Il presidente degli Stati Uniti, Joe Biden ha firmato un ordine esecutivo che rafforza le misure volte a garantire la riservatezza e la protezione delle libertà civili nei programmi di sorveglianza americani mirati ai dati raccolti in Europa e trasferiti o ospitati attraverso l’Atlantico dei cittadini europei relativamente alle attività di intelligence dei segnali degli Stati Uniti.
Il documento introduce nuove garanzie per i cittadini europei, limitando l’accesso ai dati dell’Ue da parte dei servizi di intelligence statunitensi e istituendo un tribunale per la revisione della protezione dei dati.
Inoltre, l’intesa consente inoltre la richiesta di un risarcimento a chi ritiene che i suoi dati personali siano stati raccolti illegalmente dall’intelligence statunitense.
Su questa base, la Commissione europea “preparerà ora un progetto di decisione di adeguatezza e avvierà la procedura di adozione”, fa sapere Bruxelles.
Gli Usa e l’Unione Europea avevano raggiunto un accordo di principio su questo dossier lo scorso marzo, dopo che tentativi di intesa precedenti erano stati impugnati dalla Corte di giustizia dell’Unione europea a causa dei timori per i programmi di sorveglianza americani.
“Questo è il culmine dei nostri sforzi congiunti per ripristinare la fiducia e la stabilità nei flussi di dati transatlantici – ha detto la Segretaria al Commercio degli Stati Uniti, Gina Raimondo – Questi impegni rispondono pienamente alla decisione Schrems II della Corte di giustizia dell’Unione europea e riguarderanno i trasferimenti di dati personali negli Stati Uniti ai sensi del diritto dell’Ue”.
Per la presidente della Commissione Ue, Ursula von der Leyen, si tratta di “un importante passo avanti per una migliore protezione dei dati per i cittadini e una maggiore certezza del diritto per le imprese, su entrambe le sponde dell’Atlantico. Ora ci metteremo al lavoro sulla decisione di adeguatezza”.
Cosa prevede l’ordine esecutivo
Insieme ai regolamenti emanati dal Procuratore generale, l’ordine esecutivo implementa nella legislazione statunitense l’accordo di principio annunciato a marzo. L’ordine esecutivo introduce nuove garanzie vincolanti per affrontare tutti i punti sollevati dalla Corte di giustizia dell’Ue, limitando l’accesso ai dati dell’Ue da parte dei servizi di intelligence statunitensi e istituendo un tribunale per la revisione della protezione dei dati.
Per i cittadini europei i cui dati personali sono trasferiti negli Stati Uniti, il nuovo decreto esecutivo prevede sia garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale sia l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende una nuova Corte di revisione della protezione dei dati (Dprc), per indagare e risolvere i reclami relativi all’accesso ai loro dati da parte delle autorita’ di sicurezza nazionali statunitensi.
Inoltre il provvedimento richiede alle agenzie di intelligence statunitensi di rivedere le proprie politiche e procedure per attuare queste nuove salvaguardie”. La Commissione Ue ha specificato che si tratta “di miglioramenti significativi rispetto al Privacy Shield”, lo scudo per la Privacy tra Ue e Usa.
“Le nuove garanzie in materia di accesso ai dati da parte dei governi integreranno gli obblighi che le aziende statunitensi che importano dati dall’Ue dovranno sottoscrivere”, ha sottolineato Bruxelles in una nota.
Infine, il nuovo decreto esecutivo, insieme ai regolamenti che lo accompagnano, istituisce un nuovo meccanismo di ricorso a due livelli, con autorità indipendente e vincolante. Nell’ambito del primo livello, le persone dell’Ue potranno presentare un reclamo al cosiddetto “responsabile della protezione delle libertà civili della comunità di intelligence statunitense, che è responsabile di garantire il rispetto della privacy e dei diritti fondamentali da parte delle agenzie di intelligence statunitensi.
