Diverse in questi giorni sono state le notizie che hanno risvegliato i dubbi (in realtà mai sopiti) in ordine alla tutela dei dati personali in USA.
Il 23 giugno scorso con il provvedimento del Garante della Privacy è stato vietato ad una società italiana proprietaria di un sito web di trasferire gli Analytics Data negli Stati Uniti, stante la carenza di adeguate garanzie di protezione dei dati offerte dalla normativa USA.
Più recente è la notizia della lettera aperta congiunta che Anna Eshoo (deputata per lo Stato della California) e Ron Wyden (senatore per lo Stato dell’Oregon) hanno inviato alla presidente della Federal Trade Commission, Lina Khan, per lamentare con apprensione la carenza di un adeguato livello dei protezione dei dati di utenti che nelle loro ricerche si avvalgono di reti private virtuali (VPN), che dovrebbero garantire loro un totale anonimato dei dati, una policy “no-log” e una assenza totale di cronologia e di conservazione degli indirizzi IP sui quali si è svolta la navigazione.
Trasferimento transfrontaliero dei dati personali: come tutelarsi dopo il caso Caffeina Media
Indice degli argomenti
Perché gli utenti usano le VPN
Preliminarmente, non possiamo prescindere da una brevissima definizione di VPN.
VPN è l’acronimo della perifrasi inglese Virtual Private Network, cioè rete privata virtuale, intesa quale sistema denominato di tunnelling appunto che crea proprio un ponte (o per meglio dire, se inteso come realtà nascosta a occhi indiscreti e quindi sotterranea, un tunnel) tra i computer coinvolti, in grado di essere accessibile ai soli computer autorizzati e completamente invisibile agli altri, pur se si sfrutta un mezzo di comunicazione pubblico come la rete internet.
Ciò chiarito in ordine a questo sistema di scambio dei dati, è ovvio che se la preoccupazione è generale con riferimento alle difficoltà di tutela dei dati essa diventa vieppiù allarmante allorché i dati di navigazione di utenti donne che utilizzano VPN potrebbero entrare nei data base delle forze dell’ordine al fine di perseguirle penalmente per aver effettuato ricerche sull’interruzione volontaria della gravidanza, divenuta reato all’indomani della sentenza della Corte Suprema Dobbs v. Jackson Women’s Health Organization.
Al di là del dibattito etico in ordine alla soppressione del diritto all’aborto e squisitamente di diritto positivo in ordine al principio di materialità del reato penale (nullum crimen sine actione), ciò che qui rileva è la totale mancanza di controllo del settore in generale, poiché l’installazione di una VPN è un passo importante per proteggersi quando si compiono ricerche su questioni delicate e diventa un arma a doppio taglio laddove, viceversa, la mancata sicurezza delle VPN espone gli utenti al rischio di essere perseguiti penalmente.
VPN e sicurezza nel trasferimento dati: lo scenario
La lettera aperta dei due senatori apre ad uno scenario francamente inquietante allorché denuncia che “nel 2020, un rapporto ha scoperto che sette provider VPN che dichiaravano di non conservare alcun registro delle attività online dei propri utenti hanno lasciato esposti 1,2 terabyte di dati di utenti privati, inclusi e-mail, indirizzi di casa, password in chiaro, indirizzi IP e attività su Internet degli utenti registri” e ancora sempre nel 2020 “un altro studio ha rilevato che il 75% delle app VPN Android segnala i dati personali degli utenti a società di monitoraggio di terze parti e l’82% richiede autorizzazioni per accedere a risorse sensibili, inclusi account utente e messaggi di testo”.
Ebbene, simili precedenti dimostrano che gli Stati Uniti non si sono affatto lasciati alle spalle quello stato di polizia con le sue misure restrittive praticate negli anni più bui della nostra storia.
Del resto, già la Corte di Giustizia, nella sentenza Schrems II aveva accolto il ricorso dell’irlandese Maximilian Schrems, il quale lamentava come le clausole contrattuali statunitensi non consentissero uno standard adeguato di protezione dei diritti degli interessati del trattamento da interferenze di soggetti terzi, in particolare da parte delle autorità governative statunitensi che praticavano strumenti di intercettazione massivi.
Delineato lo scenario del trattamento dati negli Stati Uniti, vale la pena allora spendere qualche parola sui controlli che il GDPR – muovendosi sui due filoni della accountability e della privacy by design – impone all’Unione Europea.
Se già tutti gli scambi di dati devono essere ragionevolmente tutelati, l’art. 32 del GDPR, per quanto di nostro interesse, responsabilizza il titolare e/o il responsabile del trattamento nei confronti di taluni dati che devono essere necessariamente da “tutelare con maggior vigore”, tenendo conto dei rischi che derivano dalla distruzione, perdita o modifica o divulgazione non autorizzata o dall’accesso in modo accidentale o illegale, “come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
L’urgenza di un accordo UE-USA
In conclusione e in una prospettiva de iure condendo, se in Europa – grazie al GDPR – il problema si risolve:
- attraverso una maggiore responsabilizzazione dei titolari e dei responsabili del trattamento;
- tramite una elevazione degli standard di sicurezza dei siti web gestiti;
- mediante una politica di archiviazione dei dati trattati che tenga conto di adeguate misure di garanzia, sia da un punto di vista di sicurezza elettronica che da un punto di vista di sicurezza fisica, in risposta agli incidenti possibili nel contesto aziendale di riferimento;
senza dubbio tali garanzie dovranno essere poste anche dagli Stati Uniti a base della loro disciplina interna di trattamento dati e riconosciute imprescindibilmente come capisaldi nel prossimo venturo trattato internazionale da sottoscrivere con l’UE in materia di scambio e trasferimento transnazionale di dati, uniformandosi a quei principi di necessità e proporzionalità dell’azione di cui all’art. 52 della Carta dei diritti fondamentali dell’Unione Europea, le cui norme assurgono a principi generali dell’ordinamento giuridico.
Insomma, in un contesto dove tutti gli operatori della data protection attendono con ansia un accordo Europa / USA che risolva definitivamente il disagio nell’utilizzo di tools americani, questo incidente di percorso non ci fa ben sperare.
