Dopo due anni di tensione, la Casa Bianca ha pubblicato la sua ultima proposta di accordo per normare il trasferimento dati fra il Vecchio Continente e gli Stati Uniti dopo la bocciatura del Privacy Shield. Sono coinvolte più di 5mila aziende fra americane ed europee.
Ma la proposta americana prende abbastanza in considerazione le esigenze del GDPR per passare indenne le forche caudine della Corte di Giustizia, come già avvenuto con le due precedenti (Safe Harbour e Privacy Shield)? Ne scrive oggi La Tribune in una interessante analisi comparativa.
Gli imprenditori potranno finalmente trasferire in un quadro ricomposto i loro dati fra Usa ed Europa dopo due anni di attesa?
Leggi anche: Il nuovo accordo transatlantico USA-UE per la protezione dei dati personali, tutto cambi perché nulla cambi?
Biden ha firmato il nuovo decreto esecutivo. E ora?
Il presidente Biden ha firmato la scorsa settimana un nuovo decreto esecutivo che propone quello che potrebbe accadere, di qui a metà 2023, un nuovo quadro legale molto atteso dopo l’invalidazione del Privacy Shield a luglio 2020.
All’epoca, la Corte di Giustizia dell’Unione Europea aveva ritenuto che questo nuovo quadro legale, usato da più di 5mila aziende fra cui giganti come Google e Amazon ma anche da tutte le aziende europee, non proteggeva più da possibili “ingerenze nei diritti fondamentali delle persone i cui dati venivano trasferiti”.
Da allora, le aziende toccate dal regolamento vacante hanno continuato ad operare, scambiando dati fra le due parti dell’Atlantico, in una condizione di vuoto normativo, nell’incertezza più totale. Una situazione intollerabile.
La fine della storia non è immediata
Ora, l’annuncio di un nuovo accordo è sinonimo di uscita dalla crisi?
La soluzione non sembra così immediata.
Il problema di fondo non è ancora risolto.
Si tratta di un’incompatibilità giuridica profonda fra il GDPR e le pratiche di sorveglianza di massa dell’intelligence americana, svolta anche in Europa, in nome della sicurezza nazionale.
E’ per questo motivo che il GDPR sembra indigeribile per la legge americana che l’attivista austriaco Max Schrems, dell’Ong None of Your Business, è riuscito a far invalidare per due volte nel quadro legale sul trasferimento dei dati. Prima il Safe Harbour, nel 2015. Poi il Privacy Shield, nel 2020.
Per uscire dal caos, questo terzo quadro legale deve assolutamente riuscire a riempire il gap fra le due sponde dell’Atlantico. L’obiettivo è conciliare l’esigenza europea di protezione dati personali dei cittadini Ue con la volontà americana di non toccare le leggi che consentono agli Usa di effettuare senza problemi la sorveglianza di massa.
Sono possibili dei compromessi fra queste due posizioni che sembrano apparentemente antitetiche?
E’ questo il succo del testo appena licenziato dal presidente Biden, frutto di un anno e mezzo di compromessi e negoziati.
Nuove garanzie nel nuovo testo
Presentato come il risultato di sforzi comuni fra le due potenze, il decreto di Biden prevede delle garanzie ulteriori rispetto al Privacy Shield.
Il testo precisa che l’accesso da parte delle agenzie di intelligence Usa a dei dati raccolti in Europa e trasferiti o conservati negli Usa dovrà essere limitato a ciò che è “necessario” e “proporzionato” rispetto alla sicurezza nazionale americana.
“E’ un passo in avanti importante rispetto al Privacy Shield perché per la prima volta, gli Stati Uniti parlano il linguaggio dell’Europa e integrano le nozioni di proporzionalità e necessità nella raccolta dati, concetti che le erano stati completamente estranei in passato visto che non hanno alcun (analogo) del GDPR a livello federale”, ha detto Sonia Sissé, avvocato specializzato in diritto delle tecnologie presso Linklaters interpellata da La Tribune.
