L’invasione dell’Ucraina da parte della Russia starebbe comportando, tra le altre cose, nuove e più stringenti pressioni sui governi europei e statunitensi, affinché si raggiunga un accordo globale sulla tutela dei dati personali e si garantisca, allo stesso tempo, pieni diritti ai cittadini e agli utenti. Lo riporta il Wall Street Journal.
Bruno Gencarelli, un funzionario responsabile della negoziazione di accordi internazionali sui dati per conto dell’Unione europea, ha affermato, nel corso di una conferenza tenutasi a Bruxelles, più nel dettaglio, che l’attuale situazione geopolitica mostra una “linea di demarcazione” più netta “tra i paesi democratici con regole per proteggere la privacy e nazioni più autoritarie che potrebbero abusare dei dati”
La rilevanza strategica degli strumenti informatici è stata confermata anche dai continui attacchi informatici che la Russia ha indirizzato alle infrastrutture critiche, tra cui anche la società di comunicazioni satellitari Viasat Inc., che ha comportato l’impossibilità per migliaia di cittadini ucraini ed europei di usufruire di Internet (sebbene l’attacco sia stato ripetutamente smentito da parte della Russia stessa).
A ciò si aggiunga come l’azione di coordinamento e pianificazione intrapresa già nello scorso anno tra UE e USA a seguito della sentenza Schrems II, volto a colmare le differenze relative alle politiche commerciali e tecnologiche, sia stato rinsaldato dal bisogno di unire nuovamente le forze, come riporta il Wall Street Journal, per determinare la misura e la tipologia di sanzioni da imporre alla Russia dopo l’invasione avvenuta in febbraio.
Si rompe il Privacy Shield: ecco l’impatto su società USA che trattano i nostri dati
Il nuovo accordo Usa-Ue
L’accelerazione dei flussi di dati internazionali a seguito della pandemia e della migrazione verso nuove forme di lavoro ibride, o da remoto, unita alla tensione data dal conflitto in Ucraina (nel quale vengono utilizzati strumenti digitali per trasmettere il resoconto delle azioni difensive intraprese, comunicare con alleati e imprese collocate in altri paesi, e cooperare con esperti di sicurezza informatica all’estero), hanno, come anticipato, messo in luce come si renda necessario trovare un accordo sovranazionale per gestire in modo lecito e corretto i flussi di dati tra i diversi paesi.
L’accordo darebbe nuova certezza ai trasferimenti di dati in ogni contesto, chiarendo ad organizzazioni pubbliche e private limiti e opportunità nell’utilizzo di strumenti digitali per il trattamento dei dati, anche al di fuori dello Spazio Economico Europeo.
“C’è bisogno di una maggiore convergenza a livello mondiale”, ha affermato Wojciech Wiewiorowski, il garante europeo della protezione dei dati, nel corso dell’evento tenutosi, al riguardo, a Bruxelles.
A tal fine, già nel marzo di quest’anno, è stato raggiunto tra gli Stati Uniti e l’Unione Europea un accordo preliminare finalizzato a consentire l’archiviazione dei dati degli interessati europei negli USA.
Il nuovo Trans-Atlantic Data Privacy Framework, afferma la Commissione Europea all’interno del comunicato stampa del 25 marzo[1], “segna un impegno senza precedenti da parte degli Stati Uniti ad attuare riforme che rafforzeranno la tutela della privacy e delle libertà civili applicabili alle attività di intelligence dei segnali statunitensi […] L’annuncio è un’altra dimostrazione della forza delle relazioni USA-UE, in quanto continuiamo ad approfondire la nostra partnership come comunità di democrazie per garantire sia la sicurezza che il rispetto della privacy e per offrire opportunità economiche alle nostre aziende e ai cittadini. Il nuovo quadro faciliterà l’ulteriore cooperazione USA-UE, anche attraverso il Consiglio per il commercio e la tecnologia e attraverso forum multilaterali, come l’Organizzazione per la cooperazione e lo sviluppo economico, sulle politiche digitali”.
I principi chiave del Framework
Il Framework, che deve ancora ricevere il benestare delle autorità europee, si basa su una serie di principi chiave:
- Regole e misure di salvaguardia vincolanti per limitare l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto “necessario e proporzionato” per proteggere la sicurezza nazionale: le agenzie di intelligence statunitensi adotteranno procedure per garantire un controllo efficace dei nuovi standard sulla privacy e sulle libertà civili;
- Un sistema di ricorso a due livelli, per svolgere delle indagini sui reclami ricevuti dagli interessati europei in merito all’accesso ai loro dati da parte delle autorità di intelligence statunitensi, che include la previsione di un “tribunale di revisione della protezione dei dati” (Data Protection Review Court);
- Obblighi stringenti per le aziende statunitensi che elaborano i dati trasferiti dall’UE, tra cui l’obbligo di autocertificare la propria adesione ai Principi previsti dal Framework attraverso il Dipartimento del Commercio degli Stati Uniti;
- Specifici meccanismi di monitoraggio e revisione.
