Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on febbraio 1, 2017

Diffamazione

(No comments)

Facebook non può essere equiparato alla stampa, pertanto l’utilizzo del social network non può costituire un’aggravante per il reato di diffamazione.

Con sentenza n. 4873 depositata il 1° febbraio 2017, la Quinta Sezione della Cassazione ha stabilito che in caso di diffamazione attraverso Facebook, non può ritenersi applicabile l’aggravante “a mezzo stampa” di cui all’articolo 13 della Legge 47/1948 sulla stampa. Facebook, infatti, differisce dalla stampa in quanto è un servizio di rete sociale, “basato su una piattaforma software scritta in vari linguaggi di programmazione, che offre messaggistica privata ed instaura una trama di relazioni tra più persone dello stesso sistema”.

Il caso è stato portato davanti alla Corte Suprema su richiesta del procuratore della Repubblica di Imperia che aveva impugnato per «abnormità» l’ordinanza con cui il Gip locale aveva qualificato come diffamazione aggravata dal solo «mezzo di pubblicità» un reato relativo ad alcune offese pubblicate su Facebook da un imputato catanese 60enne nei confronti di un terzo, fatto avvenuto a Diano Marina nell’estate del 2013.

Il giudice preliminare ha qualificato il reato come una diffamazione aggravata dalla sola circostanza dell’offesa recata mediante l’attribuzione di un fatto determinato con un qualunque mezzo di pubblicità (articolo 595, commi 2 e 3, del Codice penale), pertanto nella valutazione del reato non ha trovato applicazione la Legge sulla stampa, che avrebbe raddoppiato la pena edittale (da un massimo di 3 a un massimo di 6 anni) e, come conseguenza, avrebbe determinato processualmente la citazione diretta a giudizio.

red-questionEletta a parola inglese dell’anno 2016, la cosiddetta post-truth (post-verità) rimanda ad un concetto apparentemente nuovo. Il termine si riferisce a circostanze in cui i fatti verificati sono meno efficaci nell’indirizzare l’opinione pubblica rispetto a narrazioni che si reggono sulle emozioni o sulle credenze individuali.

Dopo le prime apparizioni in alcuni articoli del 2015, nel corso del 2016 la parola post-truth ha cessato di essere accompagnata dalla sua definizione ed è divenuta di utilizzo comune nei discorsi di commento politico ed in particolare in quelli relativi al referendum Brexit e alle elezioni presidenziali statunitensi. In Italia è stata spesso citata nei commenti sull’esito del referendum costituzionale.

Detta in termini semplici, secondo molti commentatori l’uscita del Regno Unito dall’Unione Europea, l’elezione di Trump e il fallimento del referendum proposto da Renzi sarebbero le conseguenze di un’epoca in cui gli aventi diritto al voto decidono di non credere ai fatti reali a favore di notizie dal forte impatto emozionale. Naturalmente non è possibile stabilire quanto questa decisione sia presa dagli elettori in modo consapevole, ma sembra implicito che il discorso sulla post-truth si riferisca anche e soprattutto a quanti non sono in grado di distinguere tra una fonte di informazione attendibile e una palesemente di parte.

Del tutto prevedibilmente, al cuore dell’allarme troviamo una riflessione sui social network come principali vettori della propagazione incontrollata di notizie false e di propaganda. Sebbene le notizie siano pubblicate e condivise dagli utenti, il ruolo di queste piattaforme sarebbe molto più attivo di quanto si possa presupporre. Su Facebook, ad esempio, la colonna dei “trending feed” incoraggia direttamente la lettura e la condivisione degli articoli più letti sul social network, molti dei quali provenienti da siti inaffidabili contenenti eclatanti notizie false, amplificandone la portata.

Il magazine Buzzfeed ha portato alla luce l’esemplare vicenda di alcuni siti pro-Trump, creati da un gruppo di adolescenti macedoni, che riportavano notizie mirabolanti e totalmente inventate al solo scopo di trarre profitto dalla pubblicità di Google Ad-sense. Calunnie ai danni di Hilary Clinton che hanno generato oltre 140.000 condivisioni da parte di utenti statunitensi.

