Privacy Shield: cos'è, i rischi per la privacy e come sono tutelati i nostri dati online

Man mano che immettiamo in rete una quantità crescente di dati personali, alcuni dei quali anche molto sensibili, il problema della loro protezione da occhi indiscreti si fa sempre più pressante. In realtà è un problema di lunga data, su cui il legislatore europeo si è persino mosso in anticipo rispetto alla sensibilità dell’utente medio.

Che cos’è il privacy shield

È un meccanismo legale istituito nel 2016 è stato istituito per regolare il trasferimento dei dati personali tra l’Unione Europea e gli Stati Uniti, che andava a sostituire il vecchio Safe Harbor Agreement (“accordo di porto sicuro”), giudicato inadeguato alle esigenze dei tempi moderni. Il Privacy Shield (shield in inglese significa scudo), si basava su una serie di principi che le aziende aderenti dovevano rispettare:

• Le aziende dovevano comunicare chiaramente come venivano raccolti, utilizzati e protetti i dati personali.
• I dati personali potevano essere utilizzati solo per le finalità per cui erano stati raccolti.
• Le aziende dovevano adottare misure adeguate per proteggere i dati personali da accessi non autorizzati.
• Gli interessati dovevano avere il diritto di presentare reclami e ottenere risposte tempestive. 

I difetti del privacy shield

Avrete notato che ne stiamo parlando al passato: nel 2020 infatti la Corte di Giustizia Europea ha invalidato il Privacy Shield, ritenendo che non garantisse una protezione sufficiente contro la sorveglianza di massa da parte delle agenzie governative statunitensi. In particolare, la Corte ha evidenziato che la legislazione statunitense contiene elementi che consentono alle autorità americane di accedere ai dati personali degli utenti senza garantire tutele adeguate per i cittadini non statunitensi. Inoltre i meccanismi di ricorso previsti dal Privacy Shield non offrivano agli interessati europei una tutela equivalente a quella garantita dalla normativa europea, il Regolamento Generale sulla Protezione dei Dati.

L’invalidazione del Privacy Shield ha reso più complicato trasferire dati tra UE e USA, costringendo le aziende interessate a basarsi su strumenti legali alternativi, come le Clausole Contrattuali Standard (SCC), che però a loro volta presentano varie criticità.

Il nuovo accordo: il Trans-Atlantic Data Privacy Framework

Per risolvere tali criticità nel 2022 l’UE e gli USA hanno annunciato un nuovo accordo preliminare, il Trans-Atlantic Data Privacy Framework, progettato per affrontare le preoccupazioni sollevate dalla Corte di Giustizia Europea. Questo quadro regolamentare mira a fornire garanzie più robuste per la protezione dei nostri dati personali. Tanto per cominciare il governo USA si impegna a introdurre meccanismi che limitino l’accesso ai dati personali da parte delle agenzie di intelligence, assicurando che qualsiasi raccolta di dati sia proporzionata e necessaria per finalità di sicurezza nazionale.

Inoltre si prevede l’istituzione di un Tribunale per la Protezione dei Dati, un organismo indipendente e imparziale che dovrebbe consentire ai cittadini europei di presentare reclami relativi all’accesso ai loro dati personali da parte delle autorità statunitensi. A tale tribunale sarà concesso il potere di indagare e ordinare correttivi, se necessario. Le aziende statunitensi che vogliono ricevere dati personali dall’UE dovranno aderire a rigidi standard di protezione dei dati, simili a quelli richiesti dal GDPR (il regolamento europeo in materia di protezione dati personali). Questi standard dovranno includere misure di sicurezza informatica rafforzate e meccanismi di ricorso per gli utenti. Infine l’accordo prevede una supervisione continua e una revisione periodica per garantire che le misure adottate rimangano efficaci e in linea con gli sviluppi normativi e tecnologici.

Come devono adeguarsi le aziende? Quali implicazioni per i consumatori?

Il successo di questo accordo ha ricadute che vanno al di là della protezione dei nostri dati: offre maggiore certezza legale alle aziende che operano nei campi dell’informatica, che siano giganti della rete americani o piccole e medie imprese nostrane. Ma l’insuccesso dei due quadri regolamentari precedenti induce alla cautela. Tra i possibili ostacoli ci sono nuove sfide legali da parte degli attivisti per la privacy: gli stessi che hanno portato al pronunciamento della Corte Europea hanno già espresso il loro scetticismo anche su questo nuovo accordo e non è escluso che possa essere impugnato dinanzi alla Corte di Giustizia.

