Il 7 ottobre il Presidente degli Stati Uniti Joe Biden ha firmato un ordine esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence degli Stati Uniti, “Enhancing Safeguards for United States Signals Intelligence Activities“, per attuare gli impegni “per principi” assunti con il EU-US Data Privacy Framework e rispettare quanto asserito nella sentenza c.d. Schrems II della Corte di Giustizia UE.
Immediatamente dopo l’annuncio dell’Order, la Commissione Europea ha aggiornato le sue Q&A sul quadro relativo ai flussi UE-USA dei dati e, a poche ore, Noyb ha replicato asserendo che l’Executive Order, al momento, non risulta adeguato alla normativa dell’Unione Europea.
Nel frattempo, il Regno Unito[1] annuncia significativi progressi nelle discussioni sull’adeguatezza dei flussi tra Stati Uniti e Regno Unito, accoglie con favore il rilascio dell’Ordine Esecutivo e dichiara che intende concludere a breve la sua valutazione sulla normativa US, con l’obiettivo di emettere una decisione di adeguatezza, che ripristinerà un meccanismo stabile e affidabile per i flussi di dati USA-Regno Unito.
Tutto questo a pochi giorni dalla dichiarazione del Segretario di Stato per Digitale, Cultura, Media e Sport, Michelle Donelan, che ha annunciato l’intenzione di sostituire il GDPR con una normativa privacy britannica più vicina alle aziende e ai consumatori, dichiarando: “Abbiamo ereditato il GDPR dall’UE e la sua natura burocratica sta ancora limitando il potenziale delle nostre attività, tanto che i ricercatori dell’Università di Oxford hanno stimato che il GDPR abbia causato una perdita dell’8% del fatturato delle imprese”.
Il Regno Unito gode ora di una decisione di adeguatezza a tempo determinato, peraltro con un impegno di costante monitoraggio da parte della Commissione Europea.
Indice degli argomenti
L’ordine esecutivo di Biden e le criticità connesse
Proviamo dunque a comprendere in cosa consiste l’Executive Order (EO) Enhancing Safeguards for United States Signals Intelligence Activities e quali sono le criticità connesse.
Natura del provvedimento
Si tratta di un Executive Order (EO) e non di una legge; l’American Civil Liberties Union dichiara che i problemi del regime di sorveglianza degli Stati Uniti non possono essere risolti solo con un ordine esecutivo. L’ACLU ha chiesto che il Congresso attui una riforma significativa della sorveglianza per proteggere efficacemente la privacy e porre i trasferimenti di dati transatlantici su una solida base legale.
La riforma dovrebbe, quindi, prevedere in modo organico la limitazione della raccolta generalizzata di dati in massa condotta ai sensi dell’Ordine esecutivo 12333, la restrizione delle categorie di persone che possono essere sottoposte a sorveglianza ai sensi della sezione 702 del Foreign Intelligence Surveillance Act e dell’Ordine Esecutivo 12333, la garanzia che le persone oggetto della sorveglianza degli Stati Uniti siano in grado di contestare la sorveglianza illegittima nei tribunali statunitensi, riformando anche il “state secrets privilege”.
Al contrario, l’EO dichiara espressamente che non è inteso a modificare le regole, applicabili ai cittadini degli Stati Uniti, previste nella FISA, nell’Ordine Esecutivo 12333 o in altre leggi applicabili, con questo, manifestando l’intenzione di non intervenire, al momento, sulle norme.
Maggiori garanzie
L’ordine esecutivo prevede maggiori garanzie vincolanti per i cittadini europei, limitando l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale.
La Corte di Giustizia ha statuito nella sentenza Schrems II che le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti in materia di accesso e di utilizzo, da parte delle autorità statunitensi, dei dati trasferiti dall’Unione verso tale Paese non sono inquadrate in modo da rispondere a requisiti sostanzialmente equivalenti a quelli richiesti dal principio di proporzionalità, dettato dal diritto dell’Unione, poiché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario.
L’Executive Order risponde a questa contestazione introducendo alcuni principi e imponendo, quindi, che le attività di intelligence siano autorizzate da una legge o da un ordine esecutivo e siano intraprese in conformità con la Costituzione, gli statuti, gli ordini esecutivi, i proclami e le altre direttive presidenziali applicabili.
