Mentre in Italia si discute del caso del trattamento “incivile” degli attivisti della Global Sumud Flotilla e che ha toccato “un livello infimo”, per usare le parole del presidente della Repubblica Sergio Mattarella, che ha di fatto aumentato le pressioni sul governo italiano affinché prenda misure drastiche nei confronti di Israele – a partire dall’interruzione dei rapporti commerciali –, c’è una questione di cui nessuno discute: Israele starebbe violando, e già da tempo, il Gdpr (General data protection regulation), il regolamento europeo sulla protezione dei dati personali.Il condizionale è d’obbligo, ma che si stia profilando una situazione critica è comprovato dalle denunce di una serie di associazioni che hanno deciso di inviare una lettera al Garante per la protezione dei dati personali (Privacy) – e che Wired Italia ha potuto visionare in anteprima – per un intervento urgente considerata la “latitanza” della Commissione europea, a cui sono state inviate segnalazioni mai prese in considerazione. In particolare, sarebbe stato violato l’articolo 45 del Gdpr che disciplina i trasferimenti di dati personali verso paesi terzi (extra-UE) o organizzazioni internazionali sulla base di una decisione di adeguatezza. Di fatto il Gdpr, infatti, è lo strumento giuridico principale attraverso cui la Commissione europea stabilisce se un paese al di fuori dell'Unione garantisca un livello di sicurezza dei dati analogo a quello europeo, consentendo quindi l'interscambio di informazioni.Il silenzio assordante della Commissione europeaMa ricostruiamo le tappe di questa storia. Sono passati oltre due anni da quando, il 22 aprile del 2024, veniva inviata alla vicepresidente della Commissione europea Věra Jourová una prima lettera a firma di una coalizione internazionale formata da una decina fra ong e associazioni della società civile (hanno firmato Edri, Access Now, Politiscope, Homo Digitalis, IT-Pol Denmark, Bits of Freedom Amnesty International, Statewatch). Oggetto: Preoccupazioni riguardanti la riconferma da parte della Commissione europea dello status di adeguatezza dell'Israele nella recente revisione delle decisioni di adeguatezza, in cui sono state messe nero su bianco una serie di lacune nell’impianto normativo israeliano sulla privacy, solo parzialmente allineato alle disposizioni comunitarie.Nella lettera si faceva riferimento a pratiche di raccolta massiva di dati (bulk data) e sorveglianza di massa (anche sui dati di comunicazione dei cittadini europei), trasferimento diretto di tutti i metadati delle telecomunicazioni alle agenzie di intelligence (come lo Shin Bet) senza l'obbligo di conservazione (data retention) presso i fornitori di servizi. E si denunciava anche che le persone nell'Unione coinvolte dalle attività delle agenzie israeliane o da spyware commerciali (come Pegasus di Nso Group) non avevano avuto alcun modo di esercitare i propri diritti. Insomma di carne al fuoco ce n’era già parecchia due anni fa.E cosa ha risposto la Commissione europea? Non ha risposto. Tant’è che il 18 giugno del 2025 la coalizione invia una seconda missiva a Jourová. Oggetto: Sollecito e aggiornamento sulle preoccupazioni riguardanti lo status di adeguatezza di Israele alla luce dei recenti sviluppi legali e dei diritti umani in cui, oltre a esortare la Commissione a occuparsi della questione, sono stati elencati ulteriori elementi di criticità a partire dall’approvazione a marzo 2025 da parte della Kessnet, il parlamento di Israele, del disegno di legge sulla protezione della privacy che ha modificato la legge in vigore dal 1981. Sebbene la Commissione europea abbia espresso ottimismo sul valore delle nuove norme (sarebbe stato colmato proprio il gap di sicurezza dati come previsto dall'articolo 45 del Gdpr), secondo la coalizione dei firmatari invece le norme hanno ampiamente deluso le aspettative. In ordine, la coalizione un anno fa segnalava che: non è incluso il principio di responsabilità (accountability) applicabile alle agenzie pubbliche e di sicurezza; sono mantenute definizioni vaghe di consenso valido in contesti commerciali e non viene garantita l'indipendenza finanziaria e operativa dell'Autorità per la protezione della privacy (PPA). In sintesi, non c’è quella "equivalenza essenziale" richiesta dal diritto dell'Ue.Non solo: poiché Israele controlla l'intera infrastruttura di telecomunicazione dei Territori palestinesi occupati e non applica alcuna limitazione territoriale interna nel trattamento dei dati provenienti dall'estero, vi è un rischio concreto e imminente – si legge nella lettera del 2025 – che i dati personali trasferiti dall'Unione europea a entità israeliane confluiscano nei sistemi di sorveglianza militare senza alcuna restrizione o trasparenza. Cosa decide di fare questa volta la Commissione europea? Niente, di nuovo.Il Garante europeo si accorge delle anomalieDopo due anni di silenzio, è il caso di dire finalmente, il Garante europeo per la data protection (Edpb) decide di prendere in mano il dossier segnalando formalmente alla Commissione europea in una lettera inviata lo scorso 20 aprile che i nuovi requisiti di registrazione per le ong imposti da Israele potrebbero essere in conflitto con i principi del Gdpr. E La lettera parte proprio dalle segnalazioni delle organizzazioni non governative e delle associazioni che dal 2024 denunciano questa situazione.“Le Linee guida israeliane per la registrazione delle organizzazioni e il rilascio di raccomandazioni per i dipendenti stranieri sono rivolte alle ong che forniscono aiuti umanitari nei territori palestinesi e richiedono loro di fornire una notevole quantità di dati personali inclusi quelli di coniugi e figli. Inoltre, le ong sono tenute a fornire un elenco dei propri donatori, comprese le informazioni relative al loro profilo”, si legge nella lettera del Garante europeo che chiede a Bruxelles se “tali flussi di dati dalle ong alle autorità competenti in Israele rientrino nell'ambito di applicazione della decisione di adeguatezza adottata per Israele”.In Italia si attiva una coalizioneInsomma al momento non è stata presa alcuna decisione. E in Italia hanno deciso di interpellare il Garante privacy sei realtà: Privacy Network, The Good Lobby, Hermes Center, Period Think Tank, Strali, Italiani Senza Cittadinanza Comunicazione pubblica e Sloweb. Secondo quanto risulta a Wired Italia ci sarebbe stata già un’interlocuzione con l’Autorità ma la “coalizione” nazionale ha deciso di formalizzare il tutto in una lettera, molto lunga e dettagliata.Si chiede al Garante di esaminare la decisione di adeguatezza di Israele, sempre ai sensi dell’Articolo 45 Gdpr, nel ricordare che “la Corte di Giustizia ha chiarito che l’adeguatezza richiede garanzie efficaci nella pratica, comprese limitazioni alla sorveglianza, supervisione indipendente, diritti azionabili e tutela giurisdizionale effettiva”.Molte le questioni sottoposte al vaglio del Garante italiano a partire dagli obblighi di registrazione in capo alle ong ma anche all’uso di sistemi di sorveglianza, screening, dati biometrici e intelligenza artificiale. E non ultimo se i titolari e responsabili stabiliti in Italia, o comunque soggetti al Gdpr, necessitino di indicazioni specifiche sui trasferimenti verso Israele.