Diritti Digitali Post

Trasferimento dati dei cittadini europei: in arrivo un nuovo accordo USA-UE?

2 Aprile 2022 7 min lettura

author:

Trasferimento dati dei cittadini europei: in arrivo un nuovo accordo USA-UE?

6 min lettura

Dichiarazione di intenti

È del 25 marzo l’annuncio congiunto della Commissione Europea e della Casa Bianca americana di un impegno per raggiungere un nuovo accordo un materia di trasferimento dei dati personali tra Unione Europea e USA. In particolare il comunicato della Casa Bianca si sofferma sui vantaggi per i cittadini di un flusso continuo di dati tra USA e UE alla base di un commercio di oltre mille miliardi di dollari. Si tratta comunque di un accordo di principio, al momento non esiste alcun testo.

Come è noto, nel luglio del 2020 la Corte di Giustizia europea aveva annullato anche il Privacy Shield (dopo il Safe Harbor nel 2015), l’accordo che consentiva il trasferimento dei dati personali tra USA e UE, a causa di seri problemi di compatibilità con la legislazione europea. Tale decisione ha portato serie conseguenze per le aziende che operano trasferimenti di dati verso gli Usa (es. Google). Oggi moltissime aziende americane devono basare i trasferimenti sulle Clausole Contrattuali Standard, e ciò comporta la necessità di effettuare complesse valutazioni di impatto del trattamento.

Leggi anche >> La Corte europea invalida l’accordo Privacy Shield sul trasferimento dei dati europei e declassa gli Usa

Il comunicato della Casa Bianca sostiene che il nuovo accordo prevederà questi requisiti:

  • Rafforzamento delle tutele della privacy e delle libertà civili che regolano le attività di intelligence delle agenzie americane;
  • Istituzione di un nuovo meccanismo di ricorso vincolante tramite autorità indipendente;
  • Miglioramento delle supervisione esistente delle attività di intelligence delle agenzie.

In breve il nuovo quadro normativo dovrebbe garantire che la raccolta di informazioni potrà essere effettuata “solo ove necessario per il raggiungimento di legittimi obiettivi di sicurezza nazionale” e non avrà “un impatto sproporzionato sulla protezione della vita privata e delle libertà civili”. Inoltre i cittadini dell’Unione europea potranno chiedere un risarcimento dei danni a seguito di trattamento illecito o non conforme di dati personali, tramite un nuovo meccanismo di ricorso che include anche una revisione da parte di un tribunale con piena autorità sui reclami. Infine le agenzie di intelligence dovranno adottare procedure per garantire un controllo efficace dei nuovi standard sulla privacy e sui diritti civili.

Niente di nuovo?

L’annuncio arriva nel pieno della guerra conseguente all’invasione dell’Ucraina da parte della Russia, per cui si potrebbe anche leggere come una decisione politica per rafforzare i rapporti tra USA e UE. Si tratterà comunque di verificare nel concreto se le promesse dei comunicati si tradurranno in effettive garanzie, anche in considerazione del fatto che le medesime promesse sostanzialmente si sono avute anche all’epoca del Privacy Shield.

Non dobbiamo dimenticare che nell'ambito della legislazione americana il rispetto dalla privacy e la data protection sono semplici eccezioni alla libertà di commercio, e quindi hanno una tutela ben più limitata rispetto all'Europa. Inoltre negli anni si sono stratificate leggi e normative che hanno introdotto eccezioni a favore delle agenzie di sicurezza americane, che hanno una libertà di movimento enorme e raramente devono rispondere del loro operato. Il CyberSecurity Act, ad esempio, prevede, appunto, la condivisione segreta (cioè l’azienda non può divulgare le richieste del governo) di dati tra aziende americane e governo. Il Judicial Redress Act se da un lato parifica la tutela dei cittadini europei a quelli americani (i cittadini europei normalmente non possono invocare la tutela costituzionale negli Usa), di fatto introduce una notevole quantità di eccezioni, in particolare non si applica al materiale investigativo compilato “a fini di contrasto”, categoria generica nel quale rientrano (secondo i tribunali americani) le informazioni raccolte da individui non sospettati di nulla a fini di profilazione per la prevenzione dei reati. Anche l’accordo Umbrella, che ha esteso la nozione di trattamento alla raccolta di dati personali (prima era trattamento solo l’utilizzo dei dati per cui gli americani potevano giuridicamente sostenere che l’NSA non trattava dati quando raccoglieva tonnellate di informazioni con la classica pesca a strascico) è stata più che altro un’operazione di facciata richiesta dalle aziende americane per poter arginare il danno di immagine causato dalle operazioni della NSA.

In questo quadro, anzi, possiamo dire che è l’Europa che ha accettato limitazioni alla propria legislazione, come ad esempio col Passenger Name Record che consente la raccolta dei dati di tutti i soggetti imbarcati sui voli intercontinentali, dati che vengono condivisi con gli americani (infatti i principali sistemi elettronici di interscambio dei PNR sono americani). In tal senso l’impressione è che le pratiche di sorveglianza elettroniche degli Usa vengono progressivamente introdotte anche in Europa, piuttosto che gli Usa riducano tali pratiche nel loro paese.

