C'è un nuovo (attesissimo) accordo tra Stati Uniti ed Europa sul trasferimento oltreoceano dei dati personali

Atteso da tempo, è finalmente arrivato il nuovo accordo USA UE sul trasferimento dei dati personali dei cittadini europei oltreoceano. Lo scorso 7 ottobre 2022 il presidente Joe Biden ha firmato, infatti, un ordine esecutivo inteso a definire e implementare un “data privacy framework” per l’interscambio di dati – come si legge espressamente nel titolo del documento – soddisfacente per entrambe le parti.

Perché si è reso necessario un nuovo accordo USA UE sul trasferimento dei dati personali

Il cuore della questione è garantire che, anche quando trasferiti all’estero e a disponibilità di aziende che hanno i server in paesi extra-UE, i dati personali dei cittadini europei siano trattati secondo gli standard comunitari.

Osservate speciali sono in particolare le attività di intelligence che diverse autorità americane sono autorizzate a svolgere facendo richiesta di accesso a database aziendali, come quelli delle big tech, che contengono ogni tipo di dato e informazione riguardante anche cittadini stranieri: senza le adeguate precauzioni il rischio è che si trasformino in attività di sorveglianza digitale, se non addirittura di spionaggio digitale, decisamente poco rispettose dell’impianto normativo europeo sulla privacy e il trattamento dei dati personali.

A prendere atto di questo rischio sono state, per altro, nel tempo diverse pronunce della Corte di Giustizia dell’Unione Europea. Come ricorda tra gli altri Cybersecurity360, il nuovo accordo USA UE sul trasferimento dei dati personali viene dopo sentenze come le cosiddette sentenze “Schrems I” e “Schrems II”¹ – dal nome dell’attivista digitale che si rivolse alla Corte – che hanno portato all’annullamento dei precedenti accordi esistenti tra Stati Uniti ed Europa sul trasferimento oltreoceano dei dati personali dei cittadini europei: sintetizzando le pronunce della Corte, né il Safe Harbor prima e né il Privacy Shield poi garantivano adeguata tutela a dati e informazioni riguardanti i cittadini comunitari.

Dati e informazioni che non sono solo raccolti in massa dalle big tech e tramite l’uso dei più comuni servizi e piattaforme digitali, ma che hanno ormai soprattutto un valore economico notevole: oltre settemila miliardi di dollari, si legge all’interno dello stesso ordine esecutivo firmato da Biden.

È presto spiegato, così, l’interesse degli Stati Uniti di trovare un nuovo accordo con l’Europa sui flussi di dati transatlantici: rinunciare o limitare gli ultimi, com’è stato necessario dopo la sospensione del Privacy Shield, non rischia solo di far vacillare dalle fondamenta la sharing economy ma può creare danni economici non indifferenti alle aziende, di qualunque natura e di qualunque dimensione esse siano.

Le conseguenze negative della sospensione del Privacy Shield non sembrano aver risparmiato peraltro neanche i business europei che di recente si sono trovati, per esempio, a valutare l’opportunità di continuare a usare o sostituire con altri tool simili per l’analisi delle statiche dei siti Google Analytics, dopo che diverse autorità garanti lo avevano definito non conforme al GDPR.

Non sorprende in questa prospettiva, insomma, il carico di attese e di aspettative nei confronti del nuovo accordo USA UE sul trasferimento dei dati personali dei cittadini europei oltreoceano, che non a caso parte della stampa ha già ribattezzato “Privacy Shield II”.

Cosa prevede l’ordine esecutivo in materia di flussi transatlantici di dati appena firmato da Biden

La novità fondamentale di cui si legge nell’ordine esecutivo firmato da Biden è che le attività di intelligence svolte dalle autorità americane quando hanno per oggetto i cittadini europei e i loro dati devono essere «necessarie» e «proporzionate» alla protezione della sicurezza nazionale.

Citando esplicitamente il principio di proporzionalità, il nuovo accordo USA UE sul trasferimento dei dati personali sembra adeguarsi all’impianto fondamentale della più recente normativa europea in materia. Il nodo cruciale sarà, certo, l’interpretazione che verrà data a «proporzionato»: qualche attivista² ha già fatto notare come è probabile che Stati Uniti ed Europa continueranno ad avere nei fatti standard molto diversi a riguardo, tanto più che sebbene definisca «prioritaria» la raccolta mirata l’ordine esecutivo non vieta la raccolta di massa di data.

