La mossa americana e le sue conseguenze lato GDPR sono l’argomento del giorno, da qualche giorno, con l’emanazione dell’ordine esecutivo di Biden. Si tratta dell’applicazione delle richieste della Corte di Giustizia dell’Unione Europea formulate nella sentenza C-311/18 passata ormai alla storia come sentenza Schrems II. Con quest’O.E. gli Stati Uniti si impegnano formalmente a tutelare maggiormente la riservatezza dei dati personali dei cittadini europei e a garantire loro la possibilità di ricorso in caso in cui tale riservatezza non venga correttamente tutelata.
Cosa richiedeva la sentenza?
Ecco partiamo da qui nella valutazione di quanto proposto dall’ordine esecutivo. La sentenza afferma che, sebbene la Presidential policy direttive 28 contenga richiami espliciti ai principi di necessità e proporzionalità, l’articolo 702 del Foreign Intelligence Surveillance Act lavora con una logica che esclude in modo aprioristico questi principi. Infatti:
le certificazioni che la Corte FISA deve approvare non contengono informazioni sul singolo potenziale obiettivo, ma indicano piuttosto categorie di informazioni di intelligence esterna (…). La Corte FISA non valuta, in base a elementi plausibili né a altro criterio, se la persona costituisca un obiettivo adatto per acquisire informazioni di intelligence esterna (…); il suo controllo verte piuttosto sulla condizione che uno degli scopi rilevanti dell’acquisizione dev’essere quello di ottenere informazioni di intelligence esterna.
Inoltre,
sebbene la persona, compreso l’interessato dell’UE, sottoposta a sorveglianza (elettronica) illecita per finalità di sicurezza nazionale disponga di una serie di possibilità di ricorso, altrettanto pacifico è che queste non contemplano almeno alcune delle basi giuridiche di cui possono avvalersi le autorità di intelligence statunitensi (ad esempio l’EO 12333). Inoltre, anche quando la possibilità di ricorso per via giudiziaria è effettivamente offerta, in linea di principio, anche al cittadino straniero, come ad esempio in caso di sorveglianza ai sensi della FISA, i motivi per cui si possono adire le vie legali sono limitati (…) e l’istanza presentata da una persona (compresi i cittadini statunitensi o residenti negli USA) è dichiarata irricevibile se questa non è in grado di dimostrare la propria legittimazione ad agire (…), il che limita di fatto l’accesso al giudice ordinario (…).
Pertanto, un punto cruciale dal punto di vista della Corte era proprio la mancanza di queste caratteristiche:
- un chiaro richiamo ai principi di necessità e proporzionalità;
- una possibilità “effettiva” per i soggetti interessati di proporre un reclamo.
Le trattative
Prima di giungere all’ordine esecutivo di Biden, sono state condotte trattative che per lungo tempo hanno dato l’idea di non realizzare lo scopo. A capo della delegazione europea era Bruno Gencarelli, Head of Unit for International Data Flows and Protection. Questi non ha mai nascosto in varie occasioni, in cui ha rilasciato dichiarazioni sullo stato delle trattative, la loro complessità. Qui va fatto però un chiarimento importante, non è che il negoziato fosse difficile perché gli americani sono delle brutte persone. Semplicemente i due ordinamenti hanno delle oggettive differenze e riconciliarli non era semplice. A questo va aggiunta sicuramente una considerazione di tipo politico inerente i pessimi rapporti che la precedente amministrazione americana aveva con Bruxelles.
Lo stallo è stato superato nel momento in cui si sono mossi i Garanti. Ho sempre sostenuto che questa sentenza avrebbe scaricato il peso delle conseguenze sulle aziende, gravate da compiti per i quali non erano strutturate e forzate a prendere decisioni scomode sull’uso di programmi ormai comuni. La sentenza, tuttavia, sarebbe rimasta lettera morta se i Garanti non si fossero pronunciati sull’utilizzo (corretto o meno) di alcuni programmi. Basterebbe richiamare alla memoria i casi di Mailchimp o di Google Analytics per comprendere la portata devastante in termini di operatività quotidiana sulle aziende. A quel punto probabilmente qualcosa è cambiato e il negoziato ha subito una violenta accelerazione. Violenta e positiva aggiungerei.
L’ordine esecutivo
Veniamo al suo contenuto. I punti salienti dello stesso sono riassunti nel “FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework” e che riprendiamo per sommi capi
Adds further safeguards for U.S. signals intelligence activities, including requiring that such activities be conducted only in pursuit of defined national security objectives…
Aggiunge ulteriori garanzie per le attività di intelligence dei segnali degli Stati Uniti, tra cui richiedere che tali attività siano condotte solo nel perseguimento di obiettivi di sicurezza nazionale definiti
Mandates handling requirements for personal information collected through signals intelligence activities and extends the responsibilities of legal, oversight, and compliance officials to ensure that appropriate actions are taken to remediate incidents of non-compliance…
Impone di gestire i requisiti per le informazioni personali raccolte attraverso attività di intelligence dei segnali ed estende le responsabilità dei funzionari legali, di supervisione e di conformità per garantire che vengano intraprese azioni appropriate per rimediare agli incidenti di non conformità
Requires U.S. Intelligence Community elements to update their policies and procedures to reflect the new privacy and civil liberties safeguards contained in the E.O.