Dopo la vittoria di Trump si è quindi scatenata una bufera sulla gestione di Facebook, accusato di non voler ammettere le proprie responsabilità sulla formazione dell’opinione pubblica. In risposta alle critiche il 15 dicembre 2016 Mark Zuckerberg ha annunciato il lancio di un sistema di classificazione degli articoli che prevede l’apparizione di un particolare “flag” sulle notizie segnalate come false dagli utenti e da una speciale squadra di “fact-checkers” professionisti.

Tuttavia sono in molti a non voler lasciare alle più grandi piattaforme della rete, i cosiddetti Over The Top, la delega alla discriminazione fra notizie veritiere o meno. Commentatori ed esperti hanno evidenziato il pericolo di lasciare a compagnie private la classificazione dell’accuratezza delle informazioni presenti in rete.

A questo proposito ha destato particolare attenzione l’intervista rilasciata il 30 dicembre 2016 al Financial Times in cui il Presidente dell’Antitust italiana, Giovanni Pitruzzella evidenzia la necessità di organizzare “una rete di organismi nazionali indipendenti capace di identificare e rimuovere le notizie false”. Una sorta di Authority che avrebbe il compito di vigilare sulla verità dell’informazione.

L’idea ha sollevato un certo interesse tra i commentatori ma anche un coro di accuse riguardo ad una supposta volontà di censura da parte delle istituzioni. In Italia l’ex comico e leader politico Beppe Grillo ha definito l’allarme post-truth come “una nuova inquisizione”. Non manca chi, come Riccardo Luna, ex direttore di Wired Italia, chiede di ripensare alle responsabilità del giornalismo di qualità come baluardo contro la dilagante disinformazione, sottolineando che la post verità non è un fenomeno nuovo anche se oggi trova un’enorme amplificazione nella rete e nei social network.

Questo spunto porta tuttavia ad un’ulteriore riflessione. Se è vero che la rete ha amplificato le possibilità di incorrere in notizie false, va anche riconosciuto che la pluralità di fonti informative permette oggi più che mai di poter approfondire le notizie, analizzandole e confrontandole fra loro. Va da sé che occorre una certa capacità di discernimento per farlo, ma è solo nel contesto di una la pluralità di voci che è possibile sviluppare gli strumenti cognitivi utili a discriminare tra una notizia tutto sommato realistica e una bufala sensazionale. Pensare a soluzioni di contenimento e controllo delle notizie potrebbe quindi essere, oltre che di difficile applicazione, persino controproducente.

Sono ancora poche le voci che sottolineano la necessità di aiutare gli elettori presenti e futuri a dotarsi di strumenti intellettuali con cui riconoscere da sé le fonti più attendibili. A prescindere quindi dalle effettive soluzioni pratiche, il solo fatto di parlare pubblicamente di post-truth può costituire un primo passo verso la presa di coscienza di un problema globale che ciascuno di noi può contribuire a limitare in un modo semplice: evitando di condividere notizie non verificate.

posted by admin on novembre 23, 2016

Diffamazione

(No comments)

facebookNei casi di separazione un utilizzo non accorto dei social network può avere conseguenze legali: una donna è stata condannata a risarcire all’ex marito  5000 euro per aver diffuso su Facebook la notizia di una sua nuova relazione prima dell’effettiva separazione legale.

Secondo il Tribunale di Torre Annunziata sebbene la violazione della fedeltà coniugale sia determinante nell’attribuzione delle responsabilità nei casi di separazione non sufficiente di per sè a integrare una responsabilità risarcitoria del coniuge che l’abbia compiuta. Tuttavia è possibile individuare un profilo di danno non patrimoniale nei casi dove l’infedeltà “per le sue modalità abbia trasmodato in comportamenti che, oltrepassando i limiti dell’offesa di per sé insita nella violazione dell’obbligo in questione, si siano concretizzati in atti specificamente lesivi della dignità della persona, costituente bene costituzionalmente protetto”.

Nel caso specifico, la donna condannata aveva affermato a terzi di essere divorziata e sul proprio profilo Facebook si attribuiva lo stato di “separata” prima dell’instaurazione del procedimento de quo e, con terzi, nel riferirsi al marito, lo chiamava “il verme” e affermava che aveva tendenze omosessuali, da questi negate. Secondo il giudice, non è in dubbio che il comportamento descritto abbia gravemente offeso la dignità e la reputazione dell’ex coniuge in quanto “la connotazione pubblica della relazione adulterina, la dichiarazione pubblica della esistenza di un rapporto di fidanzamento tra la ricorrente ed altro uomo e la gravità delle offese rivoltegli, sono sufficienti per ritenere lesa la dignità e la reputazione”.

