Pochi giorni fa il presidente Biden ha firmato l’ordine esecutivo che dovrebbe sbloccare l’impasse sui trasferimenti di dati personali fra Unione Europea e Stati Uniti. Guido Scorza, componente dell’Autorità Garante, ha commentato la notizia, di grande importanza per le organizzazioni che fanno uso di servizi statunitensi (fra cui Google Analytics). Emergono, tuttavia alcune criticità.
L’ordine esecutivo sottoscritto lo scorso 7 ottobre dal presidente americano Joe Biden, rappresenta una mossa tanto importante quanto attesa: sono ormai passati due anni dalla nota sentenza nella causa C‑311/18 della Corte di Giustizia dell’Unione Europea (“CGUE”), che giudicava gli Stati Uniti un approdo non sicuro per i dati personali dei cittadini europei. A seguito della citata sentenza (cd. “Schrems II”) si sono moltiplicati i provvedimenti delle Autorità di controllo europee, che hanno imposto il blocco dei trasferimenti e ammonito titolari del trattamento che facevano uso di servizi ubicati negli USA. A marzo 2022, quindi, Gli Stati Uniti e la Commissione europea hanno formalizzato il proprio impegno a creare un nuovo “Trans-Atlantic Data Privacy Framework”, ovvero un quadro normativo internazionale in grado di rispondere alle preoccupazioni sollevate dalla CGUE, di favorire i flussi di dati trans-atlantici e di gettare le basi per un’economia digitale inclusiva ed un’ulteriore cooperazione economica. L’impegno politico, fra Joe Biden e la Presidente della Commissione Europea Ursula von der Leyen, ha evidenziato l’esigenza di nuove salvaguardie, nonché di misure in grado di garantire che le attività di intelligence statunitensi si svolgessero nel rispetto della privacy e delle libertà civili dei cittadini.
Il Trans-Atlantic Data Privacy Framework
Secondo le dichiarazioni della Casa Bianca, il Trans-Atlantic Data Privacy Framework (“DPF”) fra Stati Uniti e Unione Europea:
- Incrementa le salvaguardie in relazione alle attività di intelligence dei Servizi Segreti statunitensi, richiedendo che tali attività siano condotte solo per il perseguimento di obiettivi di sicurezza nazionale; che tengano conto della privacy e delle libertà civili di tutte le persone; che si svolgano in maniera proporzionale a quanto necessario per portare avanti una priorità di intelligence convalidata;
- Impone requisiti di trattamento per le informazioni personali raccolte attraverso le attività di intelligence dei Servizi Segreti ed estende le responsabilità dei funzionari legali di supervisione e di verifica della conformità;
- Richiede alle agenzie di intelligence degli Stati Uniti di aggiornare le loro politiche e procedure per riflettere le salvaguardie per la privacy e le libertà civili contenute nel nuovo ordine esecutivo;
- Crea un meccanismo indipendente e vincolante di ricorso, che consente agli interessati di richiedere un risarcimento, se ritengono che i loro dati personali siano stati raccolti dall'intelligence dei Servizi Segreti degli Stati Uniti in violazione alla legge statunitense applicabile;
- Invita il “Privacy and Civil Liberties Oversight Board” (PCLOB) a rivedere le politiche e le procedure delle agenzie di intelligence, per garantire che queste siano coerenti con l’ordine esecutivo, e a condurre una revisione annuale del processo di ricorso, anche per verificare se le agenzie di intelligence si sono pienamente conformate alle decisioni prese dal CLPO (Civil Liberties Protection Officer) e dal DPRC (Data Protection Review Court).
Tutto ciò “ripristinerà un’importante base giuridica per i flussi di dati transatlantici”, che consentirà alla Commissione europea di adottare una nuova determinazione di adeguatezza e garantirà una maggiore certezza giuridica alle organizzazioni che utilizzano le clausole contrattuali standard e le norme vincolanti d'impresa per trasferire i dati personali dall'UE agli Stati Uniti.
Il commento di Scorza
Nel mese di giugno Guido Scorza, componente del collegio dell’Autorità Garante, auspicava che l’impegno politico preso a marzo venisse concretizzato da un accordo giuridicamente vincolante. Il recente ordine esecutivo rappresenta il primo passo verso l’adozione di un nuovo “Privacy Shield”, oltre che “un gesto di buona volontà e concretezza in trattative che si trascinano ormai da troppo tempo e che, a tratti, sono sembrate più di forma che di sostanza”. Si tratta, tuttavia, della pagina di un libro ancora tutto da scrivere: Scorza evidenzia diverse criticità e manifesta dei dubbi che dovranno essere risolti, se si vuole davvero giungere a definire un accordo applicabile.
