Il 7 ottobre scorso il Presidente Biden ha firmato un ordine esecutivo con l’obiettivo di implementare l’accordo annunciato lo scorso marzo, ovvero il Trans-Atlantic Data Privacy Framework, che nell’intenzione del governo USA e della Commissione UE andrà a colmare il vuoto lasciato dalla “caduta” del Privacy Shield, causata dalla sentenza Schrems II.
Privacy USA-UE, le nuove regole di Biden sui dati personali degli europei
Indice degli argomenti
Un tassello fondamentale
L’ordine esecutivo di cui tutti parlano in questi giorni è quindi un tassello fondamentale nel percorso che porterà alla nuova decisione della Commissione UE ai sensi dell’art. 45 GDPR che certifichi il fatto che gli Stati Uniti garantiscono un livello di protezione adeguato dei dati personali dei cittadini UE.
L’ordine è quindi il frutto dei negoziati che hanno coinvolto USA e UE e tesi a smussare le asperità nella normativa statunitense che hanno causato il crollo della precedente decisione di adeguatezza.
Negoziati che, secondo alcuni, non nascono sotto i migliori auspici visto il sospetto tempismo dell’annuncio dell’accordo, di poco successivo all’invasione russa dell’Ucraina che ha di fatto avvicinato i governi sulle due sponde dell’Atlantico.
Per questo è così importante esaminare nel dettaglio questo provvedimento dell’amministrazione Biden, perché è probabilmente tutto quello che i cittadini UE otterranno nel nuovo quadro di trasferimento lecito di dati fra Stati Uniti e Unione Europea.
Il provvedimento
Il provvedimento emanato da Biden ha per oggetto le attività di intelligence informatico (intelligence dei segnali) da parte delle amministrazioni statunitensi, e va a revocare parzialmente l’ordine esecutivo PPD-28 emanato nel 2014 dall’Amministrazione Obama.
L’ordine, si nota immediatamente, adotta un lessico più vicino a quello del GDPR, menzionando spesso i principi di necessità, proporzionalità e minimizzazione nel trattamento dei dati.
Molto interessanti sono in particolare i nuovi requisiti in tema di finalità del trattamento (che prescrive il riferimento a obiettivi di sicurezza nazionale predefiniti) e i nuovi oneri di documentazione dell’attività di intelligence al fine di consentire la verifica dell’attività effettuata (disciplina che fa il paio con più estesi poteri di supervisione e più incisive responsabilità dei funzionari che dovessero violare la normativa).
Le novità positive
Le novità positive dell’ordine firmato da Biden sono quindi molte e permeano l’intero atto emanato dal Presidente, il problema è che queste si fermano spesso a indicazioni di principio, che se non correttamente interiorizzate dall’amministrazione USA potrebbero rivelarsi solamente vuote promesse formali.
Ad esempio, l’evoluzione rispetto all’ordine PPD-28 è evidente nel punto dedicato alla diffusione dei dati.
Mentre l’ordine PPD-28 si limitava ad affermare che la diffusione dei dati acquisiti nel corso di attività di intelligence può essere disposta solo se ricorrono situazioni in cui la normativa interna ammette la diffusione dei dati di cittadini statunitensi in ambito di attività di intelligence, l’ordine esecutivo del 7 ottobre ripete questo principio, ma poi vi aggiunge i principi di non discriminazione sulla base della nazionalità, di tutela dell’interessato, di verifica degli obiettivi e degli impatti derivanti dalla diffusione.
La disciplina della diffusione dei dati è però anche sintomatica dei problemi dell’ordine esecutivo firmato da Biden, in quanto questi “corollari” di principio non incidono sulla norma principale, che rimane la stessa di sei anni fa (la diffusione dei dati di un cittadino UE è ammessa in tutti i casi in cui è ammessa la diffusione dei dati di un cittadino USA).
Solo una corretta assimilazione dei principi comunitari menzionati “a corollario” dal nuovo ordine esecutivo potrà così garantire che quelle contenute nell’ordine esecutivo di Biden non rimangano solo affermazioni sulla carta.
Viene inoltre introdotta una tutela di tipo risarcitorio, nel caso di trattamento dati in violazione della legge statunitense.
A prescindere dall’infelice scelta lessicale di riferire il meccanismo risarcitorio alla sola violazione di legge (tecnicamente la violazione dell’ordine esecutivo, con le sue guarentigie, non essendo legge, non rientrerebbe fra le violazioni azionabili, anche se negli Stati Uniti con “law” si intende spesso l’intero corpus normativo, anche regolamentare) l’introduzione di questo meccanismo è certo un successo del negoziato portato avanti dall’Unione Europea, ma potrebbe non essere abbastanza.
Data Protection Review Court
Anche qui infatti sembra che l’accostamento alla normativa UE sia più di forma che di sostanza, la facoltà di ricorrere (che poi nei fatti sarà mediata dalle istituzioni europee) è demandata in prima battuta ad un organo interno (pur con requisiti di indipendenza) all’Ufficio per le Libertà Civili in seno al direttorato della National Intelligence, mentre in seconda battuta è possibile appellarsi ad una Data Protection Review Court.