Il Privacy Shield non era altro che una dichiarazione da parte delle autorità statunitensi e una interpretazione della loro normativa, che veniva accettata dalla Commissione europea così come era, senza sostanziali rimostranze o richieste di chiarimento. Semplicemente gli Usa ci dicevano che loro si ritenevano conformi e noi europei accettavamo questa dichiarazione. Cosa non vera, come poi ha riscontrato la Corte di Giustizia europea, invalidandolo.

Sintetizzando, i problemi del Privacy Shield erano sostanzialmente due:

  • La normativa americana non incorpora un “principio di proporzionalità” a garantire che la raccolta e l'uso dei dati da parte del governo avvenga solo quando “necessario” per soddisfare interessi legittimi o per proteggere i diritti e le libertà degli altri;
  • Il sistema giuridico statunitense non fornisce una via di ricorso accessibile ed efficace agli interessati (data subjects) dell’UE.

Il riferimento all’autorità di ricorso indipendente è l’aspetto meno preoccupante. Non è davvero richiesto che sia un organo giudiziario, del resto anche in alcuni paesi europei è un organo amministrativo a occuparsi di queste problematiche, con regole stringenti, procedure snelle e veloci, e quindi meno costose per i cittadini. Ciò che rileva è che l’autorità sia davvero indipendente. Ciò richiede determinati requisiti:

  • Tutela contro il licenziamento o revoca dei membri;
  • Protezione contro interventi e pressioni esterne;
  • Imparzialità;
  • Decisioni vincolanti per l’intelligence;
  • Rapporti con l’intelligence.

L’ultimo aspetto è essenziale perché tale autorità dovrà occuparsi per lo più del “trattamento” dei dati da parte delle agenzie di sicurezza americane, quindi è necessario che sia in grado di comprendere le logiche di tali agenzie. In questo ambito, ad esempio, il difensore civico del Privacy Shield non aveva nemmeno il potere di adottare decisioni vincolanti per le agenzie di sicurezza.

Ma in realtà è il secondo punto che ha portato all’invalidazione del Privacy Shield a destare preoccupazione. La comunicazione della Commissione precisa che dal lato USA il tutto si tradurrà in un executive order del Presidente, quindi sostanzialmente una sorta di interpretazione delle leggi per la gestione delle risorse dell’esecutivo. Appare evidente che gli Stati Uniti non hanno avviato nessuna modifica delle loro leggi sulla sorveglianza né hanno intenzione di farlo, per cui non è dato sapere come hanno intenzione di garantire la “necessità e proporzionalità” (principi essenziali dell’ordinamento europeo). Se la Corte di Giustizia europea ha ritenuto “non proporzionata” la legislazione americana è evidente che ciò che occorre è una modifica legislativa.

FBI vs Fazaga

L’unica vera novità sembra essere, quindi, una decisione della Corte Suprema americana nella causa che ha visto contrapposto l’FBI a Yassir Fazaga e altri due cittadini musulmani che hanno portato dinanzi ad un giudice l’FBI asserendo di essere stati illegalmente sorvegliati. L’FBI avrebbe inviato degli informatori nelle moschee di Orange County in California, con lo scopo di raccogliere indiscriminatamente informazioni (anche sensibili) sui cittadini che stavano esercitando il loro diritto costituzionale di libertà religiosa.

Ebbene la Corte Suprema ha di fatto concesso maggiore libertà al governo per invocare il “segreto di Stato” nei casi di sorveglianza e spionaggio. Secondo la Corte Usa il Congresso non ha limitato la legislazione americana (dopo gli abusi dell’NSA). Quindi, invece di andare nella direzione di restringere l’ambito della sorveglianza, come richiesto dalla Corte europea, con questa decisione gli USA vanno nella direzione opposta.

Il punto è che la legge degli Stati Uniti non dispone di rimedi legali efficaci per gli “interessati”, le persone soggette a sorveglianza. E anche i cittadini americani hanno difficoltà a sfidare la sorveglianza del governo, figuriamoci quelli europei. Questo perché il governo Usa può mantenere la segretezza e impedire che le agenzie siano portate dinanzi ad un giudice. Se gli “interessati” non possono dimostrare di essere sotto sorveglianza, allora il ricorso viene respinto dal tribunale (Clapper v. Amnesty International 2013).

Cosa accadrà

Come detto l’accordo è un accordo di principio, per cui dovrà tradursi in un testo che sarà sostanzialmente una decisione esecutiva della Commissione europea. La redazione potrebbe richiedere circa tre mesi, secondo Jourova, Commissario alla Giustizia. La decisione della Commissione dovrà essere esaminata dall’European Data Protection Board. E comunque una volta approvato potrà essere impugnato dinanzi alla Corte di Giustizia europea. In teoria la Corte potrebbe anche intraprendere un’azione preliminare in presenza di evidenza che l’accordo violi le due sentenze precedenti.

Immagine in anteprima: Office of Spokesperson for White House National Security Council, Public domain, via Wikimedia Commons

Iscriviti alla nostra Newsletter


Come revocare il consenso: Puoi revocare il consenso all’invio della newsletter in ogni momento, utilizzando l’apposito link di cancellazione nella email o scrivendo a info@valigiablu.it. Per maggiori informazioni leggi l’informativa privacy su www.valigiablu.it.
Segnala un errore