In occasione della visita in Europa del presidente Joe Biden, il 25 marzo scorso Stati Uniti e la Commissione europea hanno (vedi il comunicato congiunto) assunto il reciproco impegno per addivenire ad un Trans-Atlantic Data Privacy Framework inteso a legittimare e a conferire nuovo impulso ai flussi di dati transatlantici. Quello che è un accordo di principio è il frutto di oltre un anno di laboriosi negoziati tra gli Stati Uniti e l’Unione Europea guidati, rispettivamente, dal Secretary of Commerce Gina Raimondo e dal Commissario per la Giustizia Didier Reynders.
L’annuncio è stato reso con tempistiche inattese e soprattutto in un contesto diplomatico che pareva esclusivamente dedicato alle urgentissimi questioni sollevate dal conflitto in Ucraina che rischia di stravolgere assetti geo-politici invalsi da decenni. E’ stato dunque un segnale voluto, quasi l’ostentazione di una rinnovata identità di vedute sulla data protection fosse tassello indispensabile a ribadire e rafforzare una partnership politico-commerciale che negli ultimi tempi stava mostrando un certo logorio (pur a fronte di una sostanziale e perdurante condivisione dei medesimi valori democratici). C’è tuttavia il timore che, in un eccesso di show-down comunicativo, l’annuncio sia stato forzato nei tempi e che gli USA non siano ancora pronti a rinunciare ad alcune prerogative di sorveglianza governativa contrarie alla concezione di privacy del Vecchio Continente.
L’impegno assunto dalle parti dovrà, come noto, risolvere le questioni sollevate dalla Corte di giustizia dell’Unione europea (CGUE) che, con la decisione Schrems II, nel 2020 annullò la decisione di adeguatezza della Commissione alla base del quadro EU-U.S. Privacy Shield che per 4 anni aveva legittimato i flussi di dati tra le due sponde dell’oceano. Ovviamente tocca agli USA muovere i passi necessari ad approntare un complesso di garanzie che sia adeguatamente rispettoso del diritto alla protezione dei dati propugnato all’art. 8 della Carta dei diritti fondamentali dell’Unione europea e dei principi enunciati al Capo V del GDPR in materia di trasferimenti internazionali di dati. Finché non si trova una soluzione al problema, chiunque sia parte di un business che comporti un flusso di dati personali dalla UE agli USA rischia di andare in conto ad un blocco dell’attività e a pesanti sanzioni. Social network, search engine e SEO, servizi in cloud, programmi VoIP e di networking, applicativi gestionali di ogni sorta, sistemi di newsletter ed e-payment, e molto altro ancora: i provider USA dominano il mercato digitale europeo, ma dal 2020 sia i data exporter UE che i data importer USA si trovano in una condizione di incertezza dovuta al rischio di natura legale.
Uno statement della Casa Bianca, contestuale all’annuncio congiunto con la UE, ha tenuto a precisare che i passi che gli USA si impegna a compiere saranno “fondamentali per proteggere i diritti dei cittadini e consentire il commercio transatlantico in tutti i settori dell’economia, anche per le piccole e medie imprese” dal momento che “il nuovo quadro promuoverà un’economia digitale inclusiva in cui tutte le persone possono partecipare e in cui le aziende di tutte le dimensioni di tutti i nostri paesi possono prosperare”. L’esecutivo di Washington ci tiene a sottolineare la portata economica della questione. Si tratta, è vero, di garantire i diritti degli individui ma in riferimento ad un flusso di dati che è alla base di più di 1 trilione di dollari annualmente movimentati nel mutuo rapporto commerciale e che permette ad aziende di tutte le dimensioni di competere nei reciproci mercati: tra gli Stati Uniti e l’Europa “scorrono” più dati che in qualsiasi altra parte del mondo, consentendo una relazione economica da complessivi 7,1 trilioni di dollari.
Si tratterà di un impegno senza precedenti da parte degli Stati Uniti che dovranno attuare le riforme per rafforzare la privacy e le protezioni delle libertà civili specie in relazione alle attività di intelligence delle proprie agenzie governative. Nell’ambito del Trans-Atlantic Data Privacy Framework, gli USA dovranno infatti mettere in atto nuove safeguard per garantire che:
- le attività di sorveglianza siano necessarie e proporzionate nel perseguimento di obiettivi di sicurezza nazionale ben definiti;
- si stabilisca un meccanismo di ricorso indipendente a due livelli presso autorità che possano disporre rimedi vincolanti (si parla dell’istituzione di un’apposita Data Protection Review Court);
- sia attuata una supervisione rigorosa e stratificata delle attività di intelligence delle comunicazioni per assicurare il rispetto dei limiti posti alle attività di sorveglianza;
- le aziende USA aderiscano con sistema di autocertificazione a criteri di protezione dati più stringenti di quelli del Privacy Shield;
- si intensifichi il monitoraggio sul rispetto dei principi da parte delle aziende e, più in genere, sulla tenuta del Framework.
