Dichiarazione di Max Schrems un anno dopo la decisione "Schrems II" della Corte di giustizia dell'Unione europea
Un anno fa la cosiddetta decisione "Schrems II" è stata definita innovativa, nonostante sia la seconda volta che la CGUE ha dichiarato illegali i trasferimenti di dati tra l'UE e gli Stati Uniti - sulla base del diritto comunitario che esiste effettivamente dal 1995. Nel corso dell'ultimo anno, sembra che le parti interessate si siano impegnate principalmente a deviare e a puntare il dito, passando le responsabilità una dopo l'altra.
Solo una parte delle aziende europee ha capito che il conflitto di fondo tra la protezione dei dati dell'UE e la legge sulla sorveglianza degli Stati Uniti non sarà risolto a breve termine, e si è spostata verso l'hosting dei dati personali in Europa, o in altre regioni sicure, invece di impegnarsi in un incubo infinito di conformità alla legge statunitense. Altre aziende europee lamentano regolarmente la mancanza di una "guida" nonostante due sentenze chiare. Quando viene data una guida, come le recenti linee guida EDPB, molti sostengono che è "irrealistico" seguire i requisiti della legge.
Un'orda di avvocati dell'industria e di fornitori di cloud statunitensi ha cercato di riempire questa lacuna con pseudo-guida "keep calm and carry on" e ha sviluppato teorie legali sempre più rozze nel corso dell'ultimo anno. Queste vanno dall'esistenza di un "approccio basato sul rischio" (che non è presente nella parte pertinente del GDPR) al suggerimento di "misure supplementari" non funzionali (come avere recinzioni intorno ai data center). Invece di investire in sistemi IT sicuri, questi attori del settore privato investono in sforzi di PR che fingono la conformità. Sarà interessante vedere se le imprese e i clienti dell'UE chiederanno un risarcimento se queste promesse si riveleranno essere solo aria fritta.
Leautorità di protezione dei dati si sono ampiamente impegnate in un approccio di attesa. Con poche eccezioni, non ci sono state indagini o decisioni da parte delle DPA finora. Dei 101 reclami modello presentati da noyb dopo la sentenza, nessuno è stato deciso, nonostante la creazione di una task force da parte delle DPA. Il reclamo originale su Facebook, presentato nel 2013, è stato ritardato da una seconda indagine non necessaria da parte della Commissione irlandese per la protezione dei dati, che ha richiesto a noyb di emettere un'altra causa contro la DPC, che ha risolto nel gennaio 2021. In questo momento ci aspettiamo delle decisioni a breve.
La Commissione europea sta confondendo le acque emettendo nuovi strumenti di trasferimento, come le"clausole contrattuali standard", che bypassano accuratamente una chiara parola sui trasferimenti UE-USA e permettono agli avvocati dell'industria di continuare a far girare nuove teorie di conformità ed evitare soluzioni a lungo termine. Allo stesso tempo, la Commissione non sembra credere in una soluzione tempestiva con gli Stati Uniti.
Contrariamente alla sua controparte europea, il governo statunitense è felice di annunciare regolarmente presunti "progressi" nei negoziati per un nuovo accordo. Tuttavia, sembra che ci sia poco o nessun appetito per cambiare la radice del problema: le esagerate leggi statunitensi sulla sorveglianza. A meno che l'industria statunitense non eserciti forti pressioni su Washington per migliorare le protezioni per i clienti stranieri, è improbabile che le leggi statunitensi sulla sorveglianza cambino. Nelle conversazioni che ho avuto, l'industria statunitense è stata piuttosto chiara: senza la minaccia di un'applicazione seria nell'UE o un esodo di massa dei clienti dell'UE, l'industria statunitense non spenderà il suo capitale politico a Washington per combattere per le protezioni della privacy per gli stranieri.
La situazione equivale innegabilmente a un cerchio di giocatori che in gran parte stanno fermi. Il lato positivo è che se uno di questi attori inizia a muoversi, può provocare rapidamente un effetto domino verso una soluzione a lungo termine.
A mio parere personale, una soluzione a lungo termine può essere solo una qualche forma di accordo "no spy" tra nazioni democratiche che protegga il diritto umano degli utenti alla privacy indipendentemente dal luogo e dalla cittadinanza. Potremmo non arrivarci nel giro di pochi mesi, ma potenzialmente entro un decennio, dato che un internet globale ha bisogno di protezioni globali per funzionare come gli utenti e le aziende desiderano.
Il team di noyb e molti altri continueranno a lavorare su una soluzione a lungo termine.
Max Schrems
