Il presidente degli Stati Uniti Biden ha aperto la strada a un nuovo accordo sulla protezione dei dati con l’UE firmando il 7 ottobre 2022 un ordine esecutivo. Le nuove normative mirano a migliorare la protezione dei dati personali dei cittadini dell’Unione Europea dall’accesso da parte dei servizi segreti statunitensi.
Inoltre, stavolta, i cittadini dell’UE dovrebbero essere in grado di difendersi dalle misure di sorveglianza americana. Ma la sorveglianza di massa resta comunque consentita.
A fare da sfondo al decreto pubblicato dalla Casa Bianca il 7 ottobre 2022 è una decisione della Corte di giustizia europea (CGUE) del luglio 2020, con la quale l’accordo sulla protezione dei dati esistente, il cosiddetto “Privacy Shield”, è stato dichiarato insufficiente.
Nel marzo di quest’anno, Ursula von der Leyen e il presidente americano Biden hanno annunciato che avrebbero concordato in linea di principio un regolamento successivo al fine di riportare lo scambio di dati tra gli Stati Uniti e l’UE su una base giuridica sicura. Ursula von del Leyen commentava così l’accordo: “Ciò consentirà un traffico di dati prevedibile e affidabile tra l’UE e gli Stati Uniti e garantirà la protezione della privacy e delle libertà civili”.
Trasferimento dati UE-USA: cosa cambia col nuovo ordine esecutivo del Presidente Biden
Indice degli argomenti
Resta consentita la sorveglianza di massa
Nella sua sentenza, la Corte di giustizia Europea aveva soprattutto criticato le ampie opzioni di accesso dei servizi segreti statunitensi ai dati dei cittadini europei. Secondo il nuovo decreto della Casa Bianca, tuttavia, i servizi segreti statunitensi sono ancora autorizzati a svolgere attività di sorveglianza in blocco – la cosiddetta “bulk collection” – delle telecomunicazioni.
Pare, però, che tutto questo sarà approvato solo “se le informazioni richieste per supportare una priorità di intelligence convalidata non possono essere ottenute in modo appropriato attraverso una sorveglianza mirata”.
I servizi segreti americani che utilizzano la sorveglianza di massa dovrebbero utilizzare “metodi e misure tecniche appropriate” per limitare i dati raccolti al necessario e “ridurre al minimo la raccolta di informazioni irrilevanti”.
In generale, le attività di intelligence possono essere condotte solo in misura e in modo “proporzionato rispetto alla priorità di intelligence convalidata per la quale sono state autorizzate”.
Procedura di reclamo nell’Unione Europea
Il decreto contiene anche un nuovo meccanismo di reclamo che i cittadini dell’UE possono utilizzare per opporsi alla raccolta dei propri dati da parte delle autorità statunitensi.
Come primo passo, un funzionario per la protezione delle libertà civili (CPLO) assegnato al coordinatore dell’intelligence statunitense indagherà sulla denuncia. Il funzionario verifica se, ad esempio, sono state violate le norme del nuovo decreto o altre norme statunitensi.
Il decreto Biden, inoltre, autorizza anche il procuratore generale degli Stati Uniti a istituire un cosiddetto DPRC (Data Protection Review Court). Un gruppo di tre persone che può condurre un riesame indipendente e vincolante delle decisioni del Mediatore su richiesta dell’interessato o di un rappresentante della comunità dell’intelligence.
I membri del tribunale dovrebbero essere “avvocati con adeguata esperienza nel campo della protezione dei dati e del diritto della sicurezza nazionale, privilegiando quelli con precedente esperienza giudiziaria”.
Nessuna menzione se al momento della loro nomina iniziale siano dipendenti del governo americano.
L’Unione Europea a un bivio
Il cosiddetto PCLOB “Privacy and Civil Liberties Oversight Board” esaminerà (pare) anche le attività dei servizi segreti statunitensi per la conformità alle nuove normative. Il comitato esaminerà se i servizi segreti stanno cooperando sufficientemente nella procedura di reclamo e se stanno attuando i requisiti delle due nuove istanze.