Le attività di sorveglianza saranno soggette ad adeguate garanzie, in modo che:
- siano condotte solo dopo aver stabilito, sulla base di una ragionevole valutazione di tutti i fattori pertinenti, che le attività sono necessarie per portare a compimento un’attività di intelligence convalidata;
- siano condotte solo nella misura e con modalità proporzionate alla priorità di intelligence convalidata per la quale sono state autorizzate.
L’EO individua dei precisi obiettivi per cui le attività di intelligence possono essere svolte, come la comprensione o la valutazione delle capacità, delle intenzioni o delle attività di un governo straniero, di un esercito straniero, di una fazione di una nazione straniera, di un’organizzazione politica con sede all’estero o di un’entità che agisce per conto o sotto il controllo di tali entità; la protezione contro attività militari straniere, contro il terrorismo, lo spionaggio, le minacce alla sicurezza informatica create o sfruttate da un governo straniero, da un’organizzazione straniera o da una persona straniera.
Tali obiettivi possono essere integrati e modificati dal Presidente in caso di minaccia alla sicurezza nazionale.
Nell’ordinanza è indicato anche un elenco dei casi in cui le attività sono proibite, come sopprimere o ostacolare la critica, il dissenso o la libera espressione di idee o opinioni politiche da parte di individui o della stampa; sopprimere o limitare legittimi interessi di privacy; sopprimere o limitare il diritto all’assistenza legale; discriminare le persone in base alla loro etnia, razza, sesso, identità di genere, orientamento sessuale o religione.
Le valutazioni circa la proporzionalità e necessità delle attività di sorveglianza saranno effettuate secondo il diritto US.
Il quadro giuridico statunitense non è cambiato: gli Stati Uniti non hanno una dedicata normativa federale a tutela della protezione dei dati personali, l’intenzione di dotarsi di una legge federale è tornata alla ribalta più volte e si è concretizzata in diversi progetti di legge presentati al Congresso, ma non si è concretizzata.
Molti Stati non si sono dotati di una normativa data protection e quelle esistenti sono principalmente consumer-centric; i principi e le basi giuridiche, così come la definizione di dato personale e di interessato non coincidono spesso con la normativa UE (la stessa normativa californiana prevede meccanismi di opt-out per alcuni trattamenti quali la vendita o la condivisione dei dati personali, si applica ai residenti, è rivolta principalmente ai consumatori – con attenzione anche agli employees- e non presenta rimedi giurisdizionali equivalenti a quelli previsti dal diritto UE in caso di violazione del CCPR) e non esiste un’autorità di controllo indipendente con competenza per garantire e controllare il rispetto delle norme in materia di protezione dei dati.
Secondo Noyb, sarà un nodo cruciale valutare attentamente se concetti essenziali contenuti dell’EO, quali, ad esempio, “proporzionato” e “necessario” risultino equivalenti a quelli della normativa UE.
Si noti che, per quanto l’EO ponga restrizioni alla raccolta di informazioni, non vieta, però, la raccolta in massa. Sebbene il documento rilevi che “la raccolta mirata deve essere prioritaria”, riconosce che la raccolta in massa può comunque avvenire.
Per rispondere alle preoccupazioni sul tema, l’order statuisce che l’Intelligence Community applicherà metodi e misure tecniche ragionevoli per limitare i dati raccolti solo a quanto necessario per portare avanti una priorità di intelligence convalidata, riducendo al minimo la raccolta di informazioni non pertinenti” e stabilisce un elenco di obiettivi, simile a quello sopra riportato, per i quali può essere consentita la raccolta in massa[2].
Max Schrems ha già dichiarato a Politico: “Poiché non c’è alcun cambiamento alla sorveglianza di massa, immagino che questo tornerà alla Corte di giustizia dell’Unione europea”[3].
Meccanismo di ricorso a due livelli
Con l’Order viene istituito un meccanismo di ricorso indipendente e imparziale, che comprende una Corte di revisione della protezione dei dati (Data Protection Review Court – DPRC) di nuova costituzione, per indagare e risolvere i reclami relativi all’accesso ai dati da parte delle autorità di sicurezza nazionali statunitensi.
La Corte di Giustizia aveva ribadito la necessità che i singoli debbano disporre della possibilità di esperire mezzi di ricorso dinanzi a un giudice indipendente e imparziale al fine di avere accesso a dati personali che li riguardano, o di ottenere la rettifica o la soppressione di tali dati e aveva considerato non idoneo già il meccanismo di mediazione previsto dal Privacy Shield, poiché non forniva mezzi di ricorso dinanzi a un organo idoneo a fornire alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta dei diritti fondamentali dell’Unione europea.