La sentenza è disponibile a QUESTO LINK.

whatsappIl Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto.

La nuova informativa privacy di Whatsapp non sfugge al vaglio dell’Autorità Garante. A seguito dell’acquisizione della società di messaggistica da parte di Facebook, è stata infatti disposta la condivisione dei dati personali degli utenti con il noto social network per finalità presumibilmente di marketing.

Il problema non risiede nello scambio di dati tra le due società appartenenti al medesimo gruppo imprenditoriale, possibilità tra l’altro prevista sia dalla direttiva 96/46/CE in materia di protezione dei dati personali sia dal recente Regolamento generale europeo n. 679/2016 ove vengono espressamente definiti le regole e i limiti per il trasferimento di dati infragruppo.

Ciò che preoccupa il Garante è la profilazione che scaturirebbe dall’associazione dei dati degli utenti di Whatsapp (come ad esempio il numero di telefono) con quelli di Facebook. Una tale correlazione permetterebbe infatti non solo di inviare pubblicità e annunci mirati in relazione agli interessi degli utenti, ma anche di individuare più facilmente gli utenti stessi e la rispettiva cerchia di contatti. Sotto il profilo strettamente operativo, l’effetto di tale associazione di dati potrebbe essere quello di rendere vane talune misure volte a garantire ad esempio la non rintracciabilità dei soggetti, come l’uso di pseudonimi ovvero la scelta di non rendere visibile il proprio profilo.

A ciò si aggiunge la vaghezza dell’informativa – rilevata dal Garante – che non risulta evidenziare in modo chiaro quale siano le finalità del trattamento e la tipologia di dati comunicati. Inoltre, il Garante si riserva di esaminare le modalità di acquisizione del consenso degli utenti alla comunicazione dei dati dal momento che attualmente Whatsapp propone solo una scelta preselezionata di accettazione delle nuove condizioni.

Oggetto dell’istruttoria del Garante saranno, infine, anche le misure volte a garantire l’esercizio dei diritti degli utenti, considerato che – come si legge nel comunicato stampa dell’Autorità – “dall’avviso inviato sui singoli device la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato”.

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

facebookAccolto il ricorso di un utente italiano a cui Facebook non aveva concesso il blocco dei falsi profili realizzati a suo danno.

Facebook deve rispondere dei profili falsi creati sulla sua piattaforma offrendo collaborazione e trasparenza. Il Garante ha reso noto in questi giorni un provvedimento del febbraio scorso nel quale si pronuncia in relazione a un caso che contrappone un noto medico di Perugia a Facebook Ireland Ltd. Il ricorso, presentato dall’uomo nel novembre del 2015, ha origine da un tentativo di estorsione attuato sulle pagine del famoso social network.

Il medico era stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato”. Il criminale aveva creato un falso account utilizzando foto e dati personali del medico perugino e aveva tentato di ricattarlo minacciando di diffondere fotomontaggi osceni di stampo pedopornografico presso amici, conoscenti e colleghi. L’uomo, che non aveva ceduto al ricatto, si era rivolto a Facebook affinché provvedesse a eliminare i profili fake e a fornire tutte le informazioni utili a limitare nel più breve tempo possibile il danno d’immagine in atto.

Facebook, stando a quanto dichiarato dai legali dell’uomo, non avrebbe provveduto ad agire nel merito, non consentendo in modo soddisfacente e completo l’acceso ai dati richiesti. In particolare, avrebbe semplicemente reso disponibile tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perché indicati con codici, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network.

Il Garante ha pertanto stabilito che Facebook Ireland Ltd, che possiede le informazioni richieste dall’uomo, debba comunicare «in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome». Il social dovrà inoltre provvedere al blocco del falso profilo per agevolare le eventuali indagini volte a risalire all’identità dei responsabili del tentativo di estorsione.

