Il regolamento US Cloud Act solleva le perplessità dei Garanti Privacy UE, come rilevato qualche giorno fa dall’EDPB (Comitato Europeo per la Protezione dei Dati, che raccoglie tutti i garanti europei). Una “fumata nera” che richiederà adesso ulteriori accordi UE-USA per salvaguardare i dati dei cittadini europei.
Ricordiamo che l’US Cloud Act stabilisce, tra l’altro, che le Autorità giudiziarie ed amministrative statunitensi, al fine di accelerare e rendere più efficienti le loro indagini, possano richiedere ai fornitori di servizi cloud soggetti alla giurisdizione statunitense la produzione, la conservazione o il backup di dati ed informazioni contenuti in documenti elettronici conservati in Paesi terzi, tra i quali ovviamente anche l’amica UE.
L’US Cloud, avendo gravi implicazioni in tema di sicurezza, diritti della persona e non solo, è stato così affrontato da EDPB nell’ambito della dodicesima sessione plenaria di luglio, nell’ambito della quale la Commissione LIBE ha espressamente sollecitato e richiesto una attenta valutazione dell’impatto che le previsioni dello US Cloud Act hanno sul quadro giuridico europeo per la protezione dei dati personali.
Indice degli argomenti
Legittimità dell’US Cloud Act, i dubbi dell’EDPB
Molteplici e di varia natura sono i dubbi emersi in tale sede con riferimento alla legittimità di una previsione normativa (la richiesta USA di dati personali conservati nella UE) che, a prima vista, appare perlomeno sospetta di “invasione di campo”. La possibilità che le autorità USA possano “ordinare” la produzione di dati personali a soggetti cui si applica il GDPR, è vista, ad una prima lettura, come un vero e proprio tentativo di bypassare, in un colpo solo e sia pure al legittimo fine di accelerare e rendere efficaci le indagini, le attuali previsioni in materia di cooperazione internazionale, primo fra tutti il MLAT (Mutual Legal Assistance in Criminal Matters Treaty).
Anzitutto, per come oggi formulato, lo “US Cloud Act” rende incerti i limiti oggettivi e soggettivi entro i quali una eventuale richiesta di dati, documenti, informazioni, può essere legittimamente formulata ed applicata. Il che, già di per sé, non è poco e suscita legittima preoccupazione. Inoltre, se si prova a collocare quanto previsto dallo US Cloud Act all’interno del quadro normativo europeo, al fine di individuarne la possibile legittimazione, emergono numerose problematiche, correttamente poste in risalto da EDPB.
Gli attriti: articoli 48 e 6 GDPR
In primo luogo, l’art. 48 GDPR stabilisce che “Le sentenze di un’autorità giurisdizionale e le decisioni di un’autorità amministrativa di un paese terzo che dispongono il trasferimento o la comunicazione di dati personali da parte di un titolare del trattamento o di un responsabile del trattamento possono essere riconosciute o assumere qualsivoglia carattere esecutivo soltanto se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’Unione o un suo Stato membro, ad esempio un trattato di mutua assistenza giudiziaria, fatti salvi gli altri presupposti di trasferimento a norma del presente capo”. La richiesta di produzione di documenti elettronici, dunque, di per sé sola non costituisce una base legale sufficiente ad autorizzare il trasferimento dei dati. Una procedura siffatta, estremamente semplificata e incurante degli attuali protocolli internazionali, infatti, risulta priva di quelle garanzie fondamentali, sostanziali e procedurali, che possono essere garantite (e non ci sono dubbi sul fatto che debbano esserlo) esclusivamente tramite l’approvazione di trattati di cooperazione internazionale (MLAT, Privacy Shield, ecc.).
Ne consegue che qualunque ordine di trasferimento di dati personali dall’EU verso altri paesi può avvenire in condizioni di legittimità solo se collocato all’interno delle garanzie, delle procedure, dei controlli previsti da specifici accordi internazionali bilaterali, ai sensi dell’art. 6 lett. c) GDPR. Nella sua attenta analisi, EDPB prende in considerazione anche ulteriori possibili basi giuridiche ed in particolar modo le lett. d-e-f dell’art. 6 GDPR e ne evidenzia, per ognuna di esse, le problematiche connesse al loro utilizzo. Per esempio, il riferimento alla “protezione degli interessi vitali dell’interessato” è una base giuridica che potrebbe riguardare esclusivamente casi e circostanze eccezionali e specifiche, quali, ad esempio, la richiesta di accesso a dati personali concernenti il rapimento di minori, risultando invece una base giuridica del tutto inidonea nella totalità dei casi restanti. Allo stesso modo, dovrebbe ritenersi priva di legittima base giuridica una richiesta di dati volta a perseguire interessi pubblici non riconosciuti dal diritto dell’Unione Europea o degli Stati membri, oppure ove si basi sul legittimo interesse, non in grado di garantire da solo il rispetto delle tutele a salvaguardia dei diritti dell’interessato.
Inapplicabilità delle deroghe all’articolo 49 GDPR
A nulla rilevano, in secondo luogo, le deroghe previste dall’art. 49 GDPR, in quanto:
- il pubblico interesse di un paese terzo, ove non riconosciuto dalla legge dell’Unione o degli Stati Membri, non ha alcuna incidenza sull’applicazione della deroga di cui alla lett. d) dell’art. 49 GDPR;
- la non occasionalità e la non specificità delle richieste che potrebbero essere avanzate, non consente l’applicazione della deroga di cui alla lett. e dell’art. 49 GDPR;
- nonostante la possibilità, in casi specifici, di applicare la deroga di cui alla lett. f) dell’art. 49 GDPR, non può in alcun modo desumersi, per l’applicazione del US Cloud Act, un principio secondo cui gli interessi vitali di terzi soggetti possano essere usati quale base per il trattamento, esistendo una valida base giuridica alternativa;
- l’estrema difficoltà di effettuare un corretto bilanciamento dei pur legittimi interessi in gioco nonché l’impossibilità, dato il carattere di segretezza delle indagini, di adempiere agli obblighi di notifica relativi al trattamento in corso, rendono inapplicabile anche la deroga di cui all’ultimo paragrafo dell’art. 49 GDPR.
Conclusione
In conclusione, per come attualmente elaborato, le richieste di trasferimento dati disciplinate dall’US Cloud Act non presentano alcuna delle garanzie a tal fine richieste dall’UE, rendendosi necessaria la stipulazione di specifici accordi EU-US che possano sì garantire l’efficace svolgimento delle indagini da parte delle Autorità USA ma che i diritti garantiti dall’UE ai propri cittadini o residenti possano essere in alcun modo pregiudicati (“spie” a parte, difficili da disciplinare per definizione).
