Trasferimento dati USA-UE: l’Executive Order sulla privacy dei dati

Nel marzo 2022 il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von der Leyen hanno annunciato di aver raggiunto un nuovo accordo sul flusso di dati transatlantico, le cui ripercussioni si sono riversate sul piano giuridico che economico[1]. Successivamente, in data 7 ottobre 2022, il Presidente Biden, ha dato seguito a tale accordo sottoscrivendo l’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities[2] (c.d. “Data Protection EO”), il quale indica le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell’ambito del nuovo quadro normativo UE-USA sulla privacy dei dati.

La storia recente dei flussi di dati tra Stati Uniti e Unione Europea è a dir poco difficile. Nel 2015 la Corte di giustizia dell’Unione europea[3] (“CGUE”) ha invalidato la decisione della Commissione europea, del 26 luglio 2000, che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti, il c.d. regime di “Approdo sicuro”, di seguito “Safe Harbor”. Durante la presidenza Obama sono intercorse numerose trattative con la Commissione europea per dare origine al sostituto di Safe Harbor: il Privacy Shield. Tuttavia, nell’estate del 2020, la CGUE si è pronunciata (c.d. “Sentenza Schrems II”) invalidando la decisione di adeguatezza del Privacy Shield. Più precisamente, la CGUE ha evidenziato che gli Stati Uniti non fornissero un livello di protezione dei dati “sostanzialmente equivalente” a quello dell’Unione Europea, a causa degli ampi poteri concessi alle forze dell’ordine e alle agenzie di intelligence statunitensi di accedere ai dati personali degli individui e dell’assenza di rimedi giuridici efficaci per i residenti dell’UE in relazione a tali poteri. In particolare, la CGUE si è concentrata su due autorità statunitensi in particolare: la sezione 702 del Foreign Intelligence Surveillance Act (FISA) e l’ordine esecutivo 12333.

Pertanto, nel Data Protection EO viene evidenziato che gli Stati Uniti raccolgono informazioni di signal intelligence e devono perseverare in tale attività così da offrire agli organismi responsabili in materia di sicurezza nazionale informazioni tempestive, accurate e approfondite necessarie per promuovere gli interessi di sicurezza nazionale degli Stati Uniti e per proteggere i loro cittadini e i cittadini dei loro alleati da eventuali minacce. Tuttavia, viene riconosciuto che le attività di signal intelligence devono tenere conto del fatto che tutte le persone devono essere trattate con dignità e rispetto, indipendentemente dalla loro nazionalità o dal luogo in cui risiedono, e che tutte le persone hanno legittimi interessi di privacy nel trattamento delle loro informazioni personali. Pertanto, tale documento ricopre una significativa importanza per le garanzie riconosciute nelle attività di signal intelligence. Più precisamente, il Data Protection EO stabilisce che tali attività possono essere condotte solo dopo aver stabilito che sono “necessarie per portare avanti una priorità di intelligence convalidata” e “solo nella misura e in modo proporzionato alla priorità di intelligence convalidata per la quale sono state autorizzate”. Inoltre, vengono sottolineati gli obiettivi che legittimano la conduzione delle attività di signal intelligence:

  • comprendere o valutare le capacità, le intenzioni o le attività di un governo straniero, di un esercito straniero, di una fazione di una nazione straniera, di un’organizzazione politica con sede all’estero, o di un’entità che agisce per conto o sotto il controllo di un governo, di un esercito, di una fazione o di un’organizzazione politica straniera, al fine di proteggere la sicurezza nazionale degli Stati Uniti e dei suoi alleati e partner;
  • comprendere o valutare le capacità, le intenzioni o le attività di organizzazioni straniere, comprese le organizzazioni terroristiche internazionali, che rappresentano una minaccia attuale o potenziale alla sicurezza nazionale degli Stati Uniti o dei suoi alleati e partner;
  • comprendere o valutare le minacce transnazionali che hanno un impatto sulla sicurezza globale, compresi i cambiamenti climatici e altri cambiamenti ecologici, i rischi per la salute pubblica, le minacce umanitarie, l’instabilità politica e le rivalità geografiche;
  • proteggere dalle capacità e dalle attività militari straniere;
  • proteggere dal terrorismo, dalla cattura di ostaggi e dalla detenzione di individui condotti da o per conto di un governo straniero, un’organizzazione straniera o una persona straniera;
  • proteggere dallo spionaggio, dal sabotaggio, dall’assassinio o da altre attività di intelligence condotte da, per conto o con l’assistenza di un governo straniero, di un’organizzazione straniera o di una persona straniera;
  • proteggere dalle minacce derivanti dallo sviluppo, dal possesso o dalla proliferazione di armi di distruzione di massa o di tecnologie e minacce correlate condotte da, per conto o con l’assistenza di un governo straniero, di un’organizzazione straniera o di una persona straniera;
  • proteggere dalle minacce alla sicurezza informatica create o sfruttate da un governo straniero, da un’organizzazione straniera o da una persona straniera, o da attività informatiche dannose condotte da un governo straniero, da un’organizzazione straniera o da una persona straniera;
  • proteggere dalle minacce al personale degli Stati Uniti o dei suoi alleati o partner;
  • proteggere dalle minacce criminali transnazionali, compresi i finanziamenti illeciti e l’evasione delle sanzioni;
  • proteggere l’integrità delle elezioni e dei processi politici, delle proprietà governative e delle infrastrutture degli Stati Uniti (sia fisiche che elettroniche) da attività condotte da, per conto o con l’assistenza di un governo straniero, di un’organizzazione straniera o di una persona straniera;
  • far progredire le capacità o le attività di raccolta o operative al fine di promuovere un obiettivo legittimo.