Come soluzione a quanto rilevato dalla CJEU, il nuovo decreto esecutivo, insieme ai regolamenti che lo accompagnano, istituisce un nuovo meccanismo di ricorso a due livelli, con un’autorità che dichiara essere indipendente e vincolante.
Il primo livello è simile a un ricorso gerarchico: gli interessati UE potranno presentare un reclamo al “responsabile della protezione delle libertà civili” (Civil Liberties Protection Officer – CLPO) dell’ufficio del Direttore della National Intelligence.
Questa figura sarà responsabile di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi e esaminerà le informazioni necessarie per indagare, esaminare e, se necessario, ordinare un rimedio appropriato con riferimento ai reclami qualificati, ossia i reclami trasmessi dall’autorità pubblica competente in merito alle attività di intelligence degli Stati Uniti.
Il CLPO è tenuto a condurre un’indagine iniziale indipendente sui reclami ricevuti per determinare se le salvaguardie rafforzate dell’EO o altre leggi statunitensi applicabili sono state violate e, in caso affermativo, per determinare le misure correttive appropriate. Il Direttore dell’Intelligence nazionale ha tempo fino al 6 dicembre 2022 (60 giorni dalla pubblicazione dell’EO) per progettare un processo di accettazione dei reclami.
In secondo livello, gli interessati potranno appellarsi alla decisione del responsabile per la protezione delle libertà civili davanti a una “Corte di revisione della protezione dei dati” (Data Protection Review Court – DPRC) deputata a fornire una revisione indipendente e vincolante delle decisioni del CLPO, su richiesta dell’individuo o di un organo della Intelligence Community.
La Corte sarà composta da membri al di fuori del governo statunitense, nominati dall’Attorney General sulla base di specifiche qualifiche, i giudici potranno essere licenziati solo per cause gravi (come la condanna per un reato o l’essere ritenuta mentalmente o fisicamente inadatta a svolgere le mansioni) e non potranno ricevere istruzioni dal governo.
Già il 7 ottobre 2022, l’AG Merrick Garland ha firmato un nuovo regolamento che istituisce il DPRC[4]. Il DPRC esaminerà in modo indipendente le decisioni prese dal responsabile per la protezione delle libertà civili dell’Ufficio del direttore dell’intelligence nazionale in risposta a denunce qualificate inviate da singoli individui tramite le autorità pubbliche competenti che denunciano determinate violazioni della legge degli Stati Uniti nella conduzione di attività di intelligence degli Stati Uniti.
La Corte selezionerà un avvocato speciale con un’esperienza pertinente, che garantirà che gli interessi del denunciante siano rappresentati davanti alla Corte e che questa sia ben informata sugli aspetti fattuali e legali del caso. Questo assicurerebbe che entrambe le parti siano rappresentate e introdurrebbe maggiori garanzie in termini di processo equo, riparazione e giusto processo.
Il General Attorney dovrà anche designare l’Unione Europea quale “Stato qualificato”.
Con riferimento all’indipendenza, l’EO impone al Procuratore Generale di non interferire con un riesame da parte della Corte di revisione della protezione dei dati di una decisione del CLPO in merito a un reclamo qualificato e non rimuovere i giudici nominati, salvo casi di cattiva condotta, mala gestio, violazione della sicurezza, negligenza del dovere o incapacità. L’Attorney General non è, però, un’autorità amministrativa indipendente, ma un organo del Governo.
Già con riferimento alla normativa californiana, una delle più compiute degli stati USA, si era posto il problema dell’inesistenza di un’Autorità Garante indipendente, poiché l’attuazione del California Consumer Privacy Act è demandata, ad oggi, all’Attorney General, che non è né un’autorità amministrativa indipendente, né organo dedicato interamente alle tematiche data protection, tanto che la California, con l’adozione del recente California Privacy Rights Act, in vigore a breve, aveva dato il via ai lavori per la creazione di un’autorità appositamente dedicata a garantire la conformità alla normativa privacy, la California Privacy Protection Agency.
Si tratta di miglioramenti significativi rispetto al meccanismo che esisteva nell’ambito del Privacy Shield, ma siamo di fronte a un mezzo di ricorso idoneo a garantire che i diritti degli interessati godano di una protezione equivalente a quella assicurata dalla Carta?
