Lo scorso 7 ottobre il presidente degli Stati Uniti Joe Biden ha apposto la propria firma sul nuovo e atteso Executive Order volto a “implementare il quadro sulla privacy tra UE e USA”, così recita il titolo, che rappresenta un primo ma significativo passo verso un nuovo quadro regolatorio tra USA e UE riguardo alla condivisione e all’accesso ai dati personali da parte degli organi governativi americani.
Quasi contemporaneamente all’annuncio da parte della Casa Bianca sono prontamente pervenute le FAQ relative all’Ordine Esecutivo a cura della Commissione Europea.
Indice degli argomenti
Un cammino complicato
L’iter che ha portato al provvedimento è stato tuttavia lungo e alquanto travagliato. Tutto ha avuto inizio nel 2013 quando l’attivista austriaco Max Schrems decise di sporgere denuncia a carico di Facebook Ireland Limited (essendo l’Irlanda il paese europeo in cui Facebook ha sede) innanzi al giudice austriaco, al fine di vietare a Facebook di trasferire i dati dall’Irlanda agli Stati Uniti.
L’attivista austriaco, all’epoca, affermò che l’azienda non avrebbe rispettato i diritti alla riservatezza e alla protezione dei dati personali garantiti dal diritto UE nel caso di trasferimento di dati verso paesi extra-UE. Lo stesso Schrems dichiarò inoltre come il livello di protezione offerto dal Safe Harbor, che nel 2000 fu introdotto dalla Commissione europea, fosse inadeguato alla persecuzione degli scopi da esso prefissati.
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Le criticità sollevate da Schrems arrivarono alla Corte di Giustizia dell’Unione Europea che nel 2015 con la sentenza denominata “Schrems I” portò all’annullamento del “Safe Habor”, il quale, fino ad allora, aveva consentito alle aziende americane di gestire dati personali dei loro utenti europei su server americani.
Successivamente, nel 2020, sempre la CGUE si è nuovamente pronunciata in merito, e con la rivoluzionaria sentenza “Schrems II” ha invalidato lo scudo per la privacy USA-UE (cd. Privacy Shield) riconoscendo, nuovamente, l’inadeguatezza delle tutele offerte dallo stesso in relazione alla facilità di accesso ai dati di cui godevano le Autorità di intelligence statunitense.
Di contro, la Corte di Giustizia ribadì l’applicabilità del Regolamento 2016/679 (GDPR) e dei principi in esso contenuti anche ai dati personali che, al tempo del trasferimento o successivamente, potevano essere trattati dalle Autorità statunitensi per finalità di pubblica sicurezza, difesa o sicurezza nazionale. Andando così ad evidenziare ulteriormente l’ampio divario in termini di facilità di accesso ai dati che intercorreva tra la disciplina europea e quella statunitense.
Il contenuto dell’Executive Order
Considerando ciò che concretamente prevederà l’Ordine Esecutivo emergono due elementi di rilievo.
Il primo consiste in una sostanziale ridefinizione dei limiti di accesso da parte dell’intelligence statunitense ai dati, con garanzie vincolanti che limiteranno l’accesso ai dati da parte delle autorità di intelligence statunitensi alle sole situazioni di necessità e proporzionalità e al fine di garantire la sicurezza nazionale.
Questo nuovo perimetro di azione dell’intelligence rappresenta un significativo passo avanti rispetto ai limiti di accesso ai dati.
Trasferimento dati UE-USA: cosa cambia col nuovo ordine esecutivo del Presidente Biden
Principi come la necessità e la proporzionalità mai prima d’ora erano stati così esplicitamente richiamati da parte dal Governo statunitense. Si delinea così, almeno sulla carta, l’intenzione di conciliare la normativa USA a quella europea per quanto riguarda limiti di accesso ai dati da parte di entità statali.
Venendo al secondo elemento, emerge dal testo dell’ordine esecutivo l’intento di istituire un nuovo meccanismo di ricorso indipendente, imparziale ed esteso anche ai cittadini non statunitensi a cui si potrà accedere attraverso un nuovo tribunale del riesame della protezione dei dati, il “Data Protection Review Court” (DPRC), che sarà adibito ad indagare e a risolvere le controversie relative all’accesso ai propri dati da parte delle autorità di sicurezza nazionale statunitensi.
