Safe Harbor: una piccola vittoria della privacy ad un costo enorme?

Il Safe Harbor, in Italiano “Porto Sicuro”, identifica delle leggi che dichiaravano il territorio degli Stati Uniti un posto sicuro per i dati degli utenti, in relazione alle direttive europee sulla privacy. Per cui, ad esempio, i server di Facebook localizzati sul suolo degli Stati Uniti, potevano essere utilizzati legalmente dall’azienda americana per registrare dati di un utente italiano. L’essenza di tali leggi era costituita dal fatto che le compagnie americane potevano firmare per diventare soggette, esse stesse, alla direttiva europea per il trattamento dei dati degli utenti. Per cui di fatto diventavano compatibili con la legislazione europea. Qualche tempo addietro, un cittadino austriaco di nome Maximillian Schrems, ha iniziato a documentarsi sulle procedure seguite da Facebook per la cancellazione dei dati degli utenti. Contattando le autorità Irlandesi sul merito si è visto rispondere che le procedure erano lecite per via del Safe Harbor. Al contrario delle aspettative però, la corte europea pronunciandosi sulla questione ha ribaltato la situazione, dichiarando il Safe Harbor invalido. Probabilmente questo è il risultato congiunto di diversi fattori. Le rivelazioni si Snowden sulle attività di intercettazione della NSA hanno sicuramente predisposto le giuste condizioni. Non aiuta il fatto che le aziende americane hanno una cattiva storia nella gestione della privacy degli utenti, dovuta principalmente ad una differenza culturale e legislativa. Fatto sta che ieri la corte europea ha sganciato una bomba sulle aziende americane che registrano dati dei cittadini europei, ma come effetto collaterale, l’ha sganciata anche su alcuni fondamenti di internet, almeno per come è stata concepita fino ad oggi.

“Mi mancano i tempi in cui nessuno se ne sbatteva di internet”

Sull’onda delle rivelazioni di Snowden e della crescente esigenza di privacy che alcuni utenti domandano verrebbe da esultare. I dati dei cittadini europei saranno finalmente al sicuro in suolo europeo! In realtà, come spesso avviene con queste questioni, i dettagli sono molto più complicati. La prima, banale osservazione è quella di stabilire quale sia il livello di privacy in suolo europeo. Tre anni fa, quello che è accaduto oggi alla corte europea, era già successo in Russia. Bizzarro come proprio un paese relativamente liberticida rispetto ai nostri standard abbia capitanato tale causa. Probabilmente l’intenzione della Russia era quella di avere più controllo sui dati dei russi, e non di salvaguardare la privacy dei propri cittadini. Insomma non è affatto detto che i dati degli utenti europei siano più al sicuro in Europa. Ad esempio in Inghilterra, le intercettazioni, in passato sembrano essere state invasive almeno quanto quelle effettuate negli Stati Uniti. In generale i governi hanno mostrato una spiccata propensione a farsi i fatti dei propri cittadini, e ci sono diversi casi in cui è più facile immaginare un abuso da parte del tuo governo sui tuoi dati che non quello di un governo estero, relativamente disinteressato a quello che fai e al tuo ruolo politico in patria. D’altra parte è anche vero che dati importanti relativi allo spionaggio industriale potrebbero essere facile preda del governo US, che potrebbe utilizzare delle “collaborazioni” più o meno gradite alle stesse aziende, per ottenere un vantaggio industriale ed economico. Non è neppure chiaro come sia possibile ottenere lo scopo che la corte europea spera di ottenere, perché i dati non sono pietre o barili di petrolio. Possono transitare da una parte all’altra del mondo, all’interno di un canale cifrato, senza che nessuno se ne accorga. I server di Facebook in Europa rimangono comunque di proprietà di Facebook, per cui la NSA potrebbe ancora essere in grado di metterci le mani e spostare i dati altrove, o semplicemente analizzarli in-sito quando necessario. Le moderne tecniche crittografiche renderebbero l’identificazione da parte dei governi europei di tali pratiche quasi impossibile.

Un freno all’innovazione?

Anche ammettendo che il suolo europeo sia un posto molto più sicuro per i dati degli utenti rispetto a quello statunitense, la fine del Safe Harbor ha dei grossi rischi in un ambito diverso: l’innovazione. Internet è innovazione dopo tutto, un continuo di nuovi servizi e nuovi modi di comunicare. Le applicazioni social stanno rivoluzionando le nostre vite, e che ci piaccia o no e qualunque siano le motivazioni profonde, rimane il fatto che quasi tutti questi nuovi servizi sono concepiti e sviluppati negli Stati Uniti. Per Facebook è facile accontentare i cittadini europei. I server in europa li hanno già, assieme alle sfilze di avvocati e tecnici necessari per essere perfettamente in linea con le nuove direttive. Non è così per le piccole aziende, le startup insomma. Ma i big di oggi come Twitter, Facebook e Instagram non erano forse tutte piccolissime aziende fino a pochi anni fa? Come faranno le nuove piccole aziende, quelle che dovrebbero rimpiazzare le applicazioni social di oggi e garantire che ci sia innovazione in questo settore, a prendere piede in Europa? Non è neppure chiaro come identificare esattamente la nazione di ogni singolo utente, perché purtroppo ci sono ampi margini decisionali relativi al singolo stato europeo, per cui potrebbe essere necessario gestire diversi dati in modi diversi in relazione alla cittadinanza esatta. Inoltre non è chiaro quali siano i dati soggetti a tali restrizioni e quali invece non siano considerati dati personali. E’ anche possibile che dal punto di vista legale i grossi fornitori di servizi social americani riescano a trovare delle scorciatoie, lasciando il problema quasi esclusivamente alle piccole startup concorrenti. La fine del Safe Harbor da molti punti di vista sembra un pericolo per l’innovazione e una contro tendenza rispetto ad un mondo interconnesso, quello moderno che si va delineando negli ultimi anni, in cambio di vantaggi che sono tutti da capire e che potrebbero essere poca cosa rispetto a quello che rischiamo di perdere.
Salvatore Sanfilippo è OSS developer presso Redis: qui il suo curriculum

Leggi sull’argomento: Max Schrems: lo studente che ha sfidato Facebook (e ha vinto)