Max Schrems ha criticato questo meccanismo, dichiarando che la “Corte” indicata nell’EO non è una vera Corte come la vuole l’articolo 47 della Carta, bensì si tratta, allo stato, di un organo del ramo esecutivo del governo statunitense, una mera versione aggiornata del precedente sistema “Ombudsperson”, già respinto dalla CGUE. Sembra chiaro, scrive Noyb, che questo organo esecutivo non equivarrebbe a un “ricorso giudiziario” come richiesto dalla Carta dell’UE.
C’è di più. Secondo Noyb, il giudizio da parte della “Corte” è già stato definito nel decreto esecutivo: il meccanismo prevede che gli interessati debbano denunciare l’eventuale violazione a un organismo nazionale nell’UE, che a sua volta solleverà la questione con il governo degli Stati Uniti. Il rischio è che il governo statunitense non confermi né smentisca che l’utente era sotto sorveglianza e si limiti a informare l’utente che non c’è stata alcuna violazione o che è stato posto in essere un rimedio indicando che “l’esame non ha individuato alcuna violazione o il Tribunale per il riesame della protezione dei dati ha emesso una decisione che richiede un adeguato rimedio”. L’utente potrebbe, di conseguenza, non avere accesso ad ulteriori informazioni e non avrebbe modo di appellarsi.
La Commissione analizzerà i dettagli della procedura, che devono essere definiti, per verificare se il meccanismo potrà essere considerato idoneo.
Cosa cambia per le agenzie di intelligence statunitensi
L’ordine esecutivo richiede alle agenzie di intelligence statunitensi di rivedere le proprie politiche e procedure per implementare queste nuove salvaguardie entro un anno dalla data dell’EO. Nel frattempo, continueranno ad essere in vigore le attuali procedure.
Quali potrebbero essere le mosse dell’Europa
Adottato il decreto esecutivo, che sarà seguito dai relativi regolamenti, la Commissione si è impegnata ad avviare il processo di adozione di una determinazione di adeguatezza che consenta alle organizzazioni certificate dal Dipartimento del Commercio degli Stati Uniti, ai sensi del nuovo quadro normativo, di trasferire dati personali tra l’UE e gli Stati Uniti.
Il processo, però, deve passare attraverso l’opinione, non vincolante, dell’EDPB e l’approvazione da parte di un comitato composto da rappresentanti degli Stati Membri.
L’approvazione da parte dei MEPs (membri del Parlamento europeo) non sembrerebbe così scontata, considerando il parere rilasciato in merito alla decisione di adeguatezza per il Regno Unito, che è costato diversi mesi di analisi e verifiche dei requisiti richiesti dall’art. 45 GDPR.
Con riferimento alla decisione di adeguatezza per UK, infatti, i MEPs, in una risoluzione, avevano chiesto alla Commissione di modificare la proposta di decisione pubblicata, sostenendo, tra le altre cose, che nonostante le leggi britanniche sulla protezione dei dati fossero simili a quelle dell’UE, permanessero perplessità sull’applicazione e sulle esenzioni previste dalla normativa inglese, con particolare riferimento ai settori dell’immigrazione e della sicurezza nazionale; chiedevano, altresì, di verificare il regime dei trasferimenti di dati da UK verso paesi terzi e l’accesso in massa ai dati personali da parte delle forze dell’ordine.
I deputati si dichiararono, altresì, preoccupati per i trasferimenti dei dati successivi (onward transfers) dal Regno Unito a Paesi terzi, invitando la Commissione a monitorare anche gli accordi internazionali conclusi tra il Regno Unito e paesi terzi.
Dobbiamo aspettarci dal Parlamento le stesse preoccupazioni? Occorre ora attendere la proposta della Commissione e i Pareri di EDPB e MEPs per poter tirare le somme.
NOTE
U.S.-UK Joint Statement: New Comprehensive Dialogue on Technology and Data and Progress on Data Adequacy | U.S. Department of Commerce ↑
New Hope for EU-US Data Transfer Mechanism Following White House Executive Order – Hogan Lovells Engage ↑
Biden executive order gives US power to determine if EU surveillance goes too far, Vincent Manancourt, Alfred Ng And Mark Scott. ↑
Redress in the Data Protection Review Court (justice.gov) ↑
