In occasione della recente vista del Presidente Biden a Bruxelles e dopo il suo incontro con la Presidente della Commissione Europea, Ursula Von der Leyen, è stato annunciato un “accordo di principio” in merito alla protezione dei dati personali trasferiti dall’Europa verso gli Stati Uniti[1].
Perché un nuovo accordo?
L’annuncio ha avuto grande risalto poiché il trasferimento di dati personali tra Europa e USA sta vivendo un periodo di grave incertezza. Com’è noto, infatti, la Corte di Giustizia dell’Unione Europea nel luglio 2020, grazie all’impegno incessante dell’avvocato austriaco Maximilian Schrems, aveva di fatto riconosciuto l’invalidità del precedente accordo USA-UE, denominato Privacy Shield. La Corte di Giustizia, infatti, ha ritenuto che la normativa statunitense, sacrificando considerevolmente il diritto alla privacy sull’altare della sicurezza nazionale, non fosse (e non sia tutt’ora) in grado di garantire un livello di protezione del dato personale equivalente e quello europeo. Tale sentenza, che ha preso il nome di “Schrems II”, ha sancito l’illiceità della gran parte (se non della totalità) dei trasferimenti di dati personali dall’Europa verso Stati Uniti.
Non è la prima volta che su iniziativa di Schrems gli accordi tra USA e UE sul trasferimento di dati personali vengono invalidati. Già nel 2015, con la sentenza “Schrems I”, la Corte di Giustizia aveva invalidato il meccanismo precedente al Privacy Shield, allora denominato Safe Harbor, per motivi simili. Il problema di fondo rimane lo stesso e sostanzialmente consiste nei poteri molto estesi delle agenzie di intelligence statunitensi di effettuare attività di sorveglianza “dei segnali” (comunicazioni tra persone o di segnali elettronici) per generici motivi di “pubblica sicurezza”, senza informativa degli interessati e senza efficaci strumenti per la loro tutela negli Stati Uniti in caso di abusi.
Gli obbiettivi dell’accordo
L’accordo è di natura politica ed è, appunto, un accordo quadro.
Innanzitutto, i comunicati, sia della Casa Bianca[2] che della Commissione Europea[3][4], sottolineano l’importanza economica dei flussi di dati tra le due sponde dell’Atlantico, i quali rendono possibili – secondo la Casa Bianca – relazioni economiche per un valore complessivo di US$ 7,1 trilioni.
L’accordo ha l’obiettivo di fissare i principi a cui dovrà conformarsi ogni trasferimento di dati personali dall’Europa verso gli USA, definendo nuove regole per garantire da parte degli Stati Uniti un livello di protezione equivalente a quello europeo.
Gli impegni assunti dalle parti entreranno in vigore, una volta definiti i dettagli, tramite un Executive Order del Presidente degli Stati Uniti e una decisione di adeguatezza della Commissione Europea, sentito il parere dell’European Data Protection Board (“EDPB”).
Gli impegni degli Stati Uniti e le Garanzie Essenziali Europee
I due comunicati delineano alcuni principi di massima, senza indicare i dettagli tecnici delle soluzioni giuridiche. Tali principi riprendono, in parte, quelli enunciati dall’EDPB nelle Raccomandazioni 02/2020 sulle “European Essential Guarantees for surveillance measures”, le quali fissano importanti parametri per stabilire se il quadro giuridico vigente in un Paese terzo ed attinente all’accesso ai dati personali da parte delle autorità pubbliche per fini di sorveglianza, sicurezza nazionale, anti-terrorismo ecc. configuri un’ingerenza ingiustificata nei diritti alla vita privata e alla protezione dei dati personali, tale da rendere illecita l’esportazione dei dati verso tale Pese.
Confrontiamo i criteri elaborati dall’EDPB con i principi enunciati nel comunicato statunitense.
Secondo l’EDPB
- il trattamento deve essere basato su regole chiare, precise ed accessibili.
Nel comunicato non vi è menzione di quali saranno le nuove regole atte a far sì che tale principio sia rispettato.
Inoltre, l’EDPB ritiene che
- la necessità e la proporzionalità del trattamento dei dati personali per il conseguimento di legittimi obiettivi devono essere dimostrate.
