Il nuovo EU-US Data Privacy Framework? “Pieno di debolezze”, “le solite di sempre”, e “quasi di certo entro tre anni sarà rigettato dalla Corte di Giustizia europea”. Ma per evitare di andare avanti senza fine, con tre anni di incertezza seguiti da tre anni di accordo-fantoccio l’unica è “un accordo di tipo politico tra Paesi democratici su una circolazione corretta dei dati. Il tema è politico, non legale”.
Così Max Schrems, attivista austriaco, uno dei nomi più famosi della privacy internazionale, in questa intervista a Cybersecurity360.it, avvenuta su Teams la scorsa settimana. La battaglia condotta con la sua non-profit Noyb alle regole di trasferimento dati tra Europa e Usa è una delle azioni legali ad avere avuto maggiore impatto nella storia della privacy.
EU-US Data Privacy Framework approvato, ecco perché è passo importante ma non risolutivo
Indice degli argomenti
Grazie per esserti collegato. Cominciamo dalle principali debolezze del nuovo framework
“Ce ne sono un paio. La prima: l’uso dati a scopo commerciale è diverso da quello richiesto dalle leggi europei; sfrutta il vecchio safe harbour, già invalidato dalla Corte Ue. Ci sono differenze importanti. Ad esempio, da noi in certi casi, per questi utilizzi, abbiamo bisogno del consenso degli utenti; lì invece basta un opt out.
La seconda grossa debolezza riguarda la sorveglianza del Governo. Funziona ancora come prima, sui dati degli europei. Hanno solo cambiato i nomi delle cose”.
L’accordo autorizza la sorveglianza massiva. Ma avete raccolto prove che questa sorveglianza in effetti avvenga?
“Ce ne sono tantissime. Si legge anche nei trasparency report delle big tech. Avviene su circa 200 mila utenti ogni 6 mesi”.
Non c’è nessuna modifica reale o miglioria nel nuovo framework?
“Ci sono alcuni miglioramenti e chiarimenti, alcuni di questi depongono male per la Commissione europea che ha accettato l’accordo. Si legge chiaramente ora che possono cambiare in segreto le regole sulla sorveglianza. Lo facevano anche prima, ora lo dicono con chiarezza: il modo in cui ci sorvegliano può cambiare e noi non lo possiamo sapere.
Altra cosa: poiché la Corte di giustizia europea ha trovato che la sorveglianza massiva non rispettava il criterio di proporzionalità previsto nelle nostre norme, adesso gli Usa hanno inserito la parola proporzionalità… ma hanno subito aggiunto che di questo concetto faranno una interpretazione americana”.
Insomma, non so se ho capito bene, ma sembra uno scherzo. Sarebbe, con una battuta, come se un partner giurasse fedeltà all’altro, ma poi si affrettasse ad aggiungere, “…ma in base alla mia interpretazione del concetto di fedeltà”?
(Ride) “Sì, l’esempio è molto chiaro”.
E alla luce di tutto questo, quanto siete fiduciosi di fare annullare anche questo accordo?
“Al 95 per cento direi. Perché la Corte ha detto loro due volte che quelle cose non si possono fare e loro le hanno rifatte uguali nella sostanza. Certo possono sempre cambiare idea, ma non è probabile”.
E quando presenterete ricorso, già annunciato a luglio?
“Presto, presto… se non sono disturbato da interviste” (ride).
Ecco, ora mi sento responsabile del futuro della privacy mondiale. Ma quanto tempo passerà prima di avere un risultato?
“Difficile dirlo. Come sapete non si può andare direttamente alla Corte, prima bisogna passare dalla decisione di un giudice nazionale. In tutto credo ci vorranno circa tre anni”.
Certo che, comunque vada, non è il massimo: passare da anni di incerto accordo ad anni in cui l’accordo salta e si prepara il successivo… così all’infinito, indefinitamente. Non fa bene alla privacy, non fa bene all’economia digitale basata sui dati.
“Temo che sì, sarà un problema. Ma non si può fare finta di nulla. Tieni presente che molte di quelle cose che vogliono fare con i nostri dati sarebbero illegali negli Usa se fatte su americani. Per uscire dall’impasse si può solo sperare in un accordo internazionale tra paesi democratiche, su proteggere i dati che vanno all’estero. E’ una questione politica non legale; non si può dire: risolviamo cambiando un rigo dell’accordo qui e lì”.
Il boom dell’intelligenza artificiale, che stiamo vivendo, come cambia le cose?
“Rende la privacy più difficile, crea nuovi problemi. L’IA permette di combinare meglio i dati facendo emergere informazioni che altrimenti non avresti, sulle persone. E può produrre informazioni non accurate su di loro, ad esempio nei chatbot. Stiamo costruendo i primi casi legali sui problemi di trasparenza, explainability e accuratezza sui dati personali usati dall’IA. L’anno prossimo credo che ci saranno molti più casi; siamo ancora all’inizio. E non ho parlato di sorveglianza di massa con riconoscimento facciale; ce ne occupiamo da dieci anni e non la vedo più nemmeno come IA”.
Quale sarebbe, in definitiva, il futuro migliore, auspicabile, per la circolazione dei dati a livello globale? Nel rispetto di diritti e innovazione, crescita economica, tutto assieme?
“Il problema più grande da risolvere è il conflitto di leggi sul digitale. Prima nessuno regolava, adesso regolano tutti. Usa, Europa, Cina… ma lo fanno in modo diverso, in base ai loro diversi sistemi politici e culturali. In Germania già ora è illegale negare l’olocausto sui social, mentre è libertà di espressione negli Usa. Quindi diverse regole si applicano e sempre più si applicheranno sulle stesse piattaforme.
Avremo sempre più bisogno di localizzazione di software e servizi, nei diversi Paesi. Sarà un mondo complicato. L’alternativa è fare accordi internazionali sul digitale come si fa per la circolazione di auto, navi, aerei. Ci sono pro e contro nei due scenari. Dipende da quali compromessi si raggiungeranno in questi accordi. Però bisogna tentare di farli, perlomeno tra Paesi democratici, rispettando i valori che ci accomunano e che l’attuale framework viola. Ci vorranno 10-12 anni almeno, ma è questa la strada”.
Articolo originariamente pubblicato il 20 Nov 2023