Se lo scenario peggiore è insomma quello in cui nemmeno il nuovo “scudo” per la privacy riuscirà a evitare il ricorso alla Corte di Giustizia europea per i singoli casi, quello migliore è che possa bastare il nutrito elenco di situazioni e circostanze in cui le autorità americane possono liberamente accedere ai dati dei cittadini europei per questioni di sicurezza nazionale contenuto nell’ordine esecutivo da poco firmato. Sono situazioni e circostanze come la necessità di valutare che capacità e intenzioni abbiano un governo, un esercito, una fazione nazionale, un’organizzazione o un’entità politica estera o se esista un rischio di terrorismo, spionaggio o per la sicurezza informatica del Paese e dei suoi cittadini. Su decisione del Presidente altre ipotesi possono essere aggiunte a queste, dopo averne valutato il rischio reale in termini di sicurezza nazionale. Mai, però, l’ultima può prevale sulla libertà di espressione, di critica e di dissenso o limitare il diritto alla privacy o quello all’assistenza legale delle persone o creare scenari di discriminazione su base etnica, razziale, sessuale, di genere.

L’altra novità significativa del nuovo accordo USA UE sul trasferimento dei dati personali dei cittadini europei è l’istituzione di un meccanismo «indipendente e imparziale», tramite cui gli ultimi possano fare ricorso nel caso in cui rintraccino violazioni e abusi nel modo in cui sono trattati oltreoceano i propri dati. Si tratta di un meccanismo a due livelli che dovrebbe garantire il rispetto degli standard europei per quanto riguarda il diritto dei cittadini all’accesso, alla rettifica e alla soppressione dei dati personali trattati da terzi.

Più nel dettaglio con l’ordine esecutivo firmato da Biden viene individuata una figura all’interno dell’ufficio del Direttore della National Intelligence, quella del Civil Liberties Protection Officer o CLPO, a cui possono essere presentati i reclami e che ha il compito, semplificando molto, di svolgere un’indagine iniziale e proporre rimedi adeguati nel caso in cui sia stata accertata una violazione delle leggi americane e le previsioni del nuovo accordo transatlantico.

A un secondo livello il cittadino europeo può fare appello, individualmente o tramite le authority competenti, alla neoistituita Data Protection Review Court o DPRC che, formata da membri terzi rispetto al governo americano ma da questo nominati sulla base di comprovata esperienza ed expertise in materia, avrà il compito di revisionare e pronunciarsi in maniera vincolante su quanto deciso dal CLPO.

Il nodo critico rimane comunque, come sottolineano i più scettici³ rispetto alla reale efficacia del nuovo accordo USA UE sul trasferimento dei dati personali, che il quadro di azione di questi organismi sarà quello della normativa statunitense sulla data protection: non essendo materia federale, non tutti gli stati hanno norme ad hoc e quelle attualmente esistenti sono molto diverse tra di loro anche nei principi, oltre ad avere un impianto decisamente più commerciale rispetto alla normativa europea. Potrebbe continuare a non essere facile, perciò, assicurare nei fatti standard europei per la sicurezza e la protezione dei dati oltreoceano.

Che iter dovrà seguire il nuovo accordo USA UE sul trasferimento dei dati personali

Prima di diventare operativo – e di poterne valutare, quindi, gli effetti concreti – il nuovo accordo USA UE sul trasferimento dei dati personali dovrà passare comunque attraverso altri step.

La Commissione Europea dovrà avviare – e si sarebbe impegnata a farlo quanto prima – un processo che porti ad adottare una determinazione di adeguatezza al GDPR.

Prima dell’adozione la bozza del documento dovrà passare per l’European Data Protection Board e del contenuto della stessa la Commissione dovrà informare gli stati membri: nessuna delle due valutazioni, però, sarà vincolante.

Con ogni probabilità, insomma, il nuovo “scudo” per la privacy non sarà in funzione prima della primavera 2023.

Un termine troppo lungo, come ha fatto notare qualche voce più liberale, considerato che le limitazioni al trasferimento extra-UE dei dati personali degli utenti comunitari ha già creato danni economici considerevoli in molti campi.