Correva l’anno 2020: gli Stati chiudevano le frontiere di fronte all’avanzare della pandemia e anche le frontiere virtuali erano diventate improvvisamente più ristrette in seguito alla sentenza “Schrems II” della Corte di Giustizia europea, che aveva invalidato l’accordo sul trasferimento dati personali tra l’UE e gli Stati Uniti in vigore dal 2016 e noto come “Privacy Shield“. Un cittadino e attivista austriaco, Max Schrems, aveva infatti dimostrato ai giudici della Corte la sostanziale incompatibilità tra il Regolamento generale sulla protezione dei dati (GDPR) dei cittadini europei e le leggi statunitensi che autorizzavano un accesso indiscriminato a questi ultimi da parte delle agenzie di intelligence d’Oltreoceano, senza fornire adeguate tutele giudiziarie. Per tre anni, fino al luglio 2023, i trasferimenti di dati personali tra l’Unione Europea e gli USA sarebbero stati quindi considerati illegali, anche se non avrebbero mai smesso del tutto di proseguire nella generale incertezza e ambiguità di aziende e operatori del settore.
A essere messa definitivamente in dubbio, con “Schrems II”, era stata la capacità attribuita alla Commissione Europea dall’articolo 45 del GDPR di valutare il livello di adeguatezza dei Paesi extra-UE dal punto di vista dell’autorizzazione al trasferimento dei dati personali verso questi ultimi. Un’incapacità manifesta che, tuttavia, non avrebbe portato né al riequilibrio dei poteri, né a un diverso approccio nel gestire i rischi relativi al trasferimenti dei dati al di fuori dei Paesi dell’Unione: dopo tre anni di faticosi negoziati, è stato infatti raggiunto nel 2023 un nuovo accordo tra le parti – denominato Data Privacy Framework – favorito da un ordine esecutivo del Presidente Biden – “Enhancing Safeguards for United States Signals Intelligence Activities” – che ha introdotto nuovi diritti per i cittadini europei in merito alla gestione dei loro dati personali conservati in territorio statunitense, ma senza mettere in discussione l’opportunità e le modalità di trasferimento e conservazione di questi ultimi nel corso del tempo.
La difficoltà di mettere in discussione l’opportunità stessa di trasferire dati personali da un Paese all’altro, anche dopo “Schrems II”
A fronte di un’impasse durata quasi tre anni (e che una futura e molto probabile sentenza “Schrems III” potrebbe resuscitare in ogni momento) non sono quindi emerse proposte alternative rispetto al modello vigente che subordina il trasferimento dei dati personali di cittadini-UE in Paesi terzi alla valutazione di istituzioni non elette democraticamente, come la Commissione europea. Anziché fornire alle persone la possibilità di opporsi caso per caso al trasferimento dei propri dati in Paesi terzi e alla loro archiviazione in server di ubicazione ignota, anziché mettere in campo strumenti capaci di rendere consapevoli gli utenti che determinati dispositivi e servizi digitali sono progettati per disseminare i loro dati in luoghi lontani e per lo più sconosciuti, ci si è limitati a trovare una soluzione per le problematiche sollevate dalla sentenza Schrems II e non per le problematiche annesse al trasferimento di dati tra Paesi tout court, dando per scontato il disinteresse dell’utente medio per questo tipo di operazioni.
Le domande, in questo contesto, non potrebbero essere tuttavia più numerose: dove sono conservate, esattamente, le foto che ho caricato sul mio profilo Facebook? Quanti e quali server nel mondo ospitano i video che mi ritraggono su YouTube? In quali datacenter sono salvate le mie conversazioni di messaggistica istantanea archiviate nel cloud, in quali server di quali aziende si trovano le migliaia di dati personali che ho prodotto nei miei primi venti anni di esistenza digitale? Non lo so, non lo posso sapere agevolmente, non credo che potrò mai saperlo a parte qualche generica indicazione sul fatto che determinate aziende – di cui sono stato e sono tuttora cliente – hanno server dislocati in alcuni Paesi del mondo anziché in altri, in alcuni Paesi oggi governati da regimi democratici, un domani forse autoritari o comunque in conflitto con il nostro. La trasparenza sulla localizzazione puntuale dei dati personali è un diritto che potrebbe a ragione definirsi fondamentale, ma che non viene previsto né dalle condizioni d’uso dei servizi digitali né tantomeno da regolamenti come il GDPR forse proprio per evitare che infinite “sentenze Schrems” possano mettere in crisi una filiera di estrazione, trasporto, analisi e conservazione dei dati che diventa ogni giorno più stratificata e difficile da ricostruire con esattezza.
La nascita di una nuova filiera di servizi e aziende che aiutano gli utenti a diventare consapevoli di quanti e quali dati personali vengono trasferiti altrove
Più che soffermarmi sui dettagli dei regolamenti e degli accordi in sé, che sicuramente rappresentano un passo avanti rispetto ad alcuni anni fa, mi interessa sottolineare come l’idea stessa del trasferimento dei dati personali tra Paesi diversi rispetto a quello in cui risiedono le persone a cui essi appartengono sia considerata una procedura talmente diffusa, ovvia e naturale da non essere più nemmeno messa in discussione, come se non fosse neppure possibile pensare che i dati personali di cittadini italiani, ancor prima che europei, debbano essere vincolati a una dimensione nazionale e all’autorizzazione del singolo individuo. Eppure, il merito di Schrems II è stato proprio quello di averci ricordato come questi trasferimenti possano essere improvvisamente interrotti, quando non del tutto vietati, in seguito alla sentenza di una Corte capace di ribaltare completamente l’errata valutazione di adeguatezza della Commissione europea. Errore che ha fatto sì – non dimentichiamolo – che un numero incalcolabile di dati personali venisse trasferito per più di quattro anni da una sponda all’altra dell’Atlantico in un luogo rivelatosi a posteriori del tutto “inadeguato”.
Non sorprende che, a fronte dell’inadeguatezza di istituzioni e regolamenti, il mondo privato e della ricerca accademica stia cominciando a sviluppare strumenti tecnologici pensati per rispondere al bisogno crescente di tutela e trasparenza da parte dei singoli individui. Un esempio in tal senso è il software Minos sviluppato da Lorenzo Laudadio, studente di Ingegneria Informatica del Politecnico di Torino, che consente di rilevare una potenziale violazione nel trasferimento dei dati personali verso domini di Paesi extra-UE quando un utente visita una lista predefinita di siti, inclusi quelli della pubblica amministrazione, aiutando l’utente stesso a presentare un reclamo al Garante della privacy italiano. Il software, sviluppato in occasione della tesi di laurea di Laudadio e presentato in occasione del 108° seminario del Centro Nexa (si veda la videoregistrazione a fine articolo), rappresenta per me un primo, significativo esempio di come potrebbero moltiplicarsi in futuro tecnologie capaci di sensibilizzare le persone in merito a quello che avviene quando utilizzano smartphone, computer o oggetti connessi e, se non a tutelarle preventivamente, renderle perlomeno edotte di quali e quanti dei loro dati personali vengono trasferiti verso destinazioni ignote, oggi sicure e un domani chissà.
Immagine di copertina: Joshua Sortino/Unsplash
