Il tema dello scambio di dati delle persone fisiche tra Paesi membri dell’UE e Stati Uniti ha attraversato varie fasi e rimane tuttora critico. Nuovi dialoghi fanno intravvedere la possibilità di un accordo risolutivo.
Il trasferimento dei dati a Paesi terzi secondo il GDPR
Il Regolamento UE 2016/679, indicato anche con l’acronimo GDPR, stabilisce misure a protezione dei dati delle persone fisiche, a valersi nel territorio dell’Unione.
Consente che i dati personali siano trasferiti in Paesi extra UE a patto che questi Paesi garantiscano un adeguato livello di protezione dei dati, valutazione che viene fatta dalla Commissione Europea ed espressa tramite una decisione di adeguatezza.
Nel caso invece i dati debbano essere trasferiti verso Paesi che non superano questa valutazione, è necessario che il titolare del trattamento che trasferisce i dati provveda a fornire idonee garanzie.
Tra queste il Regolamento cita in particolare: la sottoscrizione di specifici accordi tra trasferente e ricevente i dati; la sottoscrizione di clausole contrattuali standard tra trasferente e ricevente i dati; l’adozione di norme vincolanti d’impresa, nei gruppi imprenditoriali multinazionali; la sottoscrizione di codici di condotta approvati; la sottoposizione a meccanismi di certificazione approvati.
Il trasferimento dei dati negli USA
Rispetto al trasferimento di dati negli Stati Uniti, si sono susseguiti nel tempo diversi approcci.
Nel 2000 una decisione esecutiva della Commissione Europea, sulla base dell’allora vigente direttiva 95/46/CE, aveva affermato l’adeguatezza della protezione offerta dai principi di approdo sicuro stabiliti dal Dipartimento del Commercio degli USA (il c.d. Safe Harbor). Pertanto, ogni organizzazione USA che avesse certificato la sua adesione a detti principi, avrebbe potuto legittimamente ricevere e trattare dati personali provenienti dall’UE.
Tuttavia, dietro ricorso di un cittadino austriaco, Schrems, nel 2015 la Corte di Giustizia dell’UE ha invalidato la decisione c.d. Safe Harbor, affermando che il trasferimento dei dati secondo questo protocollo non fosse più legittimo in quanto la protezione offerta non era più da considerarsi adeguata.
A questo evento fecero seguito l’anno successivo da un lato l’emanazione del GDPR, dall’altro una seconda decisione riguardante lo scambio di dati con gli USA: la Commissione UE affermò l’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy (Privacy Shield). Si trattava di un accordo tra la UE e Dipartimento del Commercio USA che prevedeva che le società americane che volessero ricevere e trattare dati personali provenienti dall’UE avrebbero dovuto certificare il proprio rispetto ad un determinato protocollo.
Ma la questione non si concluse: il signor Schrems aveva proseguito nel ricorrere contro le decisioni di adeguatezza rispetto ai protocolli di scambio di dati UE-USA, anche alla luce delle emergenti informazioni rispetto al potere delle autorità governative statunitensi di accedere ai dati personali dei cittadini di altri Paesi.
La sentenza della CGUE che ne è seguita ha riconosciuto l’inadeguatezza della protezione offerta dal Privacy Shield, proprio in virtù possibili accessi delle autorità americane ai dati trasferiti.
È stata invece confermata l’adeguatezza dell’adozione di clausole contrattuali tipo, dato che esse contengono meccanismi efficaci che permetto di garantire il livello di protezione richiesto dalla normativa UE.
Il potere di accesso delle autorità USA ai dati personali dei cittadini non statunitensi
Alcune normative USA prevedono che le autorità governative americane possano accedere ai dati personali di cittadini stranieri trasferiti nel loro territorio, senza limitazioni e senza che siano riconosciuti diritti azionabili in giudizio da parte dei soggetti interessati.
Vengono in rilievo soprattutto la Sezione 702 del Foreign Intelligence Surveillance Act e l’Ordine esecutivo 12333 che, per finalità antiterrorismo, consentono alle autorità e in particolare alle agenzie d’intelligence a obbligare i fornitori di servizi di comunicazione elettronica USA a fornire loro, su richiesta, informazioni riguardo a cittadini stranieri.
L’ordine presidenziale esecutivo 12333, emanato nel 1981 e modificato nel 2008, è il provvedimento che autorizza in via generale le agenzie governative alla raccolta di informazioni su cittadini stranieri ai fini di antiterrorismo e di protezione del territorio e dei cittadini americani, senza che sia necessaria di volta in volta una specifica autorizzazione di legge o da parte di un giudice.