Sulla base di questo nuovo decreto, la Commissione UE deve ora prendere “nuovamente” una decisione che stabilisca quindi che in un paese terzo esiste un livello di protezione dei dati paragonabile a quello dell’UE. Tuttavia, deve prima consultare il Comitato europeo per la protezione dei dati (EDPB) e gli Stati membri europei.
Anche se ai servizi di intelligence statunitensi devono essere posti limiti più severi, come richiesto dalla Corte di giustizia, ciò non è sufficiente. La Corte di giustizia ha richiesto che:
- la sorveglianza degli Stati Uniti sia proporzionata ai sensi dell’articolo 52 della Carta dei diritti fondamentali (GRC) e
- che possa essere proposto un ricorso giurisdizionale ai sensi dell’articolo 47 GRC.
Il nuovo ordine esecutivo di Biden sembra fallire su entrambi i fronti. C’è ancora la sorveglianza di massa degli Stati Uniti e un “tribunale” che non è un tribunale. A prima vista, stanno cercando di concordare un terzo accordo senza una base legale.
Ora tocca alla Commissione Europea. Deve sviluppare un proprio quadro giuridico che sia il più possibile “prova in tribunale” per la proposta di Washington. C’è troppo ottimismo tra Washington e Bruxelles, guardando un po’ più da vicino, si sta tentando un terzo accordo senza una base giuridica. Si presume che un nuovo accordo sarà presto ribaltato dalla Corte di giustizia.
Inoltre, colpisce anche il fatto che la Commissione Europea non abbia chiesto che i principi del cosiddetto “Privacy Shield” siano adeguati al GDPR, in vigore dal 2018.
I principi sono in gran parte identici ai precedenti principi “Safe Harbor” formulati nel 2000. Ciò significa che le aziende statunitensi possono continuare a elaborare i dati europei senza essere conforme al GDPR. Ad esempio, non hanno nemmeno bisogno di una base giuridica per il trattamento, come il consenso.
In base allo scudo per la privacy, le società statunitensi devono offrire agli utenti solo un’opzione di opt-out. E questo nonostante la Corte di giustizia abbia sottolineato che negli USA deve esistere una protezione “essenzialmente equivalente” affinché i dati possano essere liberamente trasmessi negli USA.
Quale certezza giuridica per le aziende
Le verifiche dei singoli casi attualmente necessarie rappresentano ancora un grosso onere per l’economia, soprattutto per le PMI.
Dopo la firma dell’ordine esecutivo, si tratta ora di “tradurre rapidamente la volontà politica di una soluzione in una regolamentazione giuridica resiliente che resistesse anche a future revisioni giudiziarie. Le aziende hanno bisogno di certezza del diritto in modo che il blocco dei dati esistente possa essere finalmente risolto”.
I trasferimenti di dati sono una parte essenziale dell’intera economia e anche della scienza. Per le aziende europee, la limitazione o addirittura la prevenzione dei trasferimenti di dati è grave almeno quanto l’interruzione delle catene di approvvigionamento.
Ma il tempo è tiranno, perché le clausole contrattuali standard su cui le aziende hanno dovuto fare affidamento dalla fine dello “scudo UE-USA per la privacy” sono spesso associate oggi a una grande incertezza giuridica.
Molte aziende sono a rischio sanzioni e divieti di trasferimento se trasferiscono dati personali dall’UE agli Stati Uniti senza una base giuridica sufficiente.
Tuttavia, per l’economia europea in generale, ma in particolare per molte PMI, uno scambio di dati legalmente sicuro a livello internazionale è la “base dei loro modelli di business basati sui dati e quindi un elemento fondamentale per un successo della trasformazione digitale.
Occorre quindi, con la massima urgenza, una soluzione a lungo termine per il trasferimento legalmente sicuro dei dati personali dall’UE agli USA, che tenga conto dei requisiti delle specifiche della Corte di giustizia europea.
Ma gli osservatori del settore non si aspettano che una decisione in tal senso venga presa prima dalla metà del 2023.
