Sembra essere una coincidenza (oppure no?) la circostanza che nello stesso giorno in cui Il Consiglio e il Parlamento europeo annunciano di aver trovato l’accordo di compromesso politico sul testo finale della Legge sui Mercati Digitali (Digital Markets Act – DMA) – il primo testo legislativo al mondo che introduce regole e sanzioni molto stringenti per le grandi piattaforme on line e le big tech (soprattutto a stelle e strisce..) – la Commissione UE e il Governo degli Stati Uniti d’America abbiano contestualmente annunciato di aver trovato – dopo più di un anno di negoziati – un “accordo politico di principio” sul nuovo quadro regolatorio transatlantico per disciplinare i flussi di dati da una sponda all’altra dell’oceano.
“Accordo politico di principio” significa che l’annuncio non è stato corredato da una bozza o da un testo del “Trans-Atlantic Data Privacy Framework” che gli esperti possano valutare e commentare: gli sherpa del governo USA e della Commissione UE europea continueranno ora la loro cooperazione al fine di tradurre l’accordo politico in documenti legali. Anche se ci vorranno non pochi mesi (il che continuerà a lasciare le imprese e i mercati nella stessa grave situazione di incertezza giuridica seguita alla sentenza della Corte di Giustizia UE Schrems II di annullamento dell’accordo del Privacy Shield, che aveva rimpiazzato il precedente accordo del Safe Harbor, pure invalidato) è individuabile il percorso politico-legislativo che sarà ora seguito: gli impegni politici del “Trans-Atlantic Data Privacy Framework” confluiranno in un ordine esecutivo che costituirà la base della valutazione della Commissione UE nella sua futura decisione di adeguatezza.
E qui sorge un primo dubbio: un ordine esecutivo è un provvedimento proprio del Presidente degli Stati Uniti d’America che indirizza le politiche esecutive delle agenzie del Governo federale degli Stati Uniti d’America (per esempio: le famigerate agenzie per la sicurezza nazionale e di intelligence che hanno scatenato i ricorsi di Maximilian Schrems II che hanno portato all’annullamento dei precedenti accordi internazionali sui data transfer transatlantici). Tuttavia gli ordini esecutivi sono impugnabili di fronte all’autorità giudiziaria per violazione della Costituzione (e nulla vieta di prospettare scenari – anche elettorali.. – in cui i repubblicani attacchino o impugnino l’executive order del Presidente Biden che in adempimento degli accordi politici con la UE vietasse alle agenzie certe attività considerate dagli oppositori primarie per la sicurezza degli USA..).
Il nuovo Trans-Atlantic Data Privacy Framework è stato presentato come un impegno senza precedenti da parte degli Stati Uniti “per attuare riforme che rafforzeranno la privacy e le protezioni delle libertà civili applicabili alle attività di intelligence dei segnali degli Stati Uniti”. E qui veniamo ad un secondo punctum dolens. Come i più attenti osservatori ricorderanno, ad esempio, con la sentenza Schrems II la Corte di Giustizia UE aveva vietato totalmente – in relazione all’articolo 50 USC § 1881a (= FISA 702) e EO 12.333 – il trattamento/trasferimento dei dati personali dalla UE verso tutti i “fornitori di servizi di comunicazione elettronica” con sede negli Stati Uniti e qualsiasi flusso di dati negli Stati Uniti verso tali soggetti in quanto non protetto da norme di divieto di intercettazioni da parte della National Security Agency – NSA. Ebbene, pur non disponendo del testo, tra gli accordi di principio raggiunti apprendiamo che sulla base del nuovo framework i dati potranno fluire tra le società UE e statunitensi e una nuova serie di regole e salvaguardie vincolanti limiteranno “l’accesso ai dati da parte dell’autorità di intelligence statunitense a quanto necessario e proporzionato per proteggere la sicurezza nazionale”. E’ abbastanza chiaro che una formula così generica e ambigua già di per sé appare svuotare di qualsiasi valore le annunciate garanzie, sembrando rimettere a quegli stessi soggetti (o comunque non essendo chiaro a quale ente imputare) le valutazioni di proporzionalità e adeguatezza e il giudizio di prevalenza della sicurezza nazionale sulla protezione dei dati provenienti dalla UE. E non va dimenticato che proprio questo è il punto che aveva portato all’annullamento sia del Safe Harbor che del Privacy Shield. Scenario che viene ora riproposto praticamente identico al passato, con la differenza che gli USA – in modo formalistico ma rassicurante – utilizzano gli stessi termini GDPR-friendly che piacciono alla UE (la “proporzionalità”) senza spiegare quali profonde modifiche normative intenderanno implementare per realizzare questo impegno politico.