Diversamente, viene indicato che le attività di signal intelligence non possono essere condotte con lo scopo di sopprimere o ostacolare la critica, il dissenso o la libera espressione di idee o opinioni politiche da parte di individui o della stampa; sopprimere o limitare legittimi interessi di privacy ed il diritto all’assistenza legale; oppure svantaggiando le persone in base alla loro etnia, razza, sesso, identità di genere, orientamento sessuale o religione.

In aggiunta, nel Data Protection EO vengono stabiliti i requisiti per il trattamento delle informazioni personali raccolte tramite attività di signal intelligence. Ogni elemento dell’Intelligence Community degli Stati Uniti deve stabilire e applicare politiche e procedure volte a ridurre al minimo la diffusione e la conservazione delle informazioni personali. Inoltre, verranno implementati corsi di formazione appropriati per garantire che tutti i dipendenti con accesso alle attività di signal intelligence comprendano tale documento e il rimedio degli incidenti di non conformità con la legge degli Stati Uniti applicabile. I cittadini non statunitensi avranno la possibilità di chiedere una revisione delle attività di signal intelligence condotte dalla Intelligence Community, pertanto, entro sessanta giorni dall’emissione dell’Executive Order, il Direttore della National Intelligence (DNI), in consultazione con il Procuratore generale degli Stati Uniti e i referenti della Intelligence Community degli Stati Uniti, stabilirà un processo per la presentazione di “reclami qualificati trasmessi dall’autorità pubblica appropriata in uno Stato qualificato”.

Successivamente, il responsabile della protezione delle libertà civili (Civil Liberties Protection Officer, “CLPO”,) del DNI indagherà, esaminerà e, se necessario, ordinerà un rimedio adeguato per i reclami dagli Stati qualificati[4]. Il rimedio appropriato deve essere strettamente mirato a porre rimedio alla violazione in questione e a ridurre al minimo l’impatto negativo sulle operazioni dell’Intelligence Community e sulla sicurezza nazionale degli Stati Uniti.

In aggiunta, il Data Protection EO incarica il Procuratore generale di istituire un “Protection Review Court” attraverso il quale un individuo può chiedere di rivedere la disposizione del CLPO in merito al suo reclamo. Se tale organo non è d’accordo con la decisione del CLPO, può ordinare autonomamente un rimedio. A differenza della Foreign Intelligence Surveillance Court, Tribunale con giurisdizione sulle richieste di sorveglianza presentate ai sensi della sezione 702 della FISA, i giudici della Data Protection Review Court non devono essere giudici federali, bensì “professionisti legali con un’adeguata esperienza nei settori della privacy dei dati e della legge sulla sicurezza nazionale” che non siano dipendenti del governo degli Stati Uniti e che, per il periodo del loro mandato, non abbiano altri incarichi governativi.

Germania

Data la recente pubblicazione del Data Protection EO, in Europa non sono ancora emerse riflessioni da parte delle Autorità privacy. Tuttavia, in Germania il commissario statale del Baden-Württemberg per la protezione dei dati e la libertà di informazione Stefan Brink ha affermato che “Il fatto che il governo degli Stati Uniti stia prendendo provvedimenti in merito all’accordo sul trasferimento dei dati è un passo importante nella giusta direzione. Per non perdere l’Europa come importante partner commerciale e commerciale a lungo termine, gli Stati Uniti devono orientarsi verso i principi della Commissione Europea e della protezione dei dati europei. Tuttavia, le disposizioni dell’Ordine Esecutivo rivelano notevoli lacune”. Più precisamente, una delle prime criticità sollevate risiede nello strumento giuridico dell’Executive Order, in quanto esso rappresenta un’istruzione interna al governo e alle autorità subordinate e non è una legge approvata dal parlamento, pertanto, potrebbe non risultare definitiva. Inoltre, il rispetto di un mero ordine esecutivo non è giuridicamente vincolante, soprattutto per i cittadini dell’Unione Europea. Successivamente, nel documento non viene spiegato come l’Executive Order si colleghi ad altre normative statunitensi esistenti come il Cloud Act. Inoltre, le restrizioni al trattamento dei dati ora necessarie e appropriate sembrano una concessione ai sensi del principio europeo di proporzionalità, tuttavia, l’interpretazione del concetto giuridico di proporzionalità differisce in Europa e negli Stati Uniti, per cui non è chiaro quando, dal punto di vista degli USA, l’accesso per la sicurezza nazionale resta consentito.