- In primo luogo, diversi passaggi dell’ordine esecutivo manifestano un approccio conservativo nel ribadire come le azioni dell’intelligence siano essenziali per gli Stati Uniti e la sicurezza del Paese. Nell’incipit, infatti, si legge che “Le capacità di intelligence sono uno dei motivi principali per cui siamo stati in grado di adattarci a un ambiente di sicurezza dinamico e in continua evoluzione e gli Stati Uniti devono preservare e continuare a sviluppare capacità di intelligence solide e tecnologicamente avanzate per proteggere la propria sicurezza e quella dei nostri alleati e partner”.
- In secondo luogo, lascia perplessi la scelta di un ordine esecutivo piuttosto che una norma di legge. Seppure l’ordine esecutivo sia un atto di indirizzo autorevole, potrebbe non essere sufficiente a sanare il disallineamento normativo rilevato dalla CGUE, anche considerando quanto riportato nella sezione 5 (e): “Questo ordine non intende alterare le norme applicabili alle persone degli Stati Uniti adottate ai sensi della FISA, dell'ordine esecutivo 12333 o di altre leggi applicabili”.
Il commento dell’associazione NOYB
Anche l’associazione NOYB (None Of Your Business), con a capo Max Schrems, a poche ore di distanza dalla pubblicazione dell’ordine esecutivo, ha pubblicato una “First reaction”, dichiarando come difficilmente lo stesso riuscirà a soddisfare i requisiti richiesti dalla CGUE.
NOYB ha rilevato come, secondo la sezione 2 (c)(ii) del nuovo ordine esecutivo, la sorveglianza di massa sembrerebbe essere ancora ammessa, a determinate condizioni. Quindi, seppure i concetti europei di minimizzazione dei dati e di proporzionalità delle attività di trattamento siano stati inseriti all’interno del documento recentemente pubblicato, apparentemente il recepimento è stato solo formale. Per questo Max Schrems ha dichiarato: “L'UE e gli Stati Uniti sono ora d'accordo sull'uso del termine 'proporzionato', ma sembrano in disaccordo sul suo significato. Alla fine prevarrà la definizione della CGUE, che probabilmente annullerà di nuovo qualsiasi decisione dell'UE. La Commissione europea sta ancora una volta chiudendo un occhio sulla legge statunitense, per permettere di continuare a spiare gli europei”.
Contrasti emergono anche in relazione ai mezzi di ricorso, la nuova procedura sembra essere una versione aggiornata del sistema “Ombudsperson”, già respinto dalla CGUE: “il solo fatto di rinominare un organo di reclamo come “tribunale” non lo rende un vero e proprio tribunale. Anche i dettagli della procedura saranno importanti per capire se questa può soddisfare il diritto dell’UE”, ha specificato Schrems.
Quali saranno i prossimi step?
L’ordine esecutivo impone alle agenzie di intelligence di aggiornare policy e procedure, per attuare le salvaguardie per la privacy e le libertà civili previste dallo stesso ordine. Entro un anno, inoltre, tali nuove procedure dovranno essere pubblicate, anche per promuovere la fiducia del pubblico nelle salvaguardie in base alle quali gli Stati Uniti conducono le attività di intelligence dei Servizi Segreti. Fino ad allora, continueranno ad attuarsi le policy attualmente in vigore.
Una volta adottato il decreto esecutivo, che sarà seguito dai relativi regolamenti, la Commissione Europea potrà avviare il processo di adozione di una “decisione di adeguatezza” ai sensi dell'articolo 45 del GDPR, su cui l’EDPB (Comitato europeo per la protezione dei dati) fornirà il proprio parere e su cui gli Stati membri saranno chiamati ad esprimersi. Una volta pubblicata la decisione finale di adeguatezza, le organizzazioni potranno fare affidamento su di essa per il trasferimento dei dati verso gli Stati Uniti e gli utenti potranno impugnarla presso i tribunali nazionali ed europei.
Viste le criticità già sollevate da illustri esponenti della materia, tuttavia, il processo potrebbe non essere così lineare. Schrems ha già annunciato di voler ricorrere nuovamente dinanzi ai giudici europei. Difficile quindi sbilanciarsi sull’esito della vicenda.