Se nei termini sembra di trovarsi di fronte ad una vera e propria corte, di fatto stiamo parlando di un organismo amministrativo in seno all’ufficio dell’Attorney General, che provvede a nominarne i componenti.
Anche se si tratta di una soluzione più garantista rispetto a quella dell’Ombudsperson prevista nel Privacy Shield e se sono previste incisive garanzie sull’indipendenza dei suoi componenti, è difficile affermare se davvero questo rimedio possa costituire quel rimedio giudiziale che pretende l’art. 45 GDPR.
Le censure di Schrems II
Per capire il perché di queste novità contenute nell’ordine esecutivo del 7 ottobre e quali sono i problemi che il governo USA intende risolvere con questo provvedimento è necessario ricostruire le critiche mosse nella sentenza Schrems II (C‑311/18 del 16.07.2020) al sistema giuridico americano.
Le critiche della Corte di Giustizia UE
Critiche che hanno spinto la Corte di Giustizia UE a non ritenere adeguato il livello di protezione offerto dal diritto USA ai cittadini UE.
In alcuni punti la sentenza critica nello specifico l’ordine PPD-28 che è oggetto di intervento diretto da parte del provvedimento assunto da Biden.
GDPR, tutto quello che bisogna sapere sul trasferimento dei dati extra UE: lo stato dell’arte
In particolare, ai punti 181-184, la Corte afferma che:
(1) “la PPD‑28 non conferisce agli interessati diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici. Pertanto, essa non è idonea a garantire un livello di protezione sostanzialmente equivalente a quello [..] richiesto dall’articolo 45, paragrafo 2, lettera a), del RGPD, secondo il quale la constatazione di tale livello dipende, in particolare, dall’esistenza dei diritti effettivi e azionabili di cui godono le persone i cui dati sono stati trasferiti verso il paese terzo di cui trattasi.”
(2) “la PPD‑28 [..] consente di procedere ad una «raccolta in blocco (…) di un volume relativamente consistente di informazioni o dati nell’ambito dell’intelligence dei segnali in circostanze in cui la comunità dell’intelligence non può rendere mirata la raccolta ricorrendo a un identificatore associato a un obiettivo specifico»”, questo elemento porta ad escludere che la raccolta di dati effettuata in ambito di attività di intelligence rispetti il principio di proporzionalità prescritto dalla normativa comunitaria.
Due sono quindi i profili di censura che la Corte UE rivolge all’ordine PPD-28, ovvero la mancanza di tutele giuridiche adeguate (ed azionabili) e la facoltà troppo estesa di effettuare raccolte di dati in blocco.
Come abbiamo già visto, il nuovo ordine esecutivo affronta di petto la questione del rimedio giurisdizionale da offrire ai cittadini UE, orchestrando un complesso sistema di ricorso su due livelli con ampi margini di autonomia specialmente per il secondo livello di ricorso (quello affidato alla Data Protection Review Court).
Non è però detto che questo sia abbastanza in quanto l’art. 45 del GDPR pretende che sia attivabile un “ricorso effettivo in sede amministrativa e giudiziaria per gli interessati” e sembra difficile, pur ad un primo e sommario esame, affermare che il rimedio introdotto con l’ordine esecutivo di Biden soddisfi tali requisiti.
La natura di ricorso amministrativo “pesa” in particolare quando si esaminano gli esiti dell’attività di ricorso da parte del soggetto sottoposto ad attività di intelligence. Sia l’Ufficio per le Libertà Civili (in primo grado) che la Data Protection Review Court (in secondo grado), non comunicano alcunché al ricorrente, salvo dire se hanno rigettato il ricorso oppure se hanno emesso un ordine di rimborso.
Anzi la normativa precisa che questa informazione va fornita “without confirming or denying that the complainant was subject to United States signals intelligence activities”.
É quindi evidente che stiamo parlando di un procedimento che se condotto con scrupolo potrebbe dare buoni frutti, ma se condotto con parzialità potrebbe dare risultati nulli. E non c’è modo di verificarlo!
Se si tratta di una segretezza in parte giustificata con la delicata natura delle attività di intelligence e con il rischio di strumentalizzazione dei ricorsi da parte di agenti nemici, è altrettanto vero che una simile chiusura procedimentale rende ancor più evidente la distanza fra quello introdotto con l’ordine esecutivo di Biden e il ricorso effettivo in sede amministrativa e giudiziaria prescritto dalla normativa UE.
Trasferimento di dati personali all’estero: una guida per chiarire ogni dubbio
Il nodo della raccolta in blocco dei dati
Venendo invece alla raccolta in blocco di dati, la nuova normativa si diffonde molto nell’enumerare cautele rispetto all’ordine presidenziale PPD-28.
