Gli Stati Uniti non tutelano i dati personali degli europei, trasferiti attraverso Facebook ai server Usa, e quindi le autorità nazionali possono sospendere il loro trasferimento nonostante la Commissione Ue ritenga gli Stati Uniti un 'approdo sicuro' ('safe harbour'), ovvero che garantisce un livello adeguato di protezione. E' la conclusione dell'avvocato generale della Corte di giustizia Ue, Yves Bot, che si è pronunciato sulla causa di un utente austriaco di Facebook contro la Commissione Ue.
"Facebook opera nel rispetto della legge Ue sulla protezione dei dati. Come migliaia di altre aziende che gestiscono trasferimenti dati attraverso l'Atlantico attendiamo il testo della sentenza", dice un portavoce della società californiana. "Abbiamo più volte detto - aggiunge - che non forniamo accesso 'backdoor' a server e dati Facebook a governi o agenzie intelligence. Come ha detto Zuckerberg a giugno 2013 non abbiamo mai sentito parlare di Prism prima che ne parlasse la stampa e non abbiamo mai preso parte ad attività di questo tipo".
Tutto nasce dal caso di Maximillian Schrems, un cittadino austriaco che utilizza Facebook dal 2008. Come accade per gli altri iscritti che risiedono nell'Unione, i dati forniti da Schrems a Facebook sono trasferiti, in tutto o in parte, dalla filiale irlandese di Facebook su server situati nel territorio degli Stati Uniti, dove sono conservati. Schrems ha presentato una denuncia presso l'autorità irlandese per la protezione dei dati ritenendo che, alla luce delle rivelazioni fatte nel 2013 da Snowden sull'attività dei servizi d'intelligence dell'NSA in Usa, il diritto e le prassi statunitensi non offrano alcuna reale protezione contro il controllo dello Stato americano sui dati trasferiti.
L'autorità irlandese ha però respinto la denuncia, invocando una decisione della Commissione Ue del 26 luglio 2000: nel contesto del cosiddetto regime di 'approdo sicuro', per Bruxelles gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali. A quel punto è stata adita l'Alta Corte di giustizia irlandese, che ha chiesto alla Corte di giustizia Ue se la decisione della Commissione europea non limiti l'azione di un'autorità nazionale che voglia indagare su una denuncia di un cittadino che ritiene i suoi dati a rischio.
L'avvocato generale della Corte, le cui conclusioni quasi sempre rispecchiano le sentenze, è convinto che il rischio sia più che fondato. "Il diritto e la prassi degli Stati Uniti consentono di raccogliere, su larga scala, i dati personali di cittadini dell'Unione, senza che questi usufruiscano di una tutela giurisdizionale effettiva". Dunque la decisione della Commissione "non contiene garanzie sufficienti", e per l'avvocato generale "è invalida". Anche perché "la Commissione non dispone della competenza di limitare i poteri delle autorità nazionali di controllo". L'avvocato generale reputa inoltre che "l'accesso dei servizi di intelligence americani ai dati trasferiti costituisca un'ingerenza nel diritto al rispetto della vita privata e nel diritto alla protezione dei dati a carattere personale".
Quindi, "a fronte di una tale constatazione di violazione dei diritti fondamentali dei cittadini dell'Unione, ad avviso dell'avvocato generale la Commissione avrebbe dovuto sospendere l'applicazione della decisione, e ciò nonostante essa conduca attualmente negoziati con gli Stati Uniti allo scopo di porre fine alle carenze accertate". In sintesi, l'avvocati ritiene quindi che "la decisione della Commissione non impedisce alle autorità nazionali di sospendere il trasferimento dei dati degli iscritti europei a Facebook verso server situati negli Stati Uniti".