Richiede gli Stati Uniti Elementi della comunità di intelligence per aggiornare le loro politiche e procedure per riflettere le nuove garanzie della privacy e delle libertà civili contenute nell’E.O.
Creates a multi-layer mechanism for individuals from qualifying states and regional economic integration organizations, as designated pursuant to the E.O., to obtain independent and binding review and redress of claims…
- Under the first layer, the Civil Liberties Protection Officer in the Office of the Director of National Intelligence (CLPO)…
- As a second layer of review, the E.O. authorizes and directs the Attorney General to establish a Data Protection Review Court (“DPRC”)
Crea un meccanismo multilivello per gli individui provenienti da stati qualificati e organizzazioni regionali di integrazione economica, come designato ai sensi dell’E.O., per ottenere una revisione e un risarcimento indipendenti e vincolanti delle affermazioni
Sotto il primo livello, il funzionario per la protezione delle libertà civili dell’Ufficio del direttore dell’intelligence nazionale (CLPO)
Come secondo livello di revisione, l’E.O. autorizza e ordina al procuratore generale di istituire un tribunale di revisione della protezione dei dati (“DPRC”)
Calls on the Privacy and Civil Liberties Oversight Board to review Intelligence Community policies and procedures
Invita il Consiglio di sorveglianza della privacy e delle libertà civili a rivedere le politiche e le procedure della comunità di intelligence
Cosa succede adesso
Ci saranno dei tempi tecnici per costruire i vari decreti attuativi dell’E.O., nel frattempo l’Europa che il documento lo conosceva perfettamente ben prima che fosse reso noto, dovrà ripensare l’adeguatezza degli USA.
Questi passaggi impongono vari mesi. Un Ordine Esecutivo è di fatto una norma federale che deve essere applicata. Ma per farlo serviranno dai tre ai quattro mesi.
Per quanto concerne la revisione della decisione di adeguatezza ai sensi dell’articolo 45 del GDPR, i tempi saranno più lunghi. Si parla di un semestre circa. Insomma, la mossa americana e le sue conseguenze dovrebbero per marzo vedere la luce (temporanea?) dopo questo lungo e fastidioso tunnel.
Quali sono i rischi
Sono più di uno.
- Il primo è che l’Europa faccia la sciocchezza di non dichiarare gli statunitensi adeguati alle richieste che loro stessi hanno formulato. Questa posizione potrebbe essere sostenuta da una volontà autarchica sul comparto informatico, tanto dannosa quanto irrealizzabile. Dannosa perché porrebbe le fondamenta per un momento serio di crisi per il GDPR stesso a quel punto avvertito non come un punto di forza ma di stress inutile imposto alle aziende. Il boomerang di cui parlavo due anni orsono. Irrealizzabile perché tecnologicamente non siamo al livello degli americani. Punto. Non c’è altro da dire. Abbiamo ottime idee, ma la capacità di trasformarle in aziende multinazionali usate da tutti non è nostra.
- il secondo rischio concreto è che Schrems decida di puntare di nuovo il mirino sull’eventuale accordo, tentando di ottenere una Schrems III. Questo sarebbe una vera iattura per l’economia a di nuovo innescherebbe un pericoloso effetto involutivo.
Concludendo
Le impressioni sulla mossa americana e le sue conseguenze lato GDPR è che gli americani abbiano davvero fatto quel che si chiedeva loro.
- hanno introdotto il principio di necessità attraverso un elenco preciso delle situazioni in cui si può o meno andare a usare l’Intelligence per agire;
- hanno introdotto il principio di proporzionalità attraverso una serie di meccanismi di controllo che prima non erano contemplati;
- hanno introdotto un doppio livello di controllo e possibilità di ricorso effettivo.
A questo punto io credo che la lettera della norma debba anche lasciare il posto alla ragionevolezza, a meno che non siano altri gli intendimenti. A meno che in realtà lo scopo di taluni non sia di sostenere una sorta di nazionalismo europeo informatico per il quale non siamo minimamente attrezzato tecnologicamente (ve lo ricordate il datacenter bruciato in Francia qualche anno fa?). Una simile scelta politica sarebbe tendenzialmente un suicidio anche da un punto di vista economico, rischierebbe di azzoppare in modo irreparabile il gran lavoro fatto in questi anni per educare le aziende alla Data Protection. Se vogliamo agire su leve economiche esistono altri modi questo sarebbe il peggiore.
