non potranno più farlo

Non è esplicitamente vietato il trasferimento dei dati per i quali si ha il consenso ma è facile prevedere che, dopo un pronunciamento così forte da ritenere inadeguate le protezioni legislative USA, pioveranno i ricorsi delle associazioni per i diritti civili che con tutta probabilità vinceranno facilmente le loro battaglie e obbligheranno le aziende a fermare il flusso dei dati. Quasi certamente la prospettiva di dover gestire i dati dei cittadini europei in uno dei paesi continentali diventerà un obbligo formale, anche perché deve essere garantito a questi ultimi, sempre da pronunciamento della corte, l’obbligo di poter verificare i dati in possesso delle singole aziende e chiederne la rettifica o cancellazione. Solo un obbligo di “dimora” europea dei dati garantisce la protezione delle legislazioni della UE e la capacità di ottenere il rispetto di queste ultime da parte dei gestori delle informazioni.

Non solo privacy: l’alba della guerra commerciale

Se possiamo certamente affermare che la sentenza della Corte di Giustizia è la prima del dopo-Snowden e la prima nella quale l’Europa si “vendica” del tradimento dell’alleato, non sarà sfuggito ai componenti della Corte che il loro pronunciamento può avere risvolti importanti sul fronte fiscale e, di riflesso, diventare base per una guerra commerciale.

L’obbligo di mantenere e gestire i dati sul suolo europeo potrebbe configurare molte sedi UE delle diverse aziende come sedi pienamente operative e decisionali. E’ importante considerare che nella guerra fiscale tra i paesi europei e le aziende multinazionali del settore IT (quasi tutte statunitensi) nella maggior parte dei casi i primi non riescono ad imporre una tassazione normale alle seconde a causa della loro evanescenza. Molte sedi europee delle multinazionali IT sono considerate ai fini fiscali come sedi commerciali, nelle quali non vengono prese decisioni che invece sono demandate alle sedi centrali. I profitti, sempre ai fini fiscali, vengono quindi prodotti proprio nelle sedi centrali che di solito si trovano in paradisi fiscali e quindi, grazie agli accordi di esclusione di una doppia tassazione e triangolazioni come il “doppio irlandese con panino olandese” (double Irish with a Dutch sandwich), godono della tassazione nulla in vigore nei paesi di destinazione.

Non sarà sfuggito ai componenti della Corte che il loro pronunciamento può avere risvolti importanti sul fronte fiscale e, di riflesso, diventare base per una guerra commerciale.

Questa lunga precisazione è necessaria perché se le sedi di gestione dei dati vengono spostate all’interno dell’Unione Europea sarà più difficile per queste aziende asserire che in queste ultime non vengano prese decisioni nè si producano i profitti. Il risultato di questo cambiamento sarebbe l’obbligo di pagare le tasse nel paese europeo senza che vi sia la possibilità di trasferire i guadagni ad altri soggetti.

Per fare un esempio concreto, il Fisco italiano ha recentemente aperto una inchiesta su Apple proprio con la motivazione che non sia vero che nella sede italiana della nota azienda statunitense non vengano prese decisioni ma che sia una mera sede commerciale e di coordinamento che esegue quindi solo le decisioni prese altrove. Nel nostro caso, altrove è l’Irlanda alla quale vengono girati i guadagni del branch italiano.

Se le analisi di mercato, le strategie di marketing o addirittura la definizione dei prodotti per il mercato nazionale potessero essere considerate attività svolte in Italia, sarebbe improbabile che l’azienda possa trasferire i suoi profitti all’estero con la scusa della sede commerciale.

Difficilmente queste implicazioni sono sfuggite ai componenti della Corte di Giustizia e anche se fosse questo il caso, non abbiamo dubbi che altri lo avrebbero fatto notare. La decisione di ieri avrà probabilmente effetti di lungo termine che sono ancora da valutare e che andaranno oltre la mera gestione della privacy dei cittadini europei.

Nel frattempo ciò che resta oggi è un atto d’accusa durissimo della Corte di Giustizia Europea alle leggi e, se vogliamo, alla politica di uno stato che normalmente viene definito “alleato”. Quelle parole sullo Stato di Diritto non saranno facili da dimenticare.

Multimedia: audio della conferenza stampa

Di seguito, l’audio della conferenza stampa rilasciata dopo la decisione

What's your reaction?
Love It
0%
Interested
100%
Meh...
0%
What?
0%
Hate it
0%
Sad
0%
Laugh
0%
Sleep
0%
About The Author
Author Image
Guglielmo Mengora

Leave a Response