Milano. Max Schrems era poco più che un ragazzo nel 2013, quando intentò un’azione legale contro Facebook a seguito delle rivelazioni di Edward Snowden sull’apparato di sorveglianza degli Stati Uniti, e con quell’azione legale sconquassò le politiche digitali dell’Unione europea, e un po’ anche degli Stati Uniti. Ora Schrems, nato in Austria, è un uomo di 32 anni, anche se ha ancora la faccia da ragazzo, ed è uno degli attivisti per la privacy più importanti del mondo. Ha scritto un paio di libri, ha fondato un’associazione no profit, e ieri esultava perché il caso legale che porta il suo nome, lo “Schrems II”, ha affondato per la seconda volta un protocollo fondamentale per il trasferimento dei dati personali tra gli Stati Uniti e l’Europa. Questo protocollo si chiama Privacy Shield, e la Corte di giustizia europea ha deciso che deve essere eliminato perché non fornisce ai dati dei cittadini europei protezione adeguata dalla sorveglianza dello stato americano. Questo significa che adesso moltissime aziende sono nei guai.

Milano. Max Schrems era poco più che un ragazzo nel 2013, quando intentò un’azione legale contro Facebook a seguito delle rivelazioni di Edward Snowden sull’apparato di sorveglianza degli Stati Uniti, e con quell’azione legale sconquassò le politiche digitali dell’Unione europea, e un po’ anche degli Stati Uniti. Ora Schrems, nato in Austria, è un uomo di 32 anni, anche se ha ancora la faccia da ragazzo, ed è uno degli attivisti per la privacy più importanti del mondo. Ha scritto un paio di libri, ha fondato un’associazione no profit, e ieri esultava perché il caso legale che porta il suo nome, lo “Schrems II”, ha affondato per la seconda volta un protocollo fondamentale per il trasferimento dei dati personali tra gli Stati Uniti e l’Europa. Questo protocollo si chiama Privacy Shield, e la Corte di giustizia europea ha deciso che deve essere eliminato perché non fornisce ai dati dei cittadini europei protezione adeguata dalla sorveglianza dello stato americano. Questo significa che adesso moltissime aziende sono nei guai.

Partiamo dall’inizio. Nel 2013, quando Max Schrems cominciò la sua battaglia, tra l’Europa e gli Stati Uniti era in vigore il Safe Harbor, un meccanismo legale che facilitava il trasferimento dei dati personali da un lato all’altro dell’Atlantico: immaginiamo un accordo commerciale di libero scambio, solo che con i dati. Il 2013, però, è anche l’anno delle rivelazioni di Snowden, e Schrems intenta un’azione legale per imporre a Facebook di non trasferire i dati personali degli europei negli Stati Uniti, dove poi, diceva Schrems, sarebbero finiti nelle grinfie dell’Nsa. Di sentenza in sentenza, la causa arriva alla Corte di giustizia europea, che nel 2015 dà ragione a Schrems: il Safe Harbor va affondato. Allarmatissimi, i politici americani ed europei si affrettano a fare un nuovo protocollo e lo approvano pochi mesi dopo, all’inizio del 2016. Nasce il Privacy Shield, che è così simile al suo predecessore che Schrems annuncia: faremo un altro giro in Lussemburgo (dove ha sede la Corte). L’altro giro è terminato ieri, e pure il Privacy Shield è stato affondato.

Significa che non sarà più possibile trasferire dati tra America ed Europa? No, perché la sentenza non copre i trasferimenti “necessari”, e dunque si potranno ancora mandare email tra Roma e New York. Il Privacy Shield, inoltre, non è l’unico protocollo legale di trasferimento. Ce ne sono altri, altrettanto utilizzati, come per esempio le Standard contractual clauses (Scc). Ma la sua eliminazione renderà enormemente più difficile il trasferimento dei dati, specie per le aziende medio-piccole che non si possono permettere dei team legali stellari. Bsa, un gruppo di lobby con sede a Washington, ha notato che il 70 per cento delle aziende americane certificate con il Privacy Shield erano pmi. La Corte, inoltre, ha detto che anche i trasferimenti dei dati compiuti mediante le Scc potranno essere sospesi dalle autorità locali per la protezione dei dati personali se i paesi a cui i dati vengono inviati non rispettano gli standard di privacy dell’Ue – e potrete immaginare Schrems e i suoi che già preparano le carte da spedire alle authority.

La decisione è una batosta anche per la Commissione Ue, che mercoledì ha perso sul caso Apple e ieri si è vista togliere il Privacy Shield negoziato con tanta fatica. Didier Reynders, il commissario europeo alla Giustizia che ha nel suo portafoglio anche la protezione dei dati, ha detto che comincerà a discutere con le controparti americane per trovare un nuovo accordo. Secondo Politico Europe, l’Amministrazione americana è disponibile a fare qualche aggiustamento alle sue normative sulla privacy per venire incontro agli europei, ma è impossibile aspettarsi grandi aperture: lo stile di protezione dei dati tra i due partner è troppo diverso. E così, mentre un giovane uomo austriaco fa sfracelli delle politiche digitali delle più grandi potenze economiche mondiali, la Corte del Lussemburgo ci dice che l’Europa ancora non si fida del partner americano quando si parla di cose digitali.