Non ha mancato di sollevare qualche perplessità il tanto atteso executive order firmato dal Presidente Usa per un nuovo accordo che risolva definitivamente il problema dei trasferimenti dei dati fra il vecchio e il nuovo continente.
Ma per capire se le criticità – in primis quelle sollevate dall’organizzazione NOYB di Max Schrems – siano davvero insormontabili, occorre partire da un dato fondamentale ma spesso sottovalutato: l’ordinamento degli Stati Uniti d’America è profondamente diverso rispetto a quello europeo e pertanto, se l’executive order si analizza esclusivamente con occhi europei si corre il rischio di fossilizzarsi su divergenze che non potranno mai essere appianate.
Il principale equivoco in cui si cade, quindi, è quello di pensare che la valutazione di adeguatezza che l’Europa è chiamata a fare corrisponda a una verifica di sostanziale equivalenza tra gli ordinamenti, mentre così non è, né potrebbe essere.
Scorza: “Executive order di Biden, ecco i punti critici, quelli positivi e quelli da chiarire”
Le principali criticità dell’executive order
Attraverso il suo sito, l’Avvocato Max Schrems, che già due volte si è reso fautore dell’annullamento dei precedenti accordi di adeguatezza tra Europa ed USA (tanto che entrambe le sentenze portano il suo nome) ha dichiarato di nutrire seri dubbi circa l’idoneità del documento a soddisfare il diritto dell’unione europea.
Adeguatezza non vuol dire equivalenza
Non si può pretendere che un paese con una propria storia, delle proprie leggi e un sistema giudiziario estremamente lontano dal nostro modifichi la sua intera essenza per rendersi sovrapponibile a quello europeo. E, difatti, non è quello che chiede l’articolo 45 GDPR.
La domanda da porsi quindi, per avanzare ipotesi circa la buona riuscita dell’accordo, non è se l’ordinamento americano sia equiparabile (inteso come sovrapponibile) a quello europeo ma se l’ordinamento americano, con tutte le sue peculiarità, i suoi limiti e la sua legislazione sia in grado di offrire delle garanzie adeguate ai cittadini europei.
A onor del vero, la responsabilità per tale sviamento è da attribuirsi proprio alla Corte di Giustizia dell’Unione europea che nella sentenza Schrems I, dovendo definire la nozione di livello di protezione adeguato, ha indicato che dovesse trattarsi di una “protezione sostanzialmente equivalente a quella garantita all’interno dell’Unione” senza rendersi conto che là dove il legislatore ha preteso vi fosse equivalenza, lo ha dichiarato espressamente.
Per esempio, il nostro GDPR (ma la stessa direttiva 95/46/CE allora vigente) prevede che il livello di tutela dei diritti e delle libertà delle persone relativamente al trattamento dei dati sia equivalente in tutti gli Stati membri.
Appare chiaro allora che, se il concetto di equivalenza è stato utilizzato esclusivamente per definire i rapporti tra gli stati membri mentre si è riservato quello di adeguatezza ai paesi extra UE è proprio al fine di tenere in debita considerazione e salvaguardare le ovvie differenze presenti tra i diversi stati e ordinamenti.
A ogni buon conto è questa sovrapposizione che, con ogni probabilità, ha condizionato ogni successiva interpretazione fino a indurci a ritenere che tutto quanto sia “diverso” non sia corretto.
Inoltre, occorre delimitare l’oggetto dell’analisi: lo scopo dell’executive order è, conformemente alle indicazioni date con la sentenza Schrems II, quello di introdurre elementi di controllo e protezione rispetto al trattamento dei dati effettuato da parte delle autorità pubbliche di cui si è lamentata l’eccessiva ingerenza e mancanza di controllo, aggiungendo degli strumenti di ricorso effettivi.
Le obiezioni di NOYB
Chiarito questo punto, la prima obiezione di Noyb riguarda la natura dell’atto, che non è una legge ma un ordine esecutivo e, pertanto, si tratterebbe di una semplice direttiva interna.