In merito a tale garanzia gli Stati Uniti hanno dichiarato il loro impegno per implementare nuove salvaguardie vincolanti atte a garantire che le attività di signals intelligence siano effettuate, nei limiti di quanto necessario, al fine di perseguire legittimi e ben definiti obiettivi di sicurezza nazionale e non dovranno avere un impatto sproporzionato sulle libertà civili e sulla privacy. Alla luce di ciò, parrebbe che gli Stati Uniti non intendano impegnarsi a uno standard di proporzionalità specifico rispetto alle finalità perseguite (ad esempio, prevedendo una sostanziale riduzione dei dati personali cui hanno accesso), quanto piuttosto a far sì che, nonostante il trattamento possa non rispettare il predetto requisito, le possibili conseguenze per la privacy dei cittadini europei non siano ”sproporzionate”.
L’EDPB ha comunicato che analizzerà il testo dell’accordo con particolare attenzione alle norme elaborate per assicurare il rispetto dei principi di necessità e proporzionalità appena richiamati[5].
Inoltre,
- è necessario che sussista un meccanismo di controllo indipendente.
Sul punto non vi sono particolari dettagli, infatti il comunicato statunitense si limita ad indicare che le agenzie di intelligence stesse garantiranno un’effettiva compliance rispetto a nuovi standard per la tutela della privacy e dei diritti civili.
Infine, l’EDPB rammenta che
- devono essere previsti efficaci strumenti di tutela legale per l’individuo.
Il comunicato statunitense prevede che venga istituito un nuovo sistema di ricorso a più livelli, che comprenderà un Tribunale di Riesame in materia di Protezione di Dati Personali (Data Protection Review Court) composto da soggetti esterni all’Amministrazione statunitense, che si pronuncerà in merito ai reclami dei cittadini europei.
A tal proposito è stato evidenziato come il Presidente degli Stati Uniti, tramite un Executive Order, non avrebbe i poteri di istituire un nuovo tribunale a livello federale. Sorge quindi un problema costituzionale, e sarà interessante vedere quale soluzione verrà scelta, e se la nuova Data Protection Review Court avrà i poteri per vincolare le agenzie di intelligence. Inoltre, è chiaro che sarà sommamente improbabile per un cittadino europeo di venire al corrente di un eventuale accesso ai propri dati personali da parte dell’intelligence a stelle e strisce; pertanto, ci si chiede se tale sistema di ricorso, seppur correttamente implementato, sarà in effetti un valido strumento di tutela per i cittadini europei.
Come funzionerà il nuovo meccanismo di autocertificazione?
Secondo la Commissione, saranno anche rafforzati gli obblighi in capo alle società statunitensi. Non vi sono particolari informazioni in merito, se non che è stata manifestata la volontà di definire un meccanismo in base al quale le società potranno autocertificare presso il Dipartimento del Commercio statunitense la propria adesione alla normativa introdotta dagli accordi UE-USA.
Tale meccanismo di autocertificazione era già previsto dai precedenti accordi, come il Privacy Shield; pertanto, ci si chiede quali saranno le novità che verranno introdotte per migliorarne l’adeguatezza.
Aleggia lo spettro di una sentenza “Schrems III”?
Ad oggi non si conosce il testo dell’accordo, che dovrebbe essere finalizzato nei prossimi mesi e, ancora meno, le disposizioni di diritto statunitense che dovranno attuarlo. Inoltre, secondo un noto adagio, “the devil is in the detail” e già si rilevano difformità tra quanto annunciato dagli Stati Uniti e i principi delle Raccomandazioni 02/2020 dell’EDPB sulle “European Essential Guarantees for surveillance measures”.
È allora lecito nutrire qualche dubbio sulla buona riuscita della prossima fase: trasformare le parole dei politici di Europa e Stati Uniti in efficaci misure di tutela della privacy dei cittadini europei.
Per ora, non è possibile scacciare lo spettro di una sentenza “Schrems III”, ed anzi, l’avvocato austriaco ha già dichiarato che se il testo non sarà conforme al diritto dell’Unione, si attiverà affinché la Corte di Giustizia venga adita una terza volta. Non c’è due senza tre? Vedremo.