Alcuni punti non saranno di facile soluzione e non sarà agevole soddisfare le aspettative delle istituzioni europee. E, se mai si raggiungesse una decisione di adeguatezza, i termini dell’accordo dovranno resistere nel tempo al severo vaglio della cittadinanza attiva (in primis, l’associazione NYOB capeggiata Max Schrems che ha già espresso le prime perplessità) e poi della CGUE se chiamata in causa. In tal senso, il percorso si presenta irto di ostacoli. Si prenda, ad esempio, un evento recentissimo: la decisione assunta ad inizio marzo 2022 dalla Corte Suprema degli Stati Uniti che limita il diritto individuale di questionare le attività di sorveglianza governativa a stelle e strisce. Nel caso FBI v. Fazaga i giudici hanno, infatti, ampliato il potere del governo degli Stati Uniti di invocare il segreto di stato nelle vertenze riguardanti le operazioni di intelligence dalle proprie agenzie investigative. Una decisione che probabilmente, sia per portato che per tempistica, non è stata accolta favorevolmente dall’amministrazione Biden, ma che soprattutto pare di segno contrario alle riforme da questa pianificate per evitare di andare nuovamente incontro alle censure della CGUE.
Prima, dunque, che le aziende possano fare affidamento su un Trans-Atlantic Data Privacy Framework occorrerà un serio lavoro per arrivare ad proposta che possa superare il vaglio di adeguatezza dell’UE. Il tutto secondo una roadmap prestabilita ma dalle tempistiche incerte. Vediamo quali dovranno essere i prossimi step procedurali:
- il governo degli Stati Uniti e la Commissione europea continueranno fin da subito la loro cooperazione al fine di tradurre l’attuale accordo di principio in documenti legali che dovranno essere adottati da entrambe le parti;
- gli impegni assunti dagli Stati Uniti saranno inclusi in un executive order che costituirà la base per la valutazione della Commissione nella sua futura decisione di adeguatezza;
- la Commissione europea elaborerà a quel punto una bozza di decisione di adeguatezza e la trasmetterà al Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB)
- l’EDPB fornirà alla Commissione una propria opinione, questa non sarà vincolante ma potrà ovviamente avere un suo peso specifico in termini di review del progetto di decisione;
- il Parlamento europeo, pur difettando di un ruolo formale nel processo di adozione della decisione, potrà a sua volta esprimere una posizione non vincolante sotto forma di risoluzione;
- la Commissione chiederà l’approvazione di un comitato composto da rappresentanti degli Stati membri. Il procedimento richiede che l’approvazione raggiunga un quorum del 55% dei paesi dell’UE (15 su 27) che rappresentino almeno il 65% della popolazione totale dell’Unione. Per converso, la minoranza con potere di veto deve includere almeno quattro membri del consiglio che rappresentino più del 35% della popolazione dell’UE.
- ottenuta l’approvazione dagli Stati membri, il Collegio dei Commissari adotterà formalmente la decisione della Commissione che sarà poi pubblicata nella Gazzetta ufficiale dell’UE e, a quel punto, avrà effetto immediato.
Nel 2016 il processo di approvazione della decisione sul Privacy Shield terminò con il voto di 25 membri a favore e due astenuti e durò 5 mesi. Anche se nulla è detto, allo stato attuale, nonostante sia già stato annunciato l’accordo di principio, non c’è ragione per credere che il Trans-Atlantic Data Privacy Framework possa tradursi in atti esecutivi prima del 2023. Fino a quel giorno, le aziende dovranno basare i propri data transfer su gli altri – spesso onerosi – rimedi previsti dal GDPR. In un comunicato del 6 aprile, l’EDPB ha chiarito che “In questa fase, questo annuncio non costituisce un quadro giuridico su cui gli esportatori di dati possono basare i loro trasferimenti di dati verso gli Stati Uniti. Gli esportatori di dati devono quindi continuare a prendere le azioni necessarie per conformarsi alla giurisprudenza della CGUE, e in particolare alla sua decisione Schrems II del 16 luglio 2020”.
Contestualmente, l’EDPB ha salutato positivamente l’accordo di principio USA/UE facendo tuttavia sapere che, quando sarà richiesta la sua opinione, la sua attenzione si incentrerà su alcuni punti già definiti. Il consesso delle autorità di privacy continentali “analizzerà in dettaglio come queste riforme assicurino che la raccolta di dati personali per scopi di sicurezza nazionale sia limitata a quanto strettamente necessario e proporzionato”. L’EDPB esaminerà anche in che misura “l’annunciato meccanismo di ricorso indipendente rispetta il diritto degli individui SEE a un ricorso effettivo e a un processo equo”. In particolare, il Board “esaminerà se ogni nuova autorità che fa parte di questo meccanismo ha accesso alle informazioni pertinenti, compresi dati personali, quando esercita la sua missione e può adottare decisioni vincolanti per i servizi di intelligence. Infine “valuterà anche se esiste un rimedio giudiziario contro le decisioni o l’inazione di questa autorità inazione di questa autorità”.
Non rimane che attendere i prossimi sviluppi per capire se gli USA sapranno, in specie, rinunciare ad alcune prerogative di sorveglianza che, dopo l’11 settembre 2001, sono considerate dalle agenzie di intelligence (e da una parte rilevante della nazione) strumenti indispensabili al mantenimento di una national security che ben vale sacrifici in termini di privacy e libertà individuali. Finora il sistema di poteri UE ha sempre accettato compromessi – con una Commissione “permissiva” sui precedenti accordi Safe Harbor e Privacy Shield – salvo poi censurarsi con l’intervento rigoroso della CGUE. Questa volta, per dare maggiori prospettive sia ai cittadini che al mercato, sarebbe opportuno raggiungere un punto di equilibrio solido che possa davvero superare l’eventuale vaglio successivo della Corte di giustizia.