Inoltre la reale applicazione delle limitazioni sull’accesso ai dati da parte delle autorità statunitensi e l’efficacia del Tribunale per la Protezione dei dati saranno determinanti. Se queste misure non saranno percepite come sufficientemente robuste, anche questo accordo potrebbe essere messo in discussione. Infine è imperativo trovare un equilibrio tra innovazione e protezione dei diritti. La necessità di mantenere i flussi di dati transatlantici è fondamentale per molte aziende, ma deve essere bilanciata con la protezione dei diritti fondamentali degli utenti.

Dal punto di vista pratico, questi cambiamenti avverranno in maniera del tutto trasparente per il singolo consumatore: non sono previsti bollini particolari, chi è interessato alla questione potrà ottenere più informazioni rivolgendosi al Garante per la privacy.

Prospettive future

Tutto questo concentrarsi sul flusso di dati tra Europa e USA ha una sua ovvia radice nel primato americano della rete: nei suoi primi decenni internet è stata molto americano- centrica e anche quasi tutti i social su cui riversiamo i dettagli delle nostre vite sono multinazionali fortemente ancorate agli USA: Meta (proprietaria di Facebook, Instagram, Whatsapp), X, YouTube...

Ma negli ultimi anni abbiamo assistito a uno spostamento di questo asse verso oriente: TikTok è di origine cinese, Telegram è nato in Russia. Una volta risolta, si spera, la questione americana, toccherà pensare a proteggere i nostri dati anche da questi altri occhi interessati e contemporaneamente estendere la nostra attenzione alle problematiche poste dall’avvento dell’intelligenza artificiale.

E non sarebbe male, anzi sarebbe molto auspicabile, vedere nuove tecnologie nascere direttamente nel vecchio continente: ogni innovazione, anche se porta alla nascita di aziende multinazionali, rispecchia sensibilità tipiche del paese in cui è stato sviluppato e da questo punto di vista l’assenza di social network europei rappresenta un problema, che ci costringe a cercare di “piegare” alle nostre regole strumenti ideati e controllati altrove. Applicazioni ideate qui forse nascerebbero più attente alle nostre esigenze.

Come difendere la propria privacy online

Al livello più alto, ci pensa la legge, secondo quanto dettagliato nei punti precedenti. Ciò non toglie che i più importanti difensori della nostra privacy siamo noi stessi con il nostro comportamento. In generale i social network ci forniscono strumenti per intervenire: per esempio su Facebook possiamo scegliere il pubblico che è autorizzato a leggere ciò che scriviamo, potendo specificare se lasciare i nostri post leggibili a tutti, solo ai nostri amici o anche solo a un gruppo selezionato di amici.

Funzionalità simili esistono un po’ in tutti i social network, ma è importante tenere a mente una cosa: il verbo che si usa per indicare che siamo intervenuti in un social è pubblicare. Questo verbo dovrebbe aiutarci a renderci conto che non ci sono impostazioni che tengano e quando pubblichiamo un’informazione di qualsiasi genere su internet la stiamo dando in pasto al pubblico e non ci sono impostazioni che tengano: gli errori sono sempre dietro l’angolo, gli usi non autorizzati anche, per non parlare delle effrazioni digitali di malfattori di ogni sorta.

WhatsApp: problemi di privacy?

A proposito, il recente caso di spionaggio via Whatsapp, che ha colpito decine di giornalisti e attivisti in tutto il mondo incluso il direttore di Fanpage.it, mostra quanto sia complicato difendersi quando ad attaccare sono aziende specializzate o addirittura apparati statali: Whatsapp è uno strumento di comunicazione privata e l’attacco, stando alle ricostruzioni più credibili, non prevedeva errori da parte degli utenti bersaglio, bensì ha sfruttato uno dei tanti “buchi” che esistono in ogni software.

Si può provare a mettere una pezza a questo specifico buco, andando nelle impostazioni di privacy di Whatsapp e scegliendo alla voce “Chi può aggiungermi ai gruppi” l’opzione “I miei contatti” (qui una spiegazione di come funzionano i gruppi su Whatsapp). Ma se questo impedirà a semplici scocciatori di aggiungerci a nostra insaputa a gruppi che non ci interessano (il che è già comunque un buon risultato), realisticamente bisogna sapere che difendersi individualmente di fronte a un attacco di questo tipo è come difendersi individualmente da un attacco missilistico: come singoli cittadini siamo impotenti di fronte ad azioni di questa portata, la soluzione spetta alla politica.

Questo non vuol dire che dobbiamo smettere di usare i social network e gli strumenti di comunicazione digitale, ma è un invito a usarli ragionando, con la consapevolezza che non c’è bisogno di pubblicare proprio tutto quello che ci riguarda; che almeno le informazioni sensibili, più che proteggerle con impostazioni di vario tipo, potrebbe essere meglio evitare di pubblicarle; e che questi argomenti è bene che assumano maggiore rilevanza nel dibatto pubblico.