Si affievoliscono la speranze che USA e UE possano, in tempi ragionevoli, addivenire ad un nuovo accordo che legittimi i trasferimenti transatlantici di dati personali in sostituzione del Privacy Shield polverizzato dalla Corte di Giustizia europea (CGUE) con la sentenza Schrems II del 2020. Lo scenario negoziale, avviato nelle immediatezze della sentenza, pare ora compromesso da una decisione assunta ad inizio marzo 2022 dalla Corte Suprema degli Stati Uniti che limita il diritto individuale di questionare le attività di sorveglianza governativa a stelle e strisce: nel caso FBI v. Fazaga i giudici hanno, infatti, ampliato il potere del governo degli Stati Uniti di invocare il segreto di stato nelle vertenze riguardanti le operazioni di intelligence dalle proprie agenzie investigative.
Stante la lunga e travagliata storia della privacy transatlantica, prima di analizzare questo nuovo capitolo, è bene sintetizzare in pochi punti il pregresso:
- fin dalla prima normativa organica sulla protezione dei dati dell’allora Comunità Europea, la Direttiva 95/46/CE, vige il divieto generale di trasferire dati personali verso quei paesi terzi che non garantiscano determinati livelli di tutela a tali informazioni;
- a giudizio dell’Europa, un ordinamento come quello statunitense – che peraltro a tutt’oggi manca a livello federale di un testo unico sulla data protection – non ha mai fornito adeguate garanzie in termini di protezione dati secondo gli standard del vecchio continente e, dunque, non poteva (e non può) considerarsi destinazione adeguata per le informazioni personali dei cittadini europei;
- per superare l’impasse, nel nuovo millennio USA e UE hanno stipulato accordi quadro che permettessero ai data importer americani (in primis ai provider di servizi digitali, ma non solo) di operare in linea con le pretese di Bruxelles aderendo volontariamente ad un “ecosistema minimo” di tutele assimilabili a quelle garantite in Europa;
- per primo, a far data dal 2000, fu il Safe Harbor l’accordo che fece da ombrello giuridico ai trasferimenti di dati per tre lustri. La copertura si palesò insufficiente quando, a partire dal 2013, l’ex consulente della National Security Agency Edward Snowden svelò al portata del Prism Project che consentiva all’intelligence USA di spiare la vita e le comunicazioni private dei cittadini anche europei con la – più o meno forzata – collaborazione di Google, Facebook, Microsoft, Skype, Apple, Yahoo, AOL, etc. Il Safe Harbor venne invalidato dalla CGUE nel 2015 con la prima sentenza Schrems ad esito delle contestazioni promosse dall’attivista austriaco Maximilian Schrems contro i flussi effettuati da Facebook Ireland verso la casa madre californiana Facebook Inc.;
- costretti ad abbandonare il “porto sicuro”, USA e Commissione europea approdarono nel 2016 al Privacy Shield, un legal framework rafforzato che è stato utilizzato da migliaia di aziende per facilitare i flussi di dati UE verso USA quale rimedio giuridico all’inadeguatezza legislativa di questi ultimi in tema di data protection;
- come noto, nel luglio 2020 la CGUE ha invalidato il Privacy Shield con la sentenza Schrems II. In particolare, la Corte ha stabilito che la sezione 702 del Foreign Intelligence Surveillance Act e l’Executive Ordeer 12333, permettono una sorveglianza governativa ingiustificatamente ampia ed incontrollata cui nemmeno le standard contractual clauses approvate dalla UE come strumento alternativo allo “scudo” possono, di per sé sole, porre argine (v. qui un approfondimento sul portato della sentenza). I giudici hanno, inoltre, rilevato che il Privacy Shield non ha fornito adeguati meccanismi di ricorso per gli europei i cui dati sono trasferiti negli Stati Uniti e, in particolare, la possibilità di essere ascoltati da un tribunale indipendente che può ordinare rimedi vincolanti.
Ed è proprio quest’ultimo punto ad assumere oggi nuova rilevanza. Nell’abbattere il Privacy Shield, la CGUE fu chiara: nessun ulteriore accordo di trasferimento dati UE-USA potrà superare l’esame della corte finché gli Stati Uniti non restringeranno la portata della loro sorveglianza e garantiranno che gli individui soggetti a intrusione potenzialmente illegale abbiano un diritto concreto e significativo di contestare il possibile illecito e chiedere che ne siano accertate le responsabilità. Ebbene, con la decisione Fazaga della Corte gli americani e gli europei dovranno affrontare maggiori difficoltà se cercano di sfidare la sorveglianza segreta del governo degli Stati Uniti nei tribunali americani.
Il caso FBI v. Fazaga nasce da un’operazione dell’FBI occorsa tra il 2006 e il 2007 in cui il Bureau assoldò un informatore affinché si infiltrasse, fingendosi convertito all’Islam, nelle principali moschee di Orange County, in California. L’informatore dell’FBI raccolse indiscriminatamente nomi, numeri di telefono e indirizzi e-mail, così come informazioni sul credo religioso e politico di centinaia di americani musulmani che stavano esercitando il loro diritto costituzionale alla libertà religiosa. In seguito, accortisi che si trattava di un informatore, un imam (il signor Fazaga) e altri due fedeli spiati intentarono causa contro tale operato. Nel corso della vertenza il governo sostenne – validamente, secondo il tribunale di primo grado – che lo “state secrets privilege” richiedeva alla corte di respingere le accuse secondo cui l’FBI avesse illegalmente preso di mira i membri della comunità musulmana sorvegliandoli a causa della loro fede religiosa: l’analisi del caso avrebbe potuto rivelare informazioni segretate. Successivamente, la corte d’appello respinse siffatta argomentazione ritenendo che il Foreign Intelligence Surveillance Act (FISA) avesse superato il privilegio dei segreti di stato e che nei casi di spionaggio per sicurezza nazionale si potessero esaminare a porte chiuse in tribunale le prove “sensibili” consentendo così agli attori di portare avanti le proprie rivendicazioni e ai giudici di decidere sul merito.
