Il Presidente degli Stati Uniti d’America ha firmato un ordine esecutivo per un nuovo accordo che, nelle comuni intenzioni con la Commissione Europea, risolva definitivamente il problema dei trasferimenti dei dati fra il vecchio e il nuovo continente.
Per quanto sia impossibile trarre conclusioni definitive o valutazioni complete sull’effettivo valore del cosiddetto data transfer framework UE-US, annunciato congiuntamente da Joe Biden e da Ursula von der Leyen a marzo di quest’anno, senza prima aver visto la sua versione definitiva, permangono i dubbi sull’eccessiva facilità con cui gli USA possono accedere ai dati personali dei cittadini europei e sulla libertà barattata per soddisfare i bisogni tecnologici contemporanei.
Sentenza Schrems è una vittoria per la sovranità digitale degli europei: ecco perché
Come siamo arrivati all’executive order e a cosa serve
L’executive order firmato da Biden risponde alla necessità di trovare un accordo che permetta alle imprese europee di trasferire verso il nuovo continente i dati personali trattati. Invero, la quasi totalità delle aziende e delle istituzioni ha preferito affidarsi nel corso degli anni a servizi erogati da aziende statunitensi, vuoi per una loro maggior diffusione, vuoi per una sorta di pigrizia imprenditoriale europea che, negli ultimi decenni, non ha prodotto alternative valide a quanto offerto dall’estero.
Se per diversi anni solo in pochi si sono posti il problema della fine che possono fare i dati dei cittadini europei una volta trasmessi ad un’azienda USA, solo dopo l’approvazione del Safe Harbor prima e del Privacy Shield poi, grazie all’attivismo costruttivo di Max Schrems, s’è scoperchiato il vaso di Pandora: per la Corte di Giustizia Europea, gli Stati Uniti non offrono garanzie adeguate sul trattamento dei dati personali, dato che il FISA 702 e l’Executive Order 12333 consentono alle Autorità inquirenti di accedere ai dati dei soggetti non americani con semplici richieste che, spesso, sono sottoposte a un vincolo di segretezza. Dunque, un cittadino europeo potrebbe essere coinvolto in un’indagine negli USA a sua insaputa, senza che possa godere delle stesse garanzie accordategli dal GDPR e dalla legislazione del suo Paese.
Proprio per questo, la Corte di Giustizia, su ricorso di Schrems, ha invalidato entrambi gli accordi fra USA ed UE.
Aperture inaspettate e chiusure confermate
Se da un lato il nuovo atto di Biden mutua i principi di necessità e di proporzionalità del trattamento dei dati propri del GDPR, esplicitandoli espressamente, dall’altro non vi sono nemmeno lontani accenni alla possibilità che gli USA adottino un approccio più europeo per le attività di indagine e la sorveglianza di massa, dato che continueranno con le stesse regole previste dalla vigente normativa statunitense. Solo per fare un esempio, tutti i dati inviati ai provider americani saranno non solo soggetti al FISA e all’Executive Order 12333, ma anche ai programmi PRISM (che consente alla NSA di acquisire direttamente i dati dai provider americani) e Upstream (che, invece, permette sempre alla NSA di intercettare le comunicazioni telefoniche), senza alcuna tutela giudiziale.
Infatti, il meccanismo di difesa dei diritti dell’interessato è puramente amministrativo: accanto al già esistente Civil Liberties Protection Officer (CLPO), sarà costituita una Data Protection Review Court che giudicherà sulle istanze di secondo grado. Ad ogni modo, i suoi componenti saranno nominati dal Governo USA (e non potranno comunque essere rimossi in ragione dell’esercizio delle loro funzioni), e per giunta, a dispetto del nome, non sarà un vero e proprio tribunale.