Infine, il Data Protection Review Court si differenzia da altri Tribunali, in quanto è stato istituito dal Procuratore generale, parte del ramo esecutivo, e questo elemento contraddice il concetto europeo di indipendenza giudiziaria dei tribunali.

Meta

Nella sua relazione trimestrale alla US Securities and Exchange Commission[5], Meta ha affermato di anticipare la decisione della Irish Data Protection Commission sui suoi trasferimenti di dati UE-USA all’inizio del 2023. La società ha anche notato incertezza dato l’Executive Order presidenziale e ha affermato se non fosse in grado di fare affidamento su clausole contrattuali standard o altri mezzi alternativi di trasferimento dei dati, “probabilmente non sarà in grado di offrire una serie dei nostri prodotti e servizi più significativi, inclusi Facebook e Instagram, in Europa”.

Conclusioni

È oggettivo come l’Executive Order non possa rappresentare la soluzione definitiva in relazione al trasferimento dei dati tra Stati Uniti e Unione Europea, poiché adesso spetterà alla Commissione europea, in conformità a quanto stabilito dall’art. 45 del GDPR, iniziare a redigere una nuova decisione di adeguatezza, pertanto, gli stati membri e l’European Data Protection Board (“EDPB”) ricopriranno un ruolo di significativa importanza. Il processo di adozione formale dovrebbe durare circa sei mesi e potrebbe portare alla pubblicazione della decisione finale di adeguatezza nel marzo 2023.

Note

[1] In una conferenza stampa da Bruxelles, Biden ha dichiarato: “Questo quadro sottolinea il nostro impegno condiviso per la privacy, la protezione dei dati e lo stato di diritto. Inoltre, consentirà alla Commissione europea di autorizzare ancora una volta i flussi di dati transatlantici che facilitano 7,3 trilioni di dollari nelle relazioni economiche con l’UE”.

[2] The White House, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, 7 ottobre 2022, https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/.

[3] Corte di giustizia dell’Unione europea, Sentenza della Corte (Grande Sezione), causa C‑362/14, 6 ottobre 2015, https://www.camera.it/temiap/t/news/post-OCD15-11766.

[4] Con il termine “rimedio adeguato” si intendono le misure lecite volte a rimediare completamente a una violazione coperta riguardante uno specifico denunciante. Tali misure possono comprendere: a) la correzione, attraverso misure amministrative, di violazioni che si sono rivelate errori procedurali o tecnici relativi all’accesso o al trattamento di dati altrimenti legittimi; b) la cessazione dell’acquisizione di dati laddove la raccolta non sia legittimamente autorizzata; c) la cancellazione di dati acquisiti senza autorizzazione legittima; d) la cancellazione dei risultati di interrogazioni condotte in modo inappropriato su dati altrimenti legittimamente raccolti; e) la limitazione dell’accesso ai dati legittimamente raccolti a persone adeguatamente addestrate; f) il richiamo di rapporti di intelligence contenenti dati acquisiti senza autorizzazione legittima o che sono stati altrimenti diffusi in modo non conforme alla legge degli Stati Uniti.

[5] United States Securities and Exchange Commission, Meta Platforms, Inc., https://www.sec.gov/ix?doc=/Archives/edgar/data/1326801/000132680122000108/meta-20220930.htm.

 

Articolo a cura di Luca Barbieri

Profilo Autore

Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Relatore Prof. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto esami di diritto cinese e cyber security.
Inoltre, ha conseguito il corso “Big data, artificial intelligence e piattaforme: aspetti tecnici e giuridici connessi all'utilizzo dei dati e alla loro tutela” presso l’Università degli Studi di Milano ed il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre, con tesi intitolata “Cybersecurity: sistemi di Intelligenza artificiale a protezione delle reti e delle infrastrutture critiche”, con il Relatore Prof. Avv. Aterno.
Attualmente è Dottorando in “Security, Risk and Vulnerability” presso l’Università di Genova e collabora in uno studio legale specializzato in cybersecurity e data protection fornendo assistenza nelle attività di compliance alla Direttiva NIS, al Perimetro di Sicurezza Nazionale Cibernetica ed al GDPR.

Condividi sui Social Network:

Ultimi Articoli