Il 25 gennaio scorso, il neo eletto presidente degli Stati Uniti, Donald Trump, ha firmato un ordine esecutivo. La sezione 14 del provvedimento recita così:

Privacy Act. Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.

L’ordine è volto a migliorare l’applicazione delle leggi nazionali in materia di immigrazione, ma la sezione 14 esclude i non americani dalle protezioni previste dalla legge sulla privacy, il Privacy Act.

L’effetto della norma si è sentito a livello politico. Jan Philipp Albrecht, relatore della riforma in materia di protezione dei dati personali al Parlamento europeo, ha immediatamente suggerito che l’ordine presidenziale potrebbe portare a invalidare il Privacy Shield e di conseguenza al blocco del flusso transfrontaliero dei dati tra Unione europea e Usa. Allo stato oltre 1500 aziende americane, tra le quali anche Google, Facebook e Apple, si basano sul Privacy Shield per il trasferimento dei dati verso gli Usa.

If this is true @EU_Commission has to immediately suspend #PrivacyShield & sanction the US for breaking EU-US umbrella agreement. #CPDP2017 https://t.co/0TBAnIWydq

— Jan Philipp Albrecht (@JanAlbrecht) January 26, 2017

Il Commissario alla Giustizia, Vera Jourova, in visita a Malta, ha sostenuto che occorrono rassicurazioni sulla solidità dell’accordo Privacy Shield.
La Commissione europea, come riporta un tweet di Laurens Cerulus, è intervenuta precisando di essere consapevole dell’ordine presidenziale e che la tutela degli europei si basa su altri strumenti.

@cobun Commish says not relevant. Commish spokes quote, re PrivShld, UmbAg. More ➡️ @POLITICOEUTech's Morning Tech pic.twitter.com/6pH1AyBhiW

— Laurens Cerulus (@laurenscerulus) January 26, 2017

Il Privacy Act, cioè la legge americana sulla tutela della privacy promulgata nel 1974, all'inizio non faceva riferimento a cittadini non americani, e questo punto è stato l’oggetto del contendere per anni nelle discussioni tra le istituzioni europee e quelle americane. Infatti, nel 2007 il Dipartimento di Homeland Security emise una direttiva che estendeva parte delle disposizioni della legge sulla privacy anche ai non statunitensi. Inoltre, nel 2014 una direttiva del presidente Barack Obama imponeva dei limiti all'uso dei dati raccolti dalle agenzie americane, con l’obiettivo dichiarato di tutelare “le libertà civili di tutte le persone a prescindere dalla loro nazionalità e dal luogo di residenza”, un passo molto importante dal punto di vista politico, più che giuridico. Ma il Privacy Act non si applica alle raccolte di dati per motivi di pubblica sicurezza o sicurezza nazionale.

Gli accordi tra Usa e Unione europea dovevano provvedere a colmare le lacune normative. Il primo di questi accordi è stato il Safe Harbor. Abbiamo già raccontato di come il Safe Harbor fosse un accordo ingannevole, in quanto non garantiva affatto la tutela degli europei. Infatti è stato invalidato dalla Corte di Giustizia europea.
Sulle sue ceneri è poi nato il Privacy Shield, una decisione della Commissione europea che ha permesso alle aziende americane di continuare ad operare trasferimenti dei dati verso gli Usa, a fronte di una garanzia che la tutela dei cittadini europei fosse “adeguata”.

Il Privacy Shield, entrato in vigore ad agosto 2016, ha però immediatamente concentrato molte critiche, perché in realtà offre agli europei una protezione decisamente inferiore rispetto a quella offerta dalle leggi europee (e che le aziende europee devono rispettare), al punto di ritenerlo non conforme alle leggi europee, e potrebbe, quindi, essere anche esso annullato dalla Corte europea.

Le preoccupazioni si focalizzano su:

In realtà il Privacy Shield riguarda solo i trasferimenti ad aziende e non alle forze dell’ordine. L’ordine presidenziale, invece, riguarda la tutela offerta dalle agenzie americane, quindi siamo su due piani diversi.
In relazione all'attività delle autorità, la protezione degli europei si basa principalmente  sul Judicial Redress Act, approvato nel febbraio del 2016. Il Judicial Redress Act fu presentato come la legge che avrebbe esteso i diritti degli americani anche agli europei e accolto dal Commissario Jourova come un traguardo storico. In realtà presenta tante limitazioni da renderlo praticamente inutile. Per fare degli esempi, la legge non si applica al materiale investigativo compilato “a fini di contrasto”, una categoria generica nella quale i tribunali americani ci infilano di tutto, compreso i controlli preventivi. Inoltre, alcune agenzie governative sono esentate dall'applicazione della legge, come l’NSA.