Sebbene, stando a quanto affermato da Audrey Plonk, capo della divisione politica dell’economia digitale presso l’OCSE (Organizzazione per la cooperazione e lo sviluppo economico), le trattative sul trasferimento dei dati a livello globale siano ancora nella fase iniziale, l’UE ha comunque provveduto a stringere una serie di accordi bilaterali sul trasferimento dei dati con 14 paesi terzi, dopo aver verificato la coerenza delle leggi privacy di detti paesi terzi con quanto previsto dal GDPR.
Il commento di Max Schrems
L’attivista Max Schrems, il cui reclamo ha portato alle note sentenze Schrems I e Schrems II, ha pubblicato il 23 maggio sul sito dell’organizzazione NOYB dallo stesso fondata, una lettera indirizzata ai funzionari europei ed americani, affermando che il nuovo accordo potrebbe affrontare sfide legali simili ai precedenti, “a meno che non vengano condotte riforme sostanziali [legislative] negli Stati Uniti”.
Più nel dettaglio, l’organizzazione NOYB si è detta scettica circa l’effettivo progresso svolto a livello legislativo: la stessa afferma[2] che il futuro accordo, cui sono noti solo i principi fondamentali, “si basa principalmente su un accordo politico tra il presidente della Commissione Von Der Leyen e il presidente degli Stati Uniti Joe Biden, ma non è il risultato di modifiche sostanziali alla legge statunitense in risposta alla sentenza della CGUE. Questo approccio sembra ripetere l’accordo “Privacy Shield” ed è profondamente preoccupante”.
“Siamo consapevoli”, continua, “che l’annuncio delinea solo idee e titoli approssimativi, ma che il testo finale deve ancora essere negoziato”; tuttavia, sulla base delle dichiarazioni ufficiali e delle informazioni rese all’organizzazione dalle parti interessate, “comprendiamo che gli Stati Uniti hanno rifiutato qualsiasi protezione materiale per le persone non statunitensi e stanno continuando a discriminare le persone non statunitensi rifiutando le protezioni di base, come l’approvazione giudiziaria delle misure di sorveglianza individuali”.
Nel caso in cui l’accordo non faccia seguito ad un effettivo progresso legislativo da parte degli USA, potrà esserci “ulteriore incertezza giuridica per i cittadini e le imprese negli anni a venire”.
Le raccomandazioni di NOYB
Al fine di garantire la risoluzione della questione a lungo termine, l’organizzazione propone una serie di osservazioni e raccomandazioni, tra cui:
- Applicazione di un corretto test di proporzionalità alla legge statunitense sulla sorveglianza ai sensi dell’articolo 8 della Carta dei Diritti Fondamentali: è difficile vedere, altrimenti, “come l’attuale sorveglianza statunitense possa essere ” necessaria e proporzionata ” ai sensi del diritto europeo se la CGUE ha esplicitamente riscontrato il contrario in due sentenze”.
- Creazione di un sistema di ricorso giurisdizionale significativo, ai sensi dell’articolo 47 della Carta dei Diritti Fondamentali: “’esecutivo statunitense dovrebbe formare un nuovo “corpo” all’interno del ramo esecutivo (simile al precedente “difensore civico” ma sotto l’autorità dell’avvocato generale) che si occuperà delle potenziali violazioni della legge statunitense e degli ordini esecutivi. Questo organismo chiamato “Corte del riesame della protezione dei dati” – contrariamente al nome – non sarà un “Tribunale” ma un organo esecutivo. Farà parte del ramo esecutivo, con indipendenza limitata. […] La soluzione proposta non prevede un ricorso giurisdizionale, ma un organo di ricorso all’interno del ramo esecutivo, simile al difensore civico, che la CGUE ha ritenuto non solo sproporzionato, ma anche una violazione dell’essenza dell’articolo 47 CDF. Il solo fatto di nominare un organo esecutivo “Tribunale” non crea un ricorso giurisdizionale”;
- Aggiornamento delle tutele della privacy commerciale: “Siamo preoccupati per il fatto che i negoziatori dell’UE e degli Stati Uniti non sembrino pianificare alcun aggiornamento dei principi del Privacy Shield. […] Questo è estremamente problematico, in quanto i nuovi principi si basano in gran parte sui principi del “Safe Harbor” del 2000, con solo aggiornamenti minori nel 2016. Non sono in linea con i requisiti del GDPR, che sono diventati applicabili nel 2018”.
Note
- https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087 ↑
- https://noyb.eu/en/open-letter-future-eu-us-data-transfers ↑