Allo scadere dei trenta giorni stabiliti per adempiere alle richieste del Garante, Facebook avrà circa due settimane per presentare un’opposizione al tribunale di Perugia, pena una multa e una condanna fino a due anni di detenzione.

posted by Giusella Finocchiaro on aprile 8, 2016

Miscellanee

(No comments)

Schermata 2016-04-08 alle 15.21.02Proponiamo qui l’articolo di Giusella Finocchiaro pubblicato venerdì 8 aprile 2016, su Il Giorno, Il Resto del Carlino e La Nazione.

Negli ultimi giorni abbiamo spesso letto delle grandi multinazionali tecnologiche nelle prime pagine dei quotidiani. Ma non per un nuovo modello di smartphone, né per un nuovo servizio, bensì per vicende che hanno avuto luogo in aule giudiziarie. Apple contro FBI, Facebook contro il Quotidiano Nazionale. Due grandi fenomeni si possono leggere dietro questi eventi: la tecnologia che si fa diritto e la debolezza degli Stati nazionali.

Il primo. La contrapposizione fra Nomos e Téchne è antica. Oggi la tecnologia è in grado di veicolare regole di contenuto giuridico: la scelta del livello di protezione dei dati, il grado di condivisione delle informazioni, le nuove firme elettroniche. Il codice, inteso come raccolta di norme (codice civile, codice penale, ecc.) si confonde con il codice (codice sorgente, codice eseguibile, ecc.) nel senso di software, di insieme di istruzioni che sta alla base dei programmi informatici. Come insegna Lessig, i due ‘codici’ possono diventare una cosa sola e la tecnologia può creare un sistema di regole parallelo. Ma si pone il grande problema del controllo sulla tecnica. Chi controlla la tecnica? Chi stabilisce gli obiettivi (se non addirittura i valori)?

Per leggere la versione completa dell’archivio si rimanda a QUESTA pagina di QN.

Negli ultimi due anni, con una decine di sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale. Giusella Finocchiaro ha analizzato questo scenario nel saggio  “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” pubblicato su “Il diritto dell’informazione e dell’informatica” Anno XXX Fasc. 4-5 -2015.

Ne presentiamo qui un estratto. È possibile scaricare la versione completa in pdf cliccando QUI.

Si leggono alcune tendenze, evidenti nelle due decisioni più note, Google Spain e Schrems, ma presenti anche in altre, di carattere politico, anticipatorie rispetto alle scelte ormai quasi compiute nell’emanando regolamento. In estrema sintesi, la Corte vuole affermare l’applicabilità della normativa europea anche nel caso in cui i titolari di trattamento dei dati personali siano soggetti non europei e i dati vengano trattati prevalentemente fuori dall’Europa. Ribadisce il rango costituzionale del diritto alla protezione dei dati personali secondo la Carta dei diritti fondamentali dell’Unione europea e soprattutto la prevalenza di tale diritto sugli altri diritti, pure costituzionalmente garantiti, affermando così una scelta culturale e di principi. Riafferma il carattere di eccezionalità delle limitazioni al diritto alla protezione dei dati personali. Assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dei dati personali adottato altrove nel mondo e si fa promotrice del modello europeo del diritto alla protezione dei dati personali. La Corte europea si riappropria e consolida la posizione volta ad affermare l’applicazione del diritto europeo al trattamento dei dati personali degli europei. Si tratta di indirizzi profondamente politici in cui la Corte orgogliosamente sceglie cultura, principi e diritto europeo, contrapponendosi alla visione e agli interessi, nei casi in esame, statunitensi. La Corte esercita dunque un ruolo di supplenza politica, estendendo l’applicabilità della normativa europea e anticipando nell’interpretazione della direttiva-madre l’emanando regolamento europeo sulla protezione dei dati personali.

Facebook-login Il 9 novembre 2015 il Tribunale di primo grado di Bruxelles ha disposto che Facebook sospenda entro 48 ore la tracciabilità degli utenti non iscritti al social network, pena 250mila euro al giorno.

La decisione della Corte di Bruxelles giunge in seguito a una denuncia della Commissione belga per la protezione della privacy (Cpvp).

L’accusa riguarda la pratica di conservare per un periodo di due anni i dati dei cookie “datr”, che permettono di tracciare i movimenti degli utenti via browser. I dati riguardano gli IP dei computer e le abitudini degli utenti, anche di quelli che pur non essendo registrati si trovino a visitare le pagine del social network, o a usare il tasto “Like” da una pagina di un altro sito.