Tra l’altro, il meccanismo difensivo è abbastanza macchinoso: il cittadino europeo che teme una violazione dei suoi dati personali dovrà rivolgersi alla propria Autorità di controllo che provvederà a trasmettere l’istanza al CLPO che, a sua volta, potrà solo comunicare all’interessato se i suoi dati sono stati oggetto di violazione, ma non potrà riferirgli se è soggetto ad un’indagine in corso. Dunque, è di palmare evidenza che la Corte rischia di essere del tutto inutile perché, come sostenuto da Noyb stessa, dato che il contenuto delle risposte del CLPO è piuttosto limitato, potrebbe non esserci nulla da appellare.
Le imprese americane non dovranno rispettare il GDPR
Incredibile ma vero, se con il Privacy Shield le imprese americane erano tenute ad adeguarsi e a rispettare il GDPR, con l’executive order possono non osservarlo. Dunque, in assenza di uno specifico obbligo di adeguamento, le aziende del nuovo continente non solo non dovranno garantire una protezione adeguata ai dati personali degli interessati, ma potranno raccoglierli senza basare il trattamento su una condizione di liceità. Ad esempio, i trattamenti marketing e di profilazione potrebbero essere eseguiti senza il consenso degli interessati. È intuitivo che una simile situazione comporterebbe una notevole disparità di diritti per gli interessati, ma anche di obblighi cui soggiacere per le aziende.
Ma v’è di più: se un’impresa europea vorrà affidarsi a dei servizi erogati da una realtà americana, dovrà valutare con estrema attenzione l’opportunità di avvalersi di detti servizi. Infatti, l’azienda europea è titolare del trattamento dei dati raccolti e, pertanto, dovendo rispettare e garantire i diritti e le libertà fondamentali degli interessati in piena attuazione del GDPR, sarà lei stessa la destinataria di eventuali sanzioni, ove si avvalga dei servizi del suo responsabile statunitense.
I prossimi passi
Dopo la pubblicazione dell’executive order, la palla passa alla Commissione Europea che, nei prossimi mesi, dovrà esprimersi con una c.d. decisione di adeguatezza, ossia con un atto che riconosca che il trasferimento dei dati negli USA sia adeguato ai principi del GDPR. Del resto, questa tipologia di atto costituisce una base per il trasferimento dei dati all’estero ai sensi dell’art. 45 del Regolamento, e dovrà essere presa dopo aver ricevuto i pareri dell’EDPB e delle Autorità di controllo nazionali, pareri che, ad ogni modo non sono vincolanti.
Il processo di adozione della decisione dovrebbe richiedere qualche mese; quindi, c’è da attendersi che il data transfer framework UE-US sia pronto per la primavera del prossimo anno. Sempre che Schrems e la sua Noyb, ove permangano i problemi innanzi esposti, non decidano di ricorrere nuovamente alla Corte di Giustizia Europea per invalidarlo.
È una questione di sovranità, ma soprattutto di libertà
Il vero problema, come s’è accennato in questo articolo ed in altre occasioni, è che la UE ha recentemente (ri)scoperto il concetto di sovranità sui dati: decenni passati a non innovare, a non investire sulle idee e sulle imprese tecnologiche, non hanno che portato a una estrema dipendenza dai servizi informatici erogati dagli USA che, sin dal 1983, vedono la Rete come il loro cinquantunesimo stato. Dunque, accanto a un’attività di politica internazionale volta alla tutela dei dati dei cittadini, l’UE dovrebbe iniziare a programmare un piano a lungo termine che favorisca la nascita di imprese che possano offrire servizi concorrenti a quelli erogati dalle imprese statunitensi. Non è solo una questione di mercati, ma, soprattutto, è una questione di libertà: non si può essere liberi se non si può avere controllo sulla propria identità digitale, intesa come l’insieme dei dati che ci qualifica ed identifica sul web, o se bisogna barattare i propri diritti per soddisfare i propri legittimi bisogni informatici. Un maggior sforzo in questo senso, quindi, è più che auspicabile da parte di tutte le istituzioni europee.
