Ricorderemo Salisburgo per Mozart, "Tutti insieme Appassionatamente" e Maximillian Schrems. Ma chi è quel Davide che sta mettendo alle corde Golia, ovvero Facebook, per la gestione dei dati personali? Oggi tutte le testate internazionali riportano la notizia dell'inattesa presa di posizione della Corte di Giustizia Europea che bacchetta la Commissione UE, punge Washington sui diritti civili e riconosce a un 28enne austriaco di aver messo tutti nel sacco.
La storia di Max Schrems inizia diversi anni fa quando da studente in Legge frequenta un semestre presso la Santa Clara University, nella Silicon Valley. Scopre durante una conferenza tenuta dal consulente legale di Facebook, Ed Palmieri, il rigore della normativa europea sulla privacy. Di lì in poi, le evidenze di come venga disattesa lo convincono a fondare il gruppo "Europe versus Facebook". Inizia così la sua battaglia di carte bollate: presso il tribunale di Dublino e poi a Vienna, dove tenta una class action.
La sentenza. La Corte del Lussemburgo su richiesta dell'Alta Corte di giustizia irlandese ha riconosciuto alle autorità nazionali europee il diritto di indagare "su una denuncia con cui si lamenta che un paese terzo non assicura un livello di protezione adeguato e, se necessario, di sospendere il trasferimento di dati contestato".
In pratica la causa avviata da Schrems contro Facebook per violazione delle norme sulla privacy è legittima, anche se la Commissione UE nel 2000 ha riconosciuto che il cosiddetto regime statunitense di "approdo sicuro" garantisce un livello adeguato di protezione dei dati personali trasferiti all'estero. Com'è risaputo Facebook – e non solo – si affida a server residenti oltreoceano sebbene abbia in Irlanda la sua filiale europea.
La direttiva europea sulla privacy riconosce che un paese terzo possa garantire un livello di protezione adeguato, ma anche che dovrebbe essere assicurata una sorveglianza di tale impegno. Il regime di "approdo sicuro", ovvero l'accordo che intercorre tra Stati Uniti e Unione Europea sulla gestione dei dati personali, come ha dimostrato lo scandalo Snowden non tutela i cittadini europei dalle ingerenze dei servizi di intelligence - in particolare la NSA. Ecco quindi saltare l'intero castello di garanzie.
A questo punto la giustizia irlandese potrà dar seguito alla causa intentata da Schrems. E parallelamente tutte le altre eventuali denunce comunitarie per violazione delle norme sulla privacy intentate nei confronti dei colossi statunitensi non potranno essere rigettate. Il "safe harbour" è saltato. Bruxelles sarà costretta ad approfondire il tema e indagare su quanto avviene ai nostri dati negli Stati Uniti.
In sintesi, senza girarci troppo intorno, Facebook, Google, Apple e tutti gli altri da qui a un po' di tempo saranno costretti a impiegare server europei - a meno che non vengano legate le mani alla NSA. E Washington dovrà accettare il fatto che sebbene si tratti di aziende statunitensi non potrà consentire alla sua Intelligence di ficcarci il naso.