Il giudice ha stabilito che i dati personali degli utenti non iscritti possono essere utilizzati solo su autorizzazione esplicita degli interessati. Perciò ha intimato che Facebook provveda al blocco del trasferimento dei dati entro 48 ore dalla sentenza.

A partire dal 12 novembre, ogni giorno di inadempienza sarà sanzionato con una multa di 250mila euro.

Un portavoce dell’azienda statunitense ha spiegato che l’utilizzo dei coockie datr ha il solo scopo di “mantenere Facebook sicuro per un miliardo e mezzo di persone in tutto il mondo”. Il divieto, infatti, impedirebbe al social network di “verificare se gli utenti si connettono o meno in modo legittimo”. Con una nota, il network statunitense ha inoltre espresso la volontà di ricorrere in appello, seppure impegnandosi “a limitare al massimo i disturbi per l’accesso a Facebook dal Belgio”. “Facebook non può seguire su internet persone che non ne siano membri, perché è logico che non possano avere ricevuto da loro il permesso di essere seguite”, ha detto Margot Neyskens, portavoce di Bart Tommelein, segretario di Stato belga per la tutela della privacy, in un comunicato inviato via email.

La recente decisione “Facebook” della Corte di giustizia europea (Causa C-362-14) si può leggere con due diverse prospettive, che peraltro non si escludono vicendevolmente. La prima lettura è quella tecnico-giuridica. La seconda è quella politica.

Muoviamo dalla prima. I fatti sono noti e così le conclusioni. Gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Il percorso è quello tracciato dall’art. 25 della direttiva che si riporta, per comodità e per chiarezza, per comprendere meglio il passato (la decisione) e il futuro (le strade aperte attualmente).

“Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.

Dunque la Commissione in passato aveva ritenuto adeguato il livello di protezione garantito dal Safe Harbor, ma la Corte, con questa decisione, non concorda e invalida il Safe Harbor.

Ciò non significa affatto che il trasferimento dei dati personali verso gli Stati Uniti non possa più avvenire. Può avvenire sulla base dell’espresso consenso dell’interessato oppure sulla base delle Binding Corporate Rules.

Quindi l’interessato potrà esprimere il consenso sul trasferimento oppure il titolare del trattamento potrà dotarsi di regole di gestione approvate dall’Autorità garante che consentiranno il trasferimento.

Cosa cambia, allora?

Che non si potrà utilizzare lo strumento del Safe Harbor, cioè trasferire i dati verso gli Stati Uniti senza consenso o senza regole preapprovate, ritenendo cioè i dati protetti negli Stati Uniti come in Europa.

Sotto il profilo strettamente giuridico-applicativo, il commento finisce qui. Si configurano indubbiamente maggiori oneri gestionali per chi trasferisce i dati dall’Europa agli Stati Uniti, ma certo non un divieto.

Assai più problematica, invece la lettura politica della decisione che segue a distanza di circa un anno il caso Google Spain.

Gli Stati Uniti, si è affermato prima, non garantiscono per la Corte un livello di protezione dei dati adeguato.

In estrema sintesi la Corte afferma che il livello di protezione dei dati personali è più alto in Europa e che ai dati personali degli europei (si perdoni qui la semplificazione, ovviamente la decisione si riferisce al trasferimento dei dati dall’Europa, a certe condizioni) si applica la legge europea. Affermazioni di segno analogo erano nella decisione Google Spain.

La Corte anticipa il contenuto dell’art. 3 dell’emanando regolamento europeo in materia di protezione dei dati personali con un’altra decisione di carattere (anche) politico. D’altronde, la protezione dei dati personali ha rilievo costituzionale in Europa (art. 8 della Carta dei diritti fondamentali), ma non negli USA. Ciò ovviamente riflette una differente scala di valori in due regioni del mondo seppure molto simili fra loro, se confrontate con la regione asiatica. Ciò ha naturalmente un costo, diversamente sopportabile per i grandi (Google o Facebook) e per i piccoli attori. E evidenzia che politicamente sul punto fra Europa e Stati Uniti non c’è (ancora?) accordo.