Nel marzo 2022 il presidente degli Stati Uniti Joe Biden e la presidente della Commissione europea Ursula von der Leyen hanno annunciato di aver raggiunto un nuovo accordo sul flusso di dati transatlantico, le cui ripercussioni si sono riversate sul piano giuridico che economico[1]. Successivamente, in data 7 ottobre 2022, il Presidente Biden, ha dato seguito a tale accordo sottoscrivendo l’Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities[2] (c.d. “Data Protection EO”), il quale indica le misure che gli Stati Uniti adotteranno per attuare gli impegni assunti nell’ambito del nuovo quadro normativo UE-USA sulla privacy dei dati.
La storia recente dei flussi di dati tra Stati Uniti e Unione Europea è a dir poco difficile. Nel 2015 la Corte di giustizia dell’Unione europea[3] (“CGUE”) ha invalidato la decisione della Commissione europea, del 26 luglio 2000, che attesta che gli Stati Uniti garantiscono un adeguato livello di protezione dei dati personali trasferiti, il c.d. regime di “Approdo sicuro”, di seguito “Safe Harbor”. Durante la presidenza Obama sono intercorse numerose trattative con la Commissione europea per dare origine al sostituto di Safe Harbor: il Privacy Shield. Tuttavia, nell’estate del 2020, la CGUE si è pronunciata (c.d. “Sentenza Schrems II”) invalidando la decisione di adeguatezza del Privacy Shield. Più precisamente, la CGUE ha evidenziato che gli Stati Uniti non fornissero un livello di protezione dei dati “sostanzialmente equivalente” a quello dell’Unione Europea, a causa degli ampi poteri concessi alle forze dell’ordine e alle agenzie di intelligence statunitensi di accedere ai dati personali degli individui e dell’assenza di rimedi giuridici efficaci per i residenti dell’UE in relazione a tali poteri. In particolare, la CGUE si è concentrata su due autorità statunitensi in particolare: la sezione 702 del Foreign Intelligence Surveillance Act (FISA) e l’ordine esecutivo 12333.
Pertanto, nel Data Protection EO viene evidenziato che gli Stati Uniti raccolgono informazioni di signal intelligence e devono perseverare in tale attività così da offrire agli organismi responsabili in materia di sicurezza nazionale informazioni tempestive, accurate e approfondite necessarie per promuovere gli interessi di sicurezza nazionale degli Stati Uniti e per proteggere i loro cittadini e i cittadini dei loro alleati da eventuali minacce. Tuttavia, viene riconosciuto che le attività di signal intelligence devono tenere conto del fatto che tutte le persone devono essere trattate con dignità e rispetto, indipendentemente dalla loro nazionalità o dal luogo in cui risiedono, e che tutte le persone hanno legittimi interessi di privacy nel trattamento delle loro informazioni personali. Pertanto, tale documento ricopre una significativa importanza per le garanzie riconosciute nelle attività di signal intelligence. Più precisamente, il Data Protection EO stabilisce che tali attività possono essere condotte solo dopo aver stabilito che sono “necessarie per portare avanti una priorità di intelligence convalidata” e “solo nella misura e in modo proporzionato alla priorità di intelligence convalidata per la quale sono state autorizzate”. Inoltre, vengono sottolineati gli obiettivi che legittimano la conduzione delle attività di signal intelligence:
Diversamente, viene indicato che le attività di signal intelligence non possono essere condotte con lo scopo di sopprimere o ostacolare la critica, il dissenso o la libera espressione di idee o opinioni politiche da parte di individui o della stampa; sopprimere o limitare legittimi interessi di privacy ed il diritto all’assistenza legale; oppure svantaggiando le persone in base alla loro etnia, razza, sesso, identità di genere, orientamento sessuale o religione.
In aggiunta, nel Data Protection EO vengono stabiliti i requisiti per il trattamento delle informazioni personali raccolte tramite attività di signal intelligence. Ogni elemento dell’Intelligence Community degli Stati Uniti deve stabilire e applicare politiche e procedure volte a ridurre al minimo la diffusione e la conservazione delle informazioni personali. Inoltre, verranno implementati corsi di formazione appropriati per garantire che tutti i dipendenti con accesso alle attività di signal intelligence comprendano tale documento e il rimedio degli incidenti di non conformità con la legge degli Stati Uniti applicabile. I cittadini non statunitensi avranno la possibilità di chiedere una revisione delle attività di signal intelligence condotte dalla Intelligence Community, pertanto, entro sessanta giorni dall’emissione dell’Executive Order, il Direttore della National Intelligence (DNI), in consultazione con il Procuratore generale degli Stati Uniti e i referenti della Intelligence Community degli Stati Uniti, stabilirà un processo per la presentazione di “reclami qualificati trasmessi dall’autorità pubblica appropriata in uno Stato qualificato”.
Successivamente, il responsabile della protezione delle libertà civili (Civil Liberties Protection Officer, “CLPO”,) del DNI indagherà, esaminerà e, se necessario, ordinerà un rimedio adeguato per i reclami dagli Stati qualificati[4]. Il rimedio appropriato deve essere strettamente mirato a porre rimedio alla violazione in questione e a ridurre al minimo l’impatto negativo sulle operazioni dell’Intelligence Community e sulla sicurezza nazionale degli Stati Uniti.