La tutela degli europei si basa anche sull'accordo Umbrella, che entrerà in vigore il primo febbraio prossimo, anche questo non modificato dall'ordine presidenziale. Il prerequisito di tale accordo è proprio il Judicial Redress Act che consente, con le limitazioni già dette, agli europei di adire le autorità americane per la tutela dei propri diritti. L’accordo Umbrella (che non si applica alla Danimarca, Irlanda e Regno Unito) ha lo scopo di costruire un quadro globale di protezione dei dati tra Usa e UE, al fine di favorire la cooperazione giudiziaria e di polizia in materia penale e di terrorismo (“prevention, investigation, detection or prosecution of criminal offenses, including terrorism”), e quindi andrebbe a coprire le esenzioni del Privacy Act e in particolare i trasferimenti in base al PNR (Passenger Name Records) e all'accordo TFTP (Terrorist Finance Tracking Programme).
L’accordo copre tutte le informazioni personali (nomi, indirizzi, dati del casellario penale) condivise tra le autorità di polizia degli Stati dell’Unione e degli Usa, e stabilisce norme comuni per la protezione della privacy.

Anche qui le limitazioni sono tali che nella pratica sarà possibile agire contro le autorità americane, al fine di ottenere un risarcimento, nei soli casi di comunicazione intenzionale che determina un danno all'interessato, laddove una effettiva definizione di danno non è nemmeno presente.
Vero è che l’accordo Umbrella per la prima volta prevede una definizione di trattamento che ricomprende anche la raccolta di dati (come è in Europa), mentre finora negli Usa per trattamento di dati si è sempre inteso il solo utilizzo degli stessi, per cui gli americani potevano raccogliere tutti i dati che volevano, archiviandoli, senza doversene preoccupare più di tanto. Si parla di trattamento solo nel momento in cui l'operatore applica un filtro ai dati raccolti al fine di estrarne una parte significativa.

In conclusione, già le precedenti politiche già di per sé erano estremamente carenti e non garantivano affatto agli europei una tutela pari a quella offerta ai cittadini americani, e sicuramente inferiore rispetto alle leggi europee, ma la Commissione europea ha voluto comunque stringere accordi con l’amministrazione Obama, per risolvere una situazione di incertezza giuridica che avrebbe potuto portare al blocco dei trasferimenti dei dati verso gli Usa, la qual cosa avrebbe avuto delle ricadute enormi sull'utilizzo quotidiano dei servizi online prevalentemente in mano ad aziende americane.

L’ordine presidenziale di Trump, dal punto di vista giuridico non dovrebbe, quindi, avere alcuna incidenza sulla tutela dei cittadini europei da trattamenti operati dagli americani, ma dalla prospettiva politica tale provvedimento appare un segnale forte della nuova amministrazione, che mostra di volersi distaccare dalle politiche in materia di privacy stabilite dalla precedente amministrazione.

Un punto fondamentale nei negoziati tra Usa ed Europa è stata proprio la necessità di una disposizione che garantisca l’equivalenza almeno formale della tutela della privacy tra cittadini americani ed europei, per cui l’ordine presidenziale pone dei seri problemi nella fiducia tra Usa ed Europa.

A tal proposito, il parlamentare Sophie in ‘t Veld ha scritto una lettera al Commissario Jourova evidenziando proprio la circostanza che l’ordine presidenziale si pone in netto contrasto con le assicurazioni (scritte) fornite dall'amministrazione Usa durante i negoziati dei vari accordi.

In the eyes of our citizens, the US is guilty of espionage and data theft. There is no confidence in these negotiators. As long as the Americans do not want to commit to protecting EU citizens' data and to respect us, there is no basis for a trade agreement (Helmut Scholz, membro del Parlamento europeo, durante le negoziazioni sul TTIP)

Foto anteprima via ibtimes.co.uk