Questo strumento di tutela consentirà ai cittadini nell’UE di chiedere un risarcimento attraverso un tribunale di revisione della protezione dei dati che sarà indipendente e composto da membri esterni al governo degli Stati Uniti.
Entrando più nel dettaglio notiamo come il nuovo sistema di tutela si baserà su un meccanismo multistrato. Dapprima il Civil Liberties Protection Officer (CLPO), che opera presso l’Ufficio statunitense del Direttore dell’intelligence nazionale indagherà sui reclami, condurrà una indagine preliminare e infine prenderà una prima decisione, che sarà vincolante.
Successivamente è previsto il riesame da parte dell’organismo indipendente (DPRC).
Una sorta di doppio grado di giudizio insomma.
L’impatto dell’Executive Order
Le Big Tech americane e i gruppi industriali hanno accolto molto favorevolmente e con entusiasmo le misure introdotte. Microsoft e Meta sono state le prime a dare un giudizio pubblico con il presidente degli affari globali di quest’ultima, Nick Clegg, che ha scritto su Twitter: “Accogliamo con favore questo aggiornamento della legge statunitense che aiuterà a preservare Internet aperto e a mantenere le famiglie, le imprese e le comunità connesse, ovunque si trovino nel mondo”.
Linda Moore, presidente e CEO del gruppo industriale TechNet (Microsoft), ha altresì dichiarato: “Ci congratuliamo con l’amministrazione Biden per aver adottato misure affermative per garantire l’efficienza e l’efficacia dei flussi di dati transfrontalieri americani ed europei e continueremo a lavorare con l’amministrazione e membri del Congresso di entrambe le parti di approvare un disegno di legge federale sulla privacy”.
Ma il testo non convince tutti
Non sono mancate tuttavia le critiche e lo scetticismo attorno alla nuova bozza di accordo.
Non si è fatta attendere infatti la reazione da parte dell’organizzazione attivista austriaca NOYB e del suo presidente onorario nonché fondatore Max Schrems, sì proprio lui, che ha commentato con scetticismo e preoccupazione la nuova misura prima affermando come “L’UE e gli Stati Uniti sono ora d’accordo sull’uso del termine “proporzionato”, ma sembrano in disaccordo sul suo significato. Alla fine, la definizione della CGUE prevarrà – probabilmente annullando di nuovo qualsiasi decisione dell’UE. La Commissione europea sta ancora una volta chiudendo un occhio sulla legge statunitense, per permettere di continuare a spiare gli europei” e successivamente avvertendo che “analizzeremo questo pacchetto in dettaglio, il che richiederà un paio di giorni.
A prima vista sembra che le questioni fondamentali non siano state risolte e prima o poi si tornerà alla CGUE”.
Prospettando di fatto una possibile, e forse probabile, Schrems III.
Le conclusioni
Risulta più che evidente come, con la firma di questo Ordine Esecutivo, gli Stati Uniti intendano avviare un percorso di avvicinamento in termini di tutela di accesso ai dati e di tutela del singolo analogo a quello offerto dagli standard europei.
Tuttavia, la strada da percorrere è ancora molto lunga; non dimentichiamoci infatti che l’Executive Order rappresenta solo un primo passo verso quello che auspicabilmente sarà, a breve, un nuovo accordo tra UE e USA. Ora che gli Stati Uniti hanno emesso il loro ordine esecutivo, la Commissione europea dovrà redigere una cosiddetta “decisione di adeguatezza” ai sensi dell’articolo 45 del GDPR.
Una volta emessa la bozza di decisione, la Commissione dovrà interpellare il Comitato europeo per la protezione dei dati (EDPB), che emetterà un giudizio, sebbene non vincolante, così come faranno gli Stati membri europei, i quali dovranno necessariamente essere informati.
Tuttavia, anche in caso di valutazioni negative dell’EDPB e degli Stati membri, esse non sarebbero vincolanti per la Commissione. Una volta pubblicata la decisione, quindi, le aziende potranno fare affidamento su di essa per l’invio di dati negli Stati Uniti e gli utenti potranno impugnarla presso i tribunali nazionali ed europei.
Tutto ciò, verosimilmente, non accadrà prima della primavera del 2023.