Il caso è finito davanti alla Corte Suprema che nella decisione di alcuni giorni orsono si è detta in disaccordo con la corte inferiore stabilendo che il Congresso non ha eliminato il privilegio del segreto di stato quando ha promulgato il FISA, ma ha lasciato il governo libero di scegliere se invocare – come nel caso Fazaga la prerogativa che gli consente di non esibire le prove sensibili in giudizio o se presentare tali prove per esaminarle a porte chiuse.
La decisione della Corte Suprema lascia, si badi, impregiudicato per chiunque il diritto di intentare causa contro l’indebita ingerenza governativa muovendo da informazioni pubblicamente reperibili, ma – come sottolineato dalla American Civil Liberties Union (ACLU) che ha assistito i plaintiff in questa vicenda – la maggioranza delle persone ha bisogno di poter accedere ad informazioni sensibili custodite dal governo per poter dimostrarsi vittime di sorveglianza illegale. E, parallelamente, in assenza di tali prove ai giudici mancherebbe materiale fondamentale per assumere una decisione corretta.
Il principio affermato dalla Corte Suprema rende, dunque, azionabile “a piacimento” il segreto di stato nei casi contestati di sorveglianza. Vale a dire che il governo USA può decidere quando non essere accountable allorché sono questionate delle operazioni di sicurezza nazionale. Se si considerano gli abusi in termini di indebito spionaggio che, all’indomani dei tragici eventi dell’11 settembre 2001, sono stati perpetrati dalle agenzie di intelligence ai danni di milioni persone estranee a qualsiasi forma di estremismo o terrorismo, affermare oggi un simile principio può rappresentare un vulnus democratico. Un vulnus che può colpire anche i cittadini europei i cui dati personali, nell’era della digital economy/society, finiscono negli USA per i più svariati motivi: si vedrebbero privati del diritto di effettuare un vero challenging verso le attività di sorveglianza a stelle e strisce poco dopo che la CGUE ha stabilito che un simile diritto deve esser rafforzato.
Si potrebbe supporre che un esecutivo che vede ampliato il margine in cui poter svolgere intelligence in modo non questionabile, dovrebbe gioire per una sentenza di questo segno. Ma probabilmente questo non è il caso dell’amministrazione Biden da tempo impegnata in sforzi per dimostrare alla Commissione europea che gli Stati Uniti hanno un apparato di regole a protezione dei dati sufficiente a giustificare la stipula di nuovo accordo Privacy Shield. Per sfortuna del successore di Trump, il caso Fazaga prova ulteriormente che le salvaguardie di privacy negli USA sono inadeguate rispetto a quanto richiesto dall’UE. E Biden non può far molto a riguardo. I problemi identificati dalla CGUE – specialmente riguardo l’esiguità di rimedi contro la sorveglianza illegale – non possono essere risolti solo dall’azione del ramo esecutivo, è necessario che il Congresso americano intervenga esercitando il proprio potere legislativo. Infatti, se anche l’amministrazione Biden e la Commissione europea raggiungessero un accordo senza che negli USA siano introdotte riforme legislative di privacy, quell’accordo sarà quasi certamente colpito di nuovo dalla corte con sede in Lussemburgo. Migliaia di aziende statunitensi ancora una volta potrebbero affrontare enormi costi e rischi legali associati ai trasferimenti di dati, e con esse le società europee che si avvalgono dei loro servizi. Le entità più colpite saranno probabilmente le piccole e medie imprese che dipendono fortemente dai dati che trasferiscono o ricevono oltre oceano ma che spesso non hanno risorse finanziarie per ingaggiare quei legali senza i quali è impensabile il ricorso a complesse soluzioni alternative che possano legittimare un data transfer ai sensi del GDPR (come le clausuole contrattuali modernizzate nel 2021 dalla Commissione).
Se vuole risolvere un problema che – oltre a penalizzare i diritti individuali – sta affliggendo non poco il mercato tra le due unioni politico-economiche, il Congresso USA dovrebbe sbrigarsi per facilitare la convergenza delle due più importanti sponde dell’Atlantico verso un nuovo Privacy Shield. Il primo passo potrebbe consistere nell’eliminazione di un gap come quello acclarato dal caso Fazaga: regolamentando con chiarezza la possibilità di esaminare prove segrete nelle azioni giudiziarie che contestano lo spionaggio illegale, il Congresso impedirebbe al governo di poter usare discrezionalmente lo state secrets privilege e consentirebbe alla giustizia di fare pienamente il proprio corso. Ne beneficerebbero anche i cittadini europei e, di conseguenza, le relazioni USA/UE che condividerebbero un ulteriore principio quanto a rispetto dei diritti e delle libertà individuali.
