Il mese scorso il CDEP – Committee on Digital Economy Policy dell’OCSE ha tenuto una riunione per dibattere del tema più discusso del momento in termini dati personali e trasferimento internazionali, ossia l’accesso dei governi ai dati detenuti da organizzazioni private.
L’argomento è particolarmente scottante in questo periodo post sentenza Schrems II, e di modifica alle clausole contrattuali standard (CCS).
Australia, Canada, Giappone, UK e USA hanno sostenuto la linea dello “obliged access”, ove l’accesso a tali dati da parte delle forze dell’ordine è pienamente legittimo, mentre l’Unione europea vorrebbe concedere più tempo al comitato per “redigere una bozza di principi con una portata più estesa, e coprire tutti i metodi di accesso da parte del governo”.
Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II
Il punto di vista americano in seno all’OCSE
Il Comitato per le Politiche dell’Economia Digitale dell’OCSE, in giugno, ha tenuto una riunione speciale, per riesaminare e approvare quanto proposto da un gruppo di lavoro informale sul tema dell’accesso dei governi ai dati personali, detenuti dal settore privato.
La proposta aveva l’obiettivo di fare una scelta netta fra due opzioni significativamente diverse.
La prima opzione prevedeva di aggregare in sette macrocategorie, quelli che sarebbe sottoposti a “obliged access”, ossia accessi obbligatori che le organizzazioni private avrebbero dovuto consapevolmente permettere a soggetti governativi e di pubblica sicurezza, per il perseguimento di finalità giuridiche o di sicurezza nazionale.
Tali macrocategorie, per loro natura e numero, sarebbero state di fatto piuttosto generiche, concedendo probabilmente una certa flessibilità all’accesso.
I governi di Australia, Canada, Giappone, Regno Unito e Stati Uniti hanno sostenuto questa impostazione e hanno insistito per una tempestiva iniziativa dell’OCSE in questo senso. Il governo americano ha inoltre sollevato la necessità di convergere verso una comune interpretazione di questi principi, per facilitare i flussi di dati transfrontalieri e l’attività commerciale ed economica.
Si noti che Australia, Canada, Regno Unito e Stati Uniti oltre a Nuova Zelanda fanno parte di Five Eyes, un’alleanza di sorveglianza e cooperazione congiunta in materia di intelligence e fondatrici del programma ECHELON, che alla fine degli anni ’90, innescò un grande dibattito in seno al Parlamento europeo e, in misura minore, al Congresso degli Stati Uniti. Tali strumenti sono poi stati potenziati dopo l’11 settembre con la creazione dell’NSA National Security Agency americana e l’approvazione del Foreign Intelligence Surveillance Act.
Sintesi dello stato dell’arte: Schrems II e CCS
Il trasferimento di dati dagli stati europei verso i Big-Tech americani era considerato legittimo, grazie al “Privacy Shield” americano. In linea con l’articolo 45 del GDPR, gli U.S.A. erano considerati adeguati, offrendo condizioni di sicurezza analoghe a quelle garantite dalla normativa europea.
La Corte di Giustizia Europea ha sparigliato le carte con la sentenza denominata “Schrems II”. Il 16 luglio 2020, nel caso C -311/18, la CGUE ha invalidato l’accertamento di adeguatezza della Commissione Europea, per i trasferimenti di dati verso gli U.S.A.
Le precedenti condizioni erano infatti mutate con l’approvazione da parte di Washington del Foreign Intelligence Surveillance Act, il quale concede all’intelligence americana di accedere ai dati personali, anche di cittadini europei, se detenuti da soggetti privati americani, con condizioni di tutela inferiore a quelle garantite dal GDPR.
Venute meno quindi le garanzie di adeguatezza per gli U.S.A., il trasferimento di dati dall’UE verso gli States, è divenuto complesso e arzigogolato. Le Big Tech hanno dovuto quindi appellarsi a un altro strumento, più complesso e rigido, che sono le Standard Contractual Clauses.
Le SCC sono infatti un altro meccanismo di tutela, che permette alle aziende di trasferire dati fuori dall’Unione europea. La loro nuova versione è stata approvata solo 4 giorni prima dell’incontro tenutosi in seno all’OCSE, in un momento particolarmente delicato e fluido in materia di trasferimenti dati extra UE.
La posizione europea
La seconda opzione, sostenuta dall’Unione Europea e da molti dei suoi paesi membri, al contrario prevedeva di declinare in maniera più approfondita e dettagliata, quali fossero le tipologie e le condizioni di accesso ai dati detenuti dalle organizzazioni private. Tale attività di catalogazione demandata al CDEP, ovviamente avrebbe necessitato di tempi di sviluppo più significativi e probabilmente di un regime di accesso ai dati da parte dei governi più stringente.
Il rappresentante dell’UE ha infatti sostenuto che l’attuale bozza non fornisse garanzie sufficienti, per determinati tipi di accesso ai dati personali da parte dei governi.