Nell’ambito del secondo livello, gli individui avranno la possibilità di appellarsi alla decisione del funzionario per la protezione delle libertà civili davanti al Tribunale per la revisione della protezione dei dati, di recente creazione. La Corte sarà composta da membri scelti al di fuori del governo degli Stati Uniti, nominati sulla base di specifiche qualifiche, potrà essere licenziata solo per cause gravi (come la condanna per un reato o l’inidoneità mentale o fisica a svolgere le mansioni) e non potrà ricevere istruzioni dal governo.
Il Tribunale per il riesame della protezione dei dati avrà il potere di indagare sui reclami degli individui dell’Ue, anche per ottenere informazioni pertinenti dalle agenzie di intelligence, e potrà prendere decisioni correttive vincolanti.
Con l’adozione del decreto esecutivo e dei relativi regolamenti, la Commissione può ora passare alle fasi successive, che comprendono la proposta di un progetto di decisione di adeguatezza e l’avvio della procedura di adozione.
La procedura di adozione
La procedura di adozione di una decisione di adeguatezza prevede diverse fasi: l’ottenimento di un parere da parte del Comitato europeo per la protezione dei dati (Edpb) e il via libera da parte di un comitato composto da rappresentanti degli Stati membri dell’Ue. Inoltre, il Parlamento europeo ha il diritto di controllo sulle decisioni di adeguatezza. Solo dopo queste tappe l’esecutivo europeo potrà adottare la decisione finale di adeguatezza nei confronti degli Stati Uniti.
Da quel momento in poi, i dati potranno circolare liberamente e in modo sicuro tra l’Ue e le aziende statunitensi certificate dal Dipartimento del Commercio in base al nuovo quadro normativo. Le aziende statunitensi potranno aderire al quadro impegnandosi a rispettare una serie dettagliata di obblighi in materia di privacy.
Il Privacy Shield
Nel luglio 2020 la Corte aveva stabilito che il “Privacy Shield”, utilizzato da 5.000 aziende americane, inclusi colossi come Google o Amazon, non tutelava eventuali “interferenze nei diritti fondamentali delle persone i cui dati vengono trasferiti”. Il caso era stato avviato da una denuncia contro Facebook di Max Schrems, figura chiave nella lotta per la protezione dei dati, già all’origine della sentenza del 2015 sull’antenato del “Privacy Shield”, “Safe Harbor”. La decisione della Corte di Giustizia Ue aveva lasciato nell’incertezza giuridica le società operanti nell’Ue che trasferiscono o ospitano dati attraverso l’Atlantico. Il decreto di Biden è quindi una buona notizia per il settore dell’economia digitale, sebbene funzionari dell’amministrazione Usa, durante il briefing, abbiano riconosciuto che la nuova versione del testo possa essere a sua volta contestata, sebbene sia stata “studiata per venire incontro alle precedenti riserve della giustizia europea”.
“Da tempo è ormai evidente come solo un nuovo accordo fra Usa e Unione Europea possa sanare l’impasse dell’incompatibilità fra Google Analytics, anche nella sua più recente versione, e il Gdpr per via della conservazione dei dati personali dei cittadini europei su server statunitensi – commenta Andrea Boscaro, esperto di temi digitali e partner della società di formazione The Vortex – L’obiettivo ora sarà la definizione di una cornice stabile per l’utilizzo legale di Google Analytics e un orizzonte di impiego e di sviluppo delle altre tecnologie più certo, a vantaggio delle imprese che utilizzano applicazioni di marketing digitale. Il provvedimento di Biden è un importante segnale politico in preparazione della negoziazione tra Usa e Ue per un Privacy Shield 2.0 che restringa l’accesso dell’intelligence americana a informazioni personali dei cittadini europei. Nel frattempo può consentire di individuare gli opportuni accorgimenti tecnici che la rendano possibile e di introdurli in vista dell’accordo”.