Cosa cambia
In soldoni, il testo apre alla possibilità che i cittadini europei agiscano in loro difesa se pensano di aver subito un abuso, una raccolta illegale dei loro dati personali, da parte delle agenzie di intelligence americane.
E’ questo, secondo la Tribune, l’aspetto che prima mancava nel Privacy Shield, dopo lo stop della Corte di Giustizia Ue.
Nel nuovo testo di legge, è stato creato un meccanismo di ricorsi a due livelli: il primo livello è la possibilità per un’impresa o un cittadino europeo di scegliere un “responsabile della protezione delle libertà civili” messo sotto la responsabilità del direttore dell’intelligence nazionale americana, nel caso che si riscontri la raccolta abusiva di dati personali. E, in caso di disaccordo fra le parti, c’è la possibilità di rivolgersi in un secondo momento alla Corte d’appello della Protezione dati, un tribunale presentato come indipendente, collocato sotto l’autorità del Ministero di Giustizia americano, che dovrà decidere in maniera categorica.
Un vero sforzo, ma la frattura è troppo ampia?
Ormai, la palla è nel campo dell’Europa. La Commissione Ue deve esaminare il testo americano e dire se è accettabile o meno. La decisione è attesa entro la prossima primavera, e dovrà passa al vaglio delle diverse autorità nazionali, fra cui quella italiana, che non si è mostrata mai troppo tenera nei confronti delle aziende americane, basti pensare al blocco di Google Analytics.
Al termine di queste consultazioni, l’Ue presenterà un progetto di decisione di adeguamento sulla base dell’articolo 45 del GDPR. “Se la Ue accetta il testo americano, entrerà in vigore un nuovo accordo che potrebbe essere nuovamente attaccato dalla Corte di Giustizia europea. Se la Ue rifiuta o domanda ulteriori garanzie supplementari, ripartirà una fase negoziale sul testo che potrebbe durare diversi mesi, il che prolungherebbe la condizione di incertezza giuridica per le aziende”, ha detto l’avvocato Alexandra Iteanu, specializzata in dati e GDPR.
Le concessioni americane sulla carta sono notevoli
Le concessioni americane, sulla carta, sono notevoli. “E’ stato fatto un salto di qualità importante”, ha commentato il commissario Ue alla Giustizia Didier Reynders, che si è detto “ragionevolmente fiducioso” sul fatto che questo terzo testo sia quello buono. Sulla stessa linea d’onda gli americani. “Questi impegni rispondono pienamente alla decisione dello Schrems II della Corte di Giustizia Ue in virtù del diritto della Ue”, ha detto il segretario al Commercio Usa Gina Raimondo.
Secondo altre fonti, però, gli sforzi fatti non sarebbero sufficienti e resterebbero delle zone d’ombra del sistema di ricorsi a doppio livello per cittadini e imprese europee, in caso di sospetti fondati di raccolta dati illegale. Questo perché nemmeno la Corte d’appello della protezione dati può confermare se dietro ad una lamentela c’erano i servizi segreti americani. Trasparenza e indipendenza sembrano quindi più un pio desiderio che altro. Il tutto, considerato che comunque si tratta di un giudice americano e che la stella polare resta la sicurezza nazionale americana rispetto ai diritti di un cittadino europeo.
Restano i dubbi, il diavolo sta nei dettagli
Il diavolo si nasconde nei dettagli: resta poi da capire cosa si cela dietro al concetto, molto vago di “necessità” e “proporzionalità” per gli americani, sapendo che sulla raccolta dati gli Usa sono molto più permissivi che la Ue, si domandano altri esperti.
E quindi come andrà a finire? La Ue accetterà, oppure pubblicherà delle raccomandazioni?
Un caso di Schrems III, vale a dire un terzo caso di annullamento della normativa da parte della Corte di Giustizia Ue, sarebbe una vera umiliazione che nessuno vorrebbe ripetersi. Detto questo, si tratta di un’ipotesi che oggi come oggi non può essere esclusa a priori. Ma lo stesso Max Schrems ha già fatto sapere che ci sono il 90% di possibilità che la sua Ong faccia ricorso contro il futuro meccanismo in caso di disco verde della Ue.