La sentenza «bomba» della Corte di giustizia europea ha dichiarato non più valido il «Safe Harbor» (Porto sicuro), l’accordo tra Unione Europa e Stati Uniti che consente alle imprese americane di conservare i dati personali degli utenti europei sia nella Ue che negli Usa. L’accordo attua la direttiva Ue 95/46 entrata in vigore nell’ottobre 1998 sulla protezione dei dati personali. Riguarda le società che immagazzinano i dati dei clienti e dunque in prima battuta quelle attive nel business di Internet come Facebook e Google, ma non solo: sono infatti 4.500 le aziende americane che hanno utilizzato il Safe Harbor. Lo scopo dell’accordo è quello di impedire la perdita accidentale o la rivelazione di dati personali.

Per poter aderire al programma le società americane devono rispettare sette principi: 1) Gli utenti devono essere avvertiti sulla raccolta e l’utilizzo dei propri dati personali; 2) Ciascuno deve essere libero di rifiutare la raccolta dei dati e il loro trasferimento a terzi; 3) I dati possono essere trasferiti solo a organizzazioni che seguono principi adeguati di protezione dei dati; 4) Le aziende devono fornire garanzie contro il rischio che i dati vengano smarriti; 5) Devono essere raccolti solo i dati rilevanti ai fini della rilevazione; 6) Gli utenti hanno il diritto di accedere ai dati raccolti ed eventualmente a correggerli o cancellarli se sono inesatti; 7) Queste regole devono essere efficacemente attuate. Una volta che l’impresa ha aderito al programma, deve rinnovare la certificazione ogni 12 mesi.

Nel novembre 2001 anche il Garante italiano a tutela della privacy aveva preso atto dell’intesa tra Usa e Ue. «Sulla base dei principi fissati dalla Commissione europea, il Garante - scriveva all’epoca - preso atto della dichiarazione comunitaria di adeguatezza del livello di protezione garantito dalle organizzazioni aventi sede negli Stati Uniti d'America ed aderenti al c.d. accordo del “Safe Harbor”, ha autorizzato il trasferimento dei dati personali dall'Italia verso gli Usa; il Garante si è riservato di svolgere i necessari controlli su trasferimenti di dati e su connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco o di divieto di trasferimento». Dopo la sentenza Ue, ora la palla passa di nuovo al Garante.

© Riproduzione riservata