Solo 4 giorni prima dell’incontro in seno all’OCSE la Commissione europea aveva approvato le nuove Standard Contractual Clauses per il trasferimento di dati verso paesi terzi.
L’Europa in questa partita si vede come l’oggetto dei desideri delle mire economiche dei colossi americani e la discussione di una tutela dei dati europei, non solo in chiave di mera tutela privacy, è divenuta discussione trasversale per tutte le cancellerie europee anche o forse soprattutto in ottica di tutela di un patrimonio ritenuto strategico e alla base dei maggiori macro-trend del prossimo futuro.
Le aziende chiedono chiarezza
Norman Barbosa di Microsoft, è intervenuto nella discussione in seno al CDEP portando il punto di vista di BIAC, gruppo che si occupa di far dialogare il mondo degli affari con l’OCSE e anche denominato “Business at OECD” (OECD è l’acronimo inglese di OCSE). Barbosa ha sottolineato la necessità di un’azione tempestiva per affrontare con urgenza il deficit di fiducia in materia di privacy da parte dei consumatori e promuovere al contempo una ripresa dell’economia globale.
L’USCIB (United States Council for International Business), insieme a BIAC e Camera di Commercio Internazionale, aveva precedentemente presentato una propria raccomandazione, poi sostenuta da 23 organizzazioni imprenditoriali di tutto il mondo.
La lettera riportava: “i benefici del commercio dipendono dal flusso affidabile di dati tra i paesi. I flussi di dati globali hanno consentito lo sviluppo, la produzione e distribuzione più efficiente di attrezzature mediche tanto necessarie, insieme ai servizi digitali, tanto fondamentali per la continuità delle nostre vite, delle nostre comunità, società e governi. Tuttavia, stiamo assistendo a un’erosione della fiducia nei flussi di dati internazionali a causa delle preoccupazioni, che le richieste del governo di accedere ai dati possano entrare in conflitto con i diritti umani e le libertà universali, inclusi i diritti alla privacy, o causare preoccupazioni e conflitti con le leggi nazionali, quando tale accesso travalica i confini. Queste crescenti preoccupazioni e una ridotta fiducia hanno portato a un’incertezza, che può scoraggiare la partecipazione di individui, aziende e persino governi all’economia globale e può avere un impatto negativo sulla crescita economica”.
I soggetti proponenti hanno chiesto la repentina chiusura dei lavori, affinché il Consiglio ministeriale dell’OCSE (MCM) nel prossimo ottobre 2021, potesse deliberare incorporando tali indicazioni in uno strumento giuridico dell’OCSE.
In sintesi, il blocco capeggiato dagli U.S.A. e sostenuto dai Big-Tech, e mondo del business avrebbe voluto l’immediata chiusura della partita e attraverso l’OCSE regolamentare in maniera “soft” la possibilità da parte dei governi di accedere ai dati posseduti da organizzazioni private e così by passare de facto i limiti più stringenti del GDPR o certi interventi giuridici della Corte di Giustizia Europea.
Conclusioni
“Con grande delusione dei membri USCIB/BIAC, i membri del CDEP non sono riusciti a raggiungere un accordo sull’opportunità di perseguire l’opzione uno o due”, ha affermato Wanner di USCIB.
Le organizzazioni private sono la parte debole, che subisce le conseguenze negativi di questo braccio di ferro fra la concezione “soft” americana della privacy e la versione più rigida del GDPR.
Il business paga sia l’incertezza normativa sia il conseguente clima di sfiducia generatosi dall’assenza di una comune visione.
Il segretariato del CDEP ha dovuto “premere il pulsante di pausa” e rinviare la discussione al prossimo novembre. La stessa OCSE si trova fra l’incudine e il martello, avendo i propri membri sostanzialmente divisi su due interpretazioni divergenti, e con la parte americana che vorrebbe che fosse l’OCSE a togliere loro le castagne dal fuoco.
I sostenitori della versione soft, con gli USA e il loro Foreign Intelligence Surveillance Act, vorrebbero avere un sostanziale via libera all’accesso ai dati personali detenuti da organizzazioni private. Tale visione della privacy si scontra con i timori europei sui sistemi di sorveglianza di massa e gli scenari orwelliani alla “Grande fratello”, dove nell’immaginario stato totalitario chiamato Oceania, ciascun individuo è tenuto costantemente sotto controllo dalle autorità.
I sostenitori della versione più rigida della privacy al contrario vorrebbero che l’accesso ai dati dei cittadini fosse condizionata e prevista solo in specifiche e più che giustificate motivazioni. Ovviamente in tema di lotta al terrorismo e più in generale al crimine organizzato tali impedimenti potrebbero rendere meno rapido ed efficace l’attività d’indagine.
Trovare l’equilibrio fra diritto alla privacy e diritto alla sicurezza è la patata bollente finita sul tavolo del CDEP.