La nuova normativa si apre infatti con il principio per cui la raccolta di dati mirata deve in ogni caso avere la priorità, mentre quella in blocco è subordinata ad un’autorizzazione da parte di uno dei vertici della Intelligence Community oppure da un’autorizzazione congiunta da parte di un comitato interagenziale che riunisca oltre agli operativi di intelligence i vertici dei dipartimenti che custodiscono i dati a cui accedere in blocco.
L’autorizzazione deve precisare perché gli obiettivi di intelligence non possono essere raggiunti con un’attività di intelligence mirata.
Anche quando è autorizzata la raccolta di dati in blocco, devono comunque essere adottate misure e cautele per ottenere la minimizzazione dei dati, per evitare la raccolta di dati non pertinenti e per garantire che i dati siano conservati per il tempo strettamente necessario e in seguito eliminati.
In quali ambiti scattano le eccezioni
Infine, l’ordine esecutivo include un elenco chiuso di ambiti (come, ad esempio, attività di contrasto al terrorismo) in cui è possibile attuare una raccolta in blocco, con esclusione di tale modalità di intelligence negli altri casi.
Se è pur vero che l’elenco può essere ampliato per ordine presidenziale e che gli ambiti elencati presentano margini abbastanza ampi (ad esempio la prevenzione di minacce informatiche o di crimini transnazionali), si tratta comunque di una disposizione molto concreta e importante, peccato che sul punto sostanzialmente non intervenga l’ordine esecutivo di Biden, limitandosi a ricalcare quanto già aveva disposto Obama nel 2014!
E, soprattutto, rimane presente la criticità per cui non avviene una limitazione a monte (è possibile raccogliere dati in blocco solo se le finalità rientrano in uno dei sei ambiti elencati dalla normativa), bensì una limitazione a valle della raccolta dei dati (è possibile utilizzare i dati raccolti unicamente per le finalità elencate nell’ordine esecutivo), con evidente minor tutela per gli interessati.
L’operazione anche qui sembra a tratti più frutto di maquillage che di reale revisione, ma di fatto è presto per giudicare lo sforzo dell’amministrazione Biden, che nei principi è senz’altro ammirevole.
L’incognita dei no che l’UE ha già esplicitato
Resta però il problema delle discipline USA censurate dalla Corte di Giustizia UE nella sentenza Schrems II (l’ordine esecutivo 12333 e il Foreign Intelligence Surveillance Act) le cui asperità non possono essere completamente smussate dall’ordine esecutivo firmato da Biden, che anzi contiene un’apposita clausola di salvaguardia in cui si afferma esplicitamente: “Provided the signals intelligence collection is conducted consistent with and in the manner prescribed by this section of this order, this order does not limit any signals intelligence collection technique authorized under the National Security Act of 1947, as amended (50 U.S.C. 3001 et seq.), the Foreign Intelligence Surveillance Act of 1978, as amended (50 U.S.C. 1801 et seq.) (FISA), Executive Order 12333, or other applicable law or Presidential directive.”
Cosa farà l’UE?
La Commissione Europea, che sta da tempo lavorando al nuovo Privacy Shield (ovvero il Trans-Atlantic Data Privacy Framework), non fa mistero del fatto che per lei l’ordine esecutivo è la chiave per proseguire nell’iter di approvazione della nuova decisione di adeguatezza e ha già annunciato che provvederà ora a proporre una bozza di decisione di adeguatezza da sottoporre all’EDPB, ai rappresentanti degli stati membri riuniti in un apposito comitato e al Parlamento Europeo.
La fiducia della Commissione
Salvo quindi si mettano in mezzo i “tecnici” dell’EDPB (il cui parere comunque non è vincolante), il percorso del nuovo Privacy Shield sembra in discesa, con la Commissione che per la terza volta ritiene di poter spendere la propria parola sulla adeguatezza del sistema privacy statunitense, peccato che sia stata già smentita due volte dalla Corte di Giustizia UE e che l’associazione che fa riferimento a Max Schrems abbia già espresso una voce di dura critica sul provvedimento, in cui ci si concentra in primo luogo, ed a ragione, sull’opportunità di utilizzare uno strumento giuridico sottordinato rispetto alla legge (gli ordini esecutivi hanno forza di legge solo in presenza di una precedente delega parlamentare, che nel caso manca) per imporre un livello di tutela più forte ai cittadini UE.
Che cosa può succedere
Si rischia quindi, di nuovo, di incorrere in un provvedimento tampone, forte nella volontà politica ma debole nel sostrato giuridico e pronto a cedere non appena la Corte di Giustizia UE tornerà ad occuparsi del caso.
Non resta che sperare che gli USA, che nel frattempo stanno lavorando su una disciplina federale in tema di protezione dei dati personali che molto deve all’impianto europeo, medio tempore maturino una sensibilità nei confronti della tutela dei dati personali tale da avvicinare le prospettive statunitense ed europea, così da raggiungere una “adeguatezza” sostanziale e non creata ad arte con ordini presidenziali di sorta.