In aggiunta, il Data Protection EO incarica il Procuratore generale di istituire un “Protection Review Court” attraverso il quale un individuo può chiedere di rivedere la disposizione del CLPO in merito al suo reclamo. Se tale organo non è d’accordo con la decisione del CLPO, può ordinare autonomamente un rimedio. A differenza della Foreign Intelligence Surveillance Court, Tribunale con giurisdizione sulle richieste di sorveglianza presentate ai sensi della sezione 702 della FISA, i giudici della Data Protection Review Court non devono essere giudici federali, bensì “professionisti legali con un’adeguata esperienza nei settori della privacy dei dati e della legge sulla sicurezza nazionale” che non siano dipendenti del governo degli Stati Uniti e che, per il periodo del loro mandato, non abbiano altri incarichi governativi.
Data la recente pubblicazione del Data Protection EO, in Europa non sono ancora emerse riflessioni da parte delle Autorità privacy. Tuttavia, in Germania il commissario statale del Baden-Württemberg per la protezione dei dati e la libertà di informazione Stefan Brink ha affermato che “Il fatto che il governo degli Stati Uniti stia prendendo provvedimenti in merito all’accordo sul trasferimento dei dati è un passo importante nella giusta direzione. Per non perdere l’Europa come importante partner commerciale e commerciale a lungo termine, gli Stati Uniti devono orientarsi verso i principi della Commissione Europea e della protezione dei dati europei. Tuttavia, le disposizioni dell’Ordine Esecutivo rivelano notevoli lacune”. Più precisamente, una delle prime criticità sollevate risiede nello strumento giuridico dell’Executive Order, in quanto esso rappresenta un’istruzione interna al governo e alle autorità subordinate e non è una legge approvata dal parlamento, pertanto, potrebbe non risultare definitiva. Inoltre, il rispetto di un mero ordine esecutivo non è giuridicamente vincolante, soprattutto per i cittadini dell’Unione Europea. Successivamente, nel documento non viene spiegato come l’Executive Order si colleghi ad altre normative statunitensi esistenti come il Cloud Act. Inoltre, le restrizioni al trattamento dei dati ora necessarie e appropriate sembrano una concessione ai sensi del principio europeo di proporzionalità, tuttavia, l’interpretazione del concetto giuridico di proporzionalità differisce in Europa e negli Stati Uniti, per cui non è chiaro quando, dal punto di vista degli USA, l’accesso per la sicurezza nazionale resta consentito.
Infine, il Data Protection Review Court si differenzia da altri Tribunali, in quanto è stato istituito dal Procuratore generale, parte del ramo esecutivo, e questo elemento contraddice il concetto europeo di indipendenza giudiziaria dei tribunali.
Nella sua relazione trimestrale alla US Securities and Exchange Commission[5], Meta ha affermato di anticipare la decisione della Irish Data Protection Commission sui suoi trasferimenti di dati UE-USA all’inizio del 2023. La società ha anche notato incertezza dato l’Executive Order presidenziale e ha affermato se non fosse in grado di fare affidamento su clausole contrattuali standard o altri mezzi alternativi di trasferimento dei dati, “probabilmente non sarà in grado di offrire una serie dei nostri prodotti e servizi più significativi, inclusi Facebook e Instagram, in Europa”.
È oggettivo come l’Executive Order non possa rappresentare la soluzione definitiva in relazione al trasferimento dei dati tra Stati Uniti e Unione Europea, poiché adesso spetterà alla Commissione europea, in conformità a quanto stabilito dall’art. 45 del GDPR, iniziare a redigere una nuova decisione di adeguatezza, pertanto, gli stati membri e l’European Data Protection Board (“EDPB”) ricopriranno un ruolo di significativa importanza. Il processo di adozione formale dovrebbe durare circa sei mesi e potrebbe portare alla pubblicazione della decisione finale di adeguatezza nel marzo 2023.
[1] In una conferenza stampa da Bruxelles, Biden ha dichiarato: “Questo quadro sottolinea il nostro impegno condiviso per la privacy, la protezione dei dati e lo stato di diritto. Inoltre, consentirà alla Commissione europea di autorizzare ancora una volta i flussi di dati transatlantici che facilitano 7,3 trilioni di dollari nelle relazioni economiche con l’UE”.
[2] The White House, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, 7 ottobre 2022, https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/.
[3] Corte di giustizia dell’Unione europea, Sentenza della Corte (Grande Sezione), causa C‑362/14, 6 ottobre 2015, https://www.camera.it/temiap/t/news/post-OCD15-11766.
[4] Con il termine “rimedio adeguato” si intendono le misure lecite volte a rimediare completamente a una violazione coperta riguardante uno specifico denunciante. Tali misure possono comprendere: a) la correzione, attraverso misure amministrative, di violazioni che si sono rivelate errori procedurali o tecnici relativi all’accesso o al trattamento di dati altrimenti legittimi; b) la cessazione dell’acquisizione di dati laddove la raccolta non sia legittimamente autorizzata; c) la cancellazione di dati acquisiti senza autorizzazione legittima; d) la cancellazione dei risultati di interrogazioni condotte in modo inappropriato su dati altrimenti legittimamente raccolti; e) la limitazione dell’accesso ai dati legittimamente raccolti a persone adeguatamente addestrate; f) il richiamo di rapporti di intelligence contenenti dati acquisiti senza autorizzazione legittima o che sono stati altrimenti diffusi in modo non conforme alla legge degli Stati Uniti.
[5] United States Securities and Exchange Commission, Meta Platforms, Inc., https://www.sec.gov/ix?doc=/Archives/edgar/data/1326801/000132680122000108/meta-20220930.htm.
Articolo a cura di Luca Barbieri
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…