In realtà, l’executive order non ha una minore valenza o efficacia delle leggi e, inoltre, nel sistema costituzionale americano la questione relativa al trattamento dei dati di cittadini stranieri è sempre stata appannaggio dell’esecutivo; proprio per questo è essenzialmente disciplinato da una serie executive order. Certamente, un limite può essere ravvisato nella possibile coesistenza di questi strumenti ma, proprio al fine di ovviare a ciò, si stabilisce che in caso di conflitto tra executive order si applicherà la normativa che prevede una tutela più elevata.
Quello che manca, come evidenziato da Noyb, è la previsione che riconosca il diritto alla protezione dei dati personali come diritto inviolabile.
Anche questo aspetto deve, tuttavia, essere valutato guardando al sistema americano nel suo complesso ed alla sua storia. La Costituzione degli Stati Uniti d’America riconosce questo diritto esclusivamente ai cittadini e, probabilmente, andrebbe modificata. Posto che adeguatezza non vuol dire equivalenza non sembra che si possa richiedere uno sforzo di questo tipo.
La validità del sistema di ricorso
Il secondo aspetto su cui NOYB presta attenzione è che il sistema di ricorso previsto non sia sufficientemente valido.
Tralasciando l’analisi del primo livello (ben definito dall’Avv. Scorza – componente del collegio per la protezione dei dati personali – come un ricorso gerarchico) che è esclusivamente interno, occorre soffermarsi sul secondo livello di questo nuovo meccanismo.
Per la prima volta, vengono stabilite delle garanzie precise in materia di indipendenza, inamovibilità ed elevata specializzazione.
A tal proposito, si ritiene che la circostanza che i giudici siano nominati dall’esecutivo e cioè dall’Attorney General non possa (di per sé) far concludere che ci sia una mancanza di indipendenza.
Si consideri banalmente, come rilevato dall’Avv. Scorza, che il collegio dell’autorità garante per la protezione dei dati personali ha una genesi politica essendo eletto dal parlamento; successivamente, però, gode di garanzie di indipendenza.
Alla luce del diverso ordinamento deve poi essere valutata la mancanza di un ricorso “in tribunale”. La motivazione è ovvia: negli USA, l’accesso al tribunale è condizionato dalla capacità di dimostrare di aver subito un danno; si è comunque fatto in modo che il risarcimento del danno possa essere determinato da questo “tribunale”.
L’executive order non impedisce il controllo di massa
Da ultimo, e questo è l’aspetto più critico sollevato da Noyb, tale sistema non sarebbe idoneo a impedire il controllo di massa, nonostante siano stati introdotti i criteri di necessità e proporzionalità tanto cari all’Europa.
Per analizzare tale aspetto occorre prendere in considerazione che necessità e proporzionalità non sono concetti tipici del sistema giuridico americano e della sua storia ma, al contrario, sono concetti esclusivamente europei che il governo americano ha accettato venissero introdotti nel suo sistema proprio per venire incontro all’Europa; chiaro quindi che le definizioni possano non combaciare.
Tuttavia, la sezione 2 c) II) continua a consentire il controllo di massa seppur in casi limitati ed espressamente elencati.
Conclusioni
Come rilevato da Stefano Fratta (EMEA Privacy Policy Director – Meta) per esempio oggi, a differenza di quanto avveniva in passato, non viene autorizzato il ricorso alla sorveglianza di massa per la tutela degli interessi economici importanti non essendo stato ritenuto necessario e proporzionato. Ciò non è di poco conto.
D’altra parte, quello che lascia perplessi è che il procedimento autorizzativo, seppur in alcuni casi collegiale, sia esclusivamente interno e non vi siano degli strumenti di controllo successivi.
Ad avviso di chi scrive è su questo punto che si giocherà la partita.
Il procedimento è ancora lungo ma, da un lato l’impegno degli Stati Uniti è evidente e, dall’altro, l’analisi dovrà essere fatta (stavolta) senza confondere adeguatezza ed equivalenza.