Fa poi francamente sorridere l’affermazione che “le agenzie di intelligence adotteranno procedure per garantire un controllo efficace sulla tutela della nuova privacy e norme sulle libertà civili”: bellissima dichiarazione di principio, ma si resta curiosi di capire con quale vincolatività e veste giuridica troverà spazio nel testo legale dell’accordo, in un mondo di guerre sia sul campo – come la tragica attualità ci mostra – che combattute a colpi di intelligence, intercettazioni, accordi sottobanco tra governi (come quello che sembrerebbe – così raccontano inchieste giornalistiche recenti – aver consentito accesso ai dati sanitari COVID dei cittadini italiani da parte dei servizi segreti russi in cambio di supporto logistico e aiuto nel pieno della pandemia).
Ancora: USA e UE si sono accordati per attuare un nuovo sistema di ricorso a due livelli per avviare indagini e risolvere i reclami degli europei sull’accesso ai dati da parte delle autorità di intelligence statunitensi che include un tribunale per il riesame della protezione dei dati. Dunque si torna sempre al medesima nodo critico: le agenzie USA intanto accedono ai dati, poi gli interessati possono ricorrere….
E infine: sono previsti stringenti obblighi per le aziende che trattano i dati trasferiti dall’UE, ma poi apprendiamo che tali aziende potranno autocertificare la propria adesione ai Principi di protezione dei dati attraverso il Dipartimento del Commercio. Si torna cioè ai primi anni Duemila e al Safe Harbor, quando invece la Corte di Giustizia e le Raccomandazioni del Comitato europeo per la protezione dei dati personali 1/2020 e 2/2020 hanno chiaramente imposto quale precondizione di liceità dei trasferimenti (anche verso gli USA) non una burocrazia inutile (come un’autocertificazione), ma valutazioni documentabili circa le condizioni sostanziali di effettiva tutela dei dati trasferiti nell’ordinamento giuridico del Paese di destinazione dei dati (e tale presupposto è correttamente incluso nella nuova versione delle clausole standard per il trasferimento internazionale dei dati di cui alla Decisione 2021/914 del 4 Giugno 2021 della Commissione UE).
Insomma: nonostante due anni di discussione dalla famosa sentenza della CGUE, sembra che ancora non si siano trovate soluzioni giuridiche effettive e soluzioni pienamente funzionanti ai problemi sollevati dalla Corte di giustizia. E sembra frettoloso aver annunciato un accordo politico senza un testo solido: serve solo a generare ancora più incertezza giuridica.
Forse anche per questo Max Schrems e la sua associazione NOYB (My Privacy is None of Your Business) sono già sugli scudi e annunciano possibili ricorsi (oltre a quelli pendenti post sentenza CGUE – oltre 100 – in varie giurisdizioni mondiali) per l’annullamento (sarebbe il terzo) del Trans-Atlantic Data Privacy Framework, (che il Presidente Biden ha presentato come generatore di valore di scambi commerciali bilaterali per oltre 7 miliardi di euro).
In realtà chi scrive ha più volte sottolineato come nessun accordo bilaterale USA-UE potrà mai risolvere le criticità data protection connesse ai flussi UE-USA dei dati e che ciò che realmente serve è una legge federale USA sulla protezione dei dati. In questa prospettiva, va invece accolto con favore l’indicazione della Future of Tech Commission statunitense che lo scorso 21 gennaio ha pubblicato il rapporto contenente il Piano d’Azione “The Future of Tech: A Blueprint for Action“, che raccomanda un’agenda coordinata di politica tecnologica federale per proteggere la privacy e la sicurezza di consumatori, bambini e famiglie e per salvaguardare il futuro dell’America dal potere smisurato delle grandi aziende tecnologiche.
Le principali raccomandazioni della Commissione sono:
- promulgare una legge federale nazionale sulla protezione dei dati che dia ai cittadini e consumatori americani un controllo effettivo sulla loro privacy;
- aggiornare il Child Protection Act per rafforzare le misure di protezione per minori e adolescenti;
- obbligare ad una maggiore trasparenza e responsabilità sugli algoritmi;
- migliorare la cyber-sicurezza istituendo centri di sicurezza informatica regionali, pubblico-privati;
- aumentare la concorrenza di mercato nel settore tecnologico; e
- investire nell’innovazione tecnologica.
Insomma: solo un deciso, innovativo e storico intervento legislativo sulla protezione dei dati valido per tutta la Confederazione USA potrà forse risolvere i problemi (partendo ad esempio dalla buona legge privacy statale della California, che sta dimostrando di funzionare).
E forse rabbonire Max Schrems una volta per tutte.