La Sezione 702 FISA permette che il governo USA effettui la sorveglianza di persone non statunitensi che si trovano in territorio straniero, grazie alla collaborazione dei provider di comunicazioni elettroniche, per raccogliere informazioni con lo scopo di proteggere gli USA dal terrorismo.
Dunque i fornitori di servizi di comunicazione elettronica USA possono essere obbligati a consentire alle autorità di sicurezza statunitensi di accedere ai dati personali di chiunque non sia cittadino statunitense o residente negli Stati Uniti.
Inoltre è consentito che queste autorità di sicurezza vi provvedano non solo rispetto a target specifici ma anche a ampio spettro, tramite specifici programmi informatici di sorveglianza di massa.
Stando così le cose, e in particolare il fatto che i provider di comunicazioni elettroniche USA possano essere obbligati dalle autorità governative a fornire dati riguardanti cittadini stranieri, si comprende perché gli Stati Uniti non vengano considerati un Paese che garantisce un adeguato livello di protezione dei dati personali.
La circostanza non comporta un divieto in toto del trasferimento dei dati negli USA ma richiede che sia effettuato in conformità al Capo V del Regolamento, vale a dire tramite l’adozione di strumenti, contrattuali e tecnici, che garantiscano i diritti degli interessati, accompagnata dalla valutazione in concreto, da parte dei titolare del trattamento, che questi strumenti siano efficaci nel caso specifico.
Nel caso la valutazione dia esito negativo, spetta al titolare del trattamento adottare alle misure supplementari di natura tecnica, contrattuale o organizzativa.
La necessità di un nuovo strumento
La consapevolezza che il vuoto di disciplina sia comunque problematico e che vi sia necessità di un accordo giuridico è presente sia presso le istituzioni UE che USA.
A premere verso questo obiettivo ci sono anche i provvedimenti recenti dei Garanti UE e nazionali che, pronunciandosi su casi specifici, hanno evidenziato ancora una volta la necessità di uno strumento idoneo.
I nuovi scenari
Un passo verso l’armonizzazione della protezione dei dati viene dall’ordine esecutivo adottato dal presidente americano Biden il 7 ottobre 2022. L’ordine esecutivo auspica di produrre una decisione di adeguatezza della protezione dei dati da parte della Commissione Europea e prelude ad un possibile nuovo accordo tra UE e USA, che potrebbe vedere la luce nella prima parte del 2023.
L’ordine esecutivo aumenta la protezione dei dati rispetto all’accesso da parte della autorità governative, richiedendo che tali attività siano svolte solamente per il perseguimento di obiettivi determinati d’intelligence e che siano proporzionate alla finalità per cui sono poste in essere.
Individua inoltre i requisiti di trattamento per i dati personali raccolti dalle autorità governative e estende le responsabilità dei funzionari legali, di supervisione e di conformità per assicurarsi che vengano intraprese azioni appropriate per rimediare ad eventuali trattamenti non conformi; sempre per lo stesso fine chiede alle autorità governative di aggiornare le proprie policy e procedure alle direttive dell’ordine esecutivo stesso.
L’ordine esecutivo introduce in aggiunta una procedura affinché le persone che ritengono che i loro dati siano trattati illegittimamente possano presentare un reclamo e ottenere una revisione del trattamento e un risarcimento. Dopo una prima valutazione da parte dei funzionari dell’intelligence, i reclami saranno affidati a organismi composti da giudici esterni al governo USA, esperti di privacy e di sicurezza nazionale, a cui viene assicurata indipendenza.
Infine invita il Consiglio di sorveglianza per la privacy e le libertà civili – una sorta di omologo del Garante Privacy – a rivedere le policy e le procedure delle agenzie di intelligence in modo che siano conformi all’ordine esecutivo stesso.
Sarà ora la Commissione Europea a valutare se questo ordine esecutivo sia una base sufficiente e idonea per valutare un nuovo accordo e una nuova decisione di adeguatezza rispetto al trasferimento dei dati negli USA.
Quel che è certo è che il tema è molto rilevante per i due attori della partita, considerato il peso delle relazioni commerciali tra Stati uniti e UE – che portano necessariamente con sé lo scambio di dati – e la necessità che esse possano svolgersi fluidamente.
Foto NASA.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato.
Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.
Una risposta