SCAMBIO DI DATI PERSONALI TRA UE ED USA: PRIME NOTE SULL’ORDINE ESECUTIVO DEL 7 OTTOBRE 2022
di Marcello Trabucchi e Livia Gabanella (dipartimento Compliance SZA Studio Legale)
Il Presidente Biden ha firmato lo scorso 7 ottobre un Ordine Esecutivo sul rafforzamento delle salvaguardie per le attività di intelligence degli Stati Uniti. Si tratta del provvedimento con il quale l’accordo politico raggiunto nella scorsa primavera tra Stati Uniti ed Europa in materia di trasferimento dei dati personali inizia – o, meglio, dovrebbe iniziare – a prendere forma e a essere tradotto in gesti concreti e produttivi di effetti giuridici.
L’Ordine definisce le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti con il c.d. EU-U.S. Data Privacy Framework e presenta indubbiamente elementi di novità positivi. Ci sono, tuttavia, alcuni aspetti critici o, quantomeno, di non immediata comprensione che andranno quindi analizzati e chiariti nei prossimi mesi.
L’ordine esecutivo, in generale, dispone che l’accesso ai dati da parte delle agenzie di intelligence statunitensi avvenga in modo proporzionato e solo se necessario per proteggere la sicurezza nazionale, secondo una terminologia molto cara alla Commissione europea.
In sintesi, passando a una breve analisi di contenuto, le agenzie dovranno modificare le loro procedure per rispettare l’ordine esecutivo e le libertà civili dei cittadini europei.
Si richiede che le attività di intelligence degli Stati Uniti siano condotte solo nel perseguimento di obiettivi di sicurezza nazionale definiti, che tengano conto della privacy e delle libertà degli individui indipendentemente dalla loro nazionalità e residenza.
Sono state introdotte ulteriori limitazioni sulle modalità di trattamento dei dati personali raccolti attraverso le attività di intelligence, è stato ampliato il perimetro delle responsabilità dei funzionari e sono stati introdotti compiti di supervisione per individuare situazioni di non conformità.
Verrà, inoltre, creato un meccanismo a due livelli di ricorso. Un cittadino che ritenesse illegale l’accesso ai suoi dati potrà rivolgersi al Civil Liberties Protection Officer. Eventualmente sarà possibile presentare appello al Data Protection Review Court (DPRC). I giudici del DPRC saranno nominati al di fuori del governo degli Stati Uniti, dovranno possedere un’esperienza rilevante in materia di privacy e sicurezza nazionale ed esamineranno i casi in modo indipendente e saranno tutelati contro i rischi di destituzione.
Le decisioni del DPRC e le eventuali misure correttive deliberate dal tribunale saranno vincolanti. Per migliorare ulteriormente l’esame del DPRC, l’Ordine Esecutivo prevede che il tribunale selezioni un avvocato speciale per ogni caso con funzione di difesa degli interessi del denunciante.
Come considerazione generale, impossibile negare che, almeno da un punto di vista politico, l’adozione dell’Ordine Esecutivo rappresenti un segnale di concretezza positivo ad esito di trattative di lunga durata che si sono inevitabilmente tradotte in notevole incertezza per il business.
Tuttavia, l’Ordine Esecutivo è stato, altresì, oggetto di ampia critica, la più severa – come prevedibile -da parte di Max Schrems, autore dei ricorsi che hanno portato alla caduta del Privacy Shield, il quale sul portale dell’organizzazione NOYB ha sollevato diversi dubbi circa la concretezza delle misure messe a punto dagli Stati Uniti. Non vi sarebbe, secondo Schrems, alcun segnale di cambiamento all’atto pratico.
La cosiddetta “sorveglianza di massa” continuerà con il nuovo ordine esecutivo e, di conseguenza, tutti i dati inviati ai provider statunitensi continueranno a finire in programmi come PRISM o Upstream, nonostante la CGUE abbia dichiarato per due volte le leggi e le pratiche di sorveglianza statunitensi non proporzionate, secondo l’accezione europea del termine.
A detta di Schrems, l’utilizzo da parte degli USA dei termini “necessario” e “proporzionato” rappresenterebbe un mero esercizio di stile, poiché non vi sarebbe identità di contenuto rispetto alla nozione europea. Se avessero lo stesso significato, gli Stati Uniti dovrebbero limitare radicalmente i loro sistemi di sorveglianza di massa per conformarsi alla concezione di sorveglianza proporzionata dell’UE.
È quindi troppo presto per avanzare giudizi o esprimere pronostici sull’epilogo della vicenda.
Ad ogni modo, le misure contenute nell’Ordine Esecutivo dovrebbero fornire alla Commissione europea una base per adottare una nuova decisione di adeguatezza, che ripristinerà un meccanismo di trasferimento dei dati accessibile e compatibile ai sensi del diritto dell’UE.
Bisognerà, quindi, capire quanto stringenti sono effettivamente i nuovi limiti imposti alle agenzie di intelligence che, certamente, sono tenute a rispettare rigorosamente l’executive order, e quanto i procedimenti di ricorso da parte dei cittadini europei nel caso di possibili violazioni – che non sono neppure compiutamente definitivi nell’executive order ma che dovranno essere definiti nei prossimi mesi – siano effettivamente accessibili.
Inoltre, sarà necessario appurare quanto il meccanismo di ricorso precedentemente descritto saprà essere effettivamente indipendente.
Almeno sulla carta, è certamente apprezzabile che alcune garanzie, come quella di inamovibilità dei suoi componenti una volta nominati, non siano troppo lontane da quelle che garantiscono l’indipendenza delle nostre Autorità.
