Safe harbor (diritto)

Con l'espressione anglosassone safe harbor (in italiano porto sicuro o approdo sicuro) la scienza giuridica indica normalmente una norma o un principio giurisprudenziale secondo cui taluni comportamenti non sono considerati come violazioni di un principio o di una regola più generale.

Nell'anno 2000 l'Unione europea e gli Stati Uniti d'America hanno concluso un accordo sul libero trasferimento, a fini commerciali, dei dati di cittadini europei verso gli Stati Uniti da parte delle multinazionali UE. Tale accordo è conosciuto come Safe Harbor: esso regola le modalità attraverso cui le società statunitensi possono esportare e gestire dati personali di cittadini europei^[1][2].
Il 6 ottobre 2015 la Corte di giustizia dell'Unione Europea, tramite la sentenza Schrems, ha annullato l'accordo^[3].

Storia

La Safe Harbor Decision

L'Unione europea, con la Direttiva 95/46 sulla Protezione dei Dati, rese vincolanti le raccomandazioni emesse dall'Organizzazione per la cooperazione e lo sviluppo economico in merito alla protezione dei dati personali^[4]. Le compagnie statunitensi che operavano nell'area economica europea dovevano conformarsi ai 7 principi seguenti: Notifica, Scelta, Trasferimento, Sicurezza, Integrità dei dati, Accesso, Adeguatezza.
Rispettando i principi elencati, le compagnie americane si dichiaravano conformi allo schema definito come Safe Harbor Decision^[5]. Le compagnie statunitensi conformi al Safe Harbor dovevano ri-certificare in tempi prestabiliti il loro rispetto dei principi^[6]. Il Safe Harbor non veniva regolato dal governo ma dai privati, sotto la gestione della Federal Trade Commission, a sua volta monitorata dal Dipartimento del commercio degli Stati Uniti d'America.
Negli anni a seguire, diversi report dell'Unione europea verificarono e testimoniarono la mancanza di trasparenza e di rispetto delle norme adeguate nell'ambito dell'applicazione del Safe Harbor Agreement da parte delle aziende statunitensi^[6].

Scandalo Datagate e sentenza Schrems

L'impostazione Safe Harbor fu definitivamente invalidata nell'ottobre 2015, in seguito alla sentenza Schrems: l'attivista austriaco Maximilian Schrems presentò denuncia verso Facebook per violazione della privacy, in seguito alle rivelazioni sulla sorveglianza di massa emesse da Edward Snowden nel 2013^{[7] [8]}.
Il provvedimento della Corte di giustizia dell'Unione europea annullò l'impostazione Safe Harbor, con cui le aziende americane avevano la possibilità di fare uso illecito di dati personali appartenenti a cittadini europei.
Il caso mediatico Snowden scosse notevolmente l'opinione pubblica facendo emergere una nuova attenzione in merito ai temi della Sorveglianza di massa, esercitata dalla National Security Agency statunitense con programmi su larga scala come PRISM^[9].

Privacy Shield

La Commissione europea e il governo USA definirono una nuova struttura nel 2016, lo Scudo UE-USA per la privacy, una "decisione di adeguatezza" tuttavia ulteriormente contestata dal Garante europeo della protezione dei dati in quanto "poco robusta", nonostante si proponga di compensare la mancanza di diritti dei cittadini europei sulla protezione dei dati nella legge per la privacy statunitense^[10][11].

Schrems II e il nuovo Data Privacy Framework

Nel 2020 la Corte di giustizia dell’Unione Europea ha invalidato anche il Privacy Shield con la sentenza Schrems II (C-311/18). La Corte ha rilevato che la normativa statunitense, in particolare le attività di sorveglianza da parte delle agenzie di intelligence, non offriva garanzie equivalenti a quelle previste nell’Unione europea, violando così i principi sanciti dal GDPR ^[12].

Nel luglio 2023, la Commissione europea ha adottato una nuova decisione di adeguatezza nota come Data Privacy Framework^[13], che intende ripristinare un meccanismo legale per il trasferimento dei dati tra UE e USA. Il framework include nuove misure di controllo, tra cui un Data Protection Review Court per i cittadini europei, ma è stato accolto con cautela dal Comitato europeo per la protezione dei dati (European Data Protection Board, EDPB), che aveva espresso preoccupazioni in merito alla reale efficacia dei rimedi proposti^[14].

Impatto del GDPR

Dal 2018, i trasferimenti di dati personali al di fuori dell’Unione europea sono regolati dal Regolamento (UE) 2016/679 (GDPR), che prevede all'articolo 45 l’obbligo per la Commissione europea di valutare l’adeguatezza delle normative dei paesi terzi. Gli accordi come il Safe Harbor, il Privacy Shield e ora il Data Privacy Framework sono strumenti usati per garantire che i dati siano protetti anche fuori dall’UE, ma devono essere pienamente compatibili con i principi e le garanzie previste dal GDPR^[15].