Max Schrems: lo studente che ha sfidato Facebook (e ha vinto)

Qualche tempo fa Max Schrems, uno studente di legge austriaco, ha deciso di intentare causa a Facebook. Secondo Schrems il social avrebbe ripetutamente violanto la normativa europea sulla tutela della privacy anche in virtù della collaborazione di Facebook al sistema di spionaggio su scala globale Prism. Assieme allo studente viennese lo hanno fatto altri venticinquemila utenti da trentaquattro paesi in quella che è una delle più grandi class action contro Facebook.

#Facebook faces 25k users in court. #Privacy class action starts April http://t.co/mGGJo3ePKw https://t.co/4XTUXcNvx2 pic.twitter.com/93SmlxwdiF

— europe-v-facebook (@europevfacebook) January 26, 2015

La class action contro Facebook

Ad essere contestato è il fatto che Facebook (ma anche altre grandi aziende) abbiano potuto dal 2000 ad oggi trasferire e conservare “all’estero” i dati degli utenti. Grazie all’accordo commerciale USA-UE denominato Safe Harbor (o Safe Harbour) il Social di Zuckerberg poteva garantire l’accesso ai dati degli utenti stranieri (in questo caso europei) al Governo USA. E lo scandalo del sistema di sorveglianza globale della National Security Agency ha fatto venire alla luce un coinvolgimento di Facebook nelle azioni di spionaggio della NSA. Secondo Schrems l’esistenza del Safe Harbor non può prevaricare le competenze dei singoli stati riguardo il trattamento dei dati personali degli utenti. Il punto è che i dati degli iscriti a Facebook vengono trasferiti “senza un’adeguata protezione” tra la sussidiaria irlandese (il quartier generale di Facebook in Europa è a Dublino) e Facebook USA.

Una pietra miliare per la difesa della privacy

Dopo essere stata rigettata una volta la causa di Schrems è approdata in Aula e alla Corte di Giustizia Europea del Lussemburgo che oggi ha emesso la sentenza in cui vengono accolte le istanze dei richiedenti invalidando il Safe Harbor dal momento che viola i diritti dei cittadini europei. La corte, riconoscendo che «la Commissione non aveva la competenza di limitare in tal modo i poteri delle autorità nazionali di controllo» ha quindi dichiarato:

invalida la decisione della Commissione del 26 luglio 2000. Tale sentenza comporta la conseguenza che l’autorità irlandese di controllo è tenuta a esaminare la denuncia del sig. Schrems con tutta la diligenza necessaria e che a essa spetta, al termine della sua indagine, decidere se, in forza della direttiva, occorre sospendere il trasferimento dei dati degli iscritti europei a Facebook verso gli Stati Uniti perché tale paese non offre un livello di protezione dei dati personali adeguato.

La decisione della Corte rappresenta di fatto una vera e propria pietra miliare nella battaglia per la tutela della privacy dei cittadini europei e degli iscritti a Facebook. Non significa che il social network dovrà smettere di raccogliere i dati degli utenti ma che se vorrà farlo e se vorrà utilizzarli dovrà farlo nel rispetto della normativa dei singoli stati membri.

#ECJ declares EU-US Safe Harbour Decision invalid #SafeHarbor #Schrems http://t.co/B0sMPtNgss — EU Court of Justice (@EUCourtPress) October 6, 2015

Quali sono le conseguenze della sentenza?

Cosa comporta le decisione dell’Alta Corte europea? Per quanto riguarda Facebook ora la palla passa all’Alta Corte di giustizia irlandese che dovrà esaminare il livello di protezione dei dati personali degli utenti europei e valutare, in caso contrario, la sospensione del trasferimento dei dati verso gli USA. Ma non è solo Facebook a dover cambiare il modo in cui gestisce i dati personali, anche Google e migliaia di aziende USA che operano sul territorio dell’Unione Europea potranno essere passibili di controllo. Ma la decisione riguarda, ad esempio, anche le aziende che hanno dipendenti europei e devono mandare le buste paga da una sponda all’altra dell’Atlantico oppure quelle ditte che si occupano di marketing e fanno affidamento sulla trasmissione dei dati dei potenziali consumatori per la pianificazione delle campagne pubblicitari. Per ora la maggior parte delle società che gestiscono i dati personali in qualche forma e che sono nella lista delle aziende del Safe Harbor potevano limitarsi a chiedere il consenso al trattamento dei dati personali ma non è detto che, in seguito a questa sentenza, le cose non possano cambiare perché improvvisamente le società USA si troveranno a dover trovare accordi con i singoli stati in base alle differenti normative in materia di tutela della privacy di utenti e consumatori. L’opzione più probabile è che Stati Uniti e Unione Europea stipulino un nuovo trattato sul trasferimento dei dati, una versione 2.0 del Safe Harbor ma, come spiega la BBC, la cosa è più semplice a dirsi che a farsi, pare infatti che uno degli scogli principali del negoziato sulla revisione del Safe Harbor sia la possibilità per gli utenti europei di intentare causa alle società americani qualora si verificasse un abuso o un utilizzo scorretto dei dati personali.