Giusto una settimana fa, la Commissione Europea si è impegnata nuovamente a (tentare di) risolvere un intricato dilemma tramite un dettagliato documento di oltre 190 pagine (premere qui per leggerlo): lo scambio di dati personali con gli Stati Uniti! Questo sforzo riflette la determinazione dell’Unione Europea nel trovare una soluzione a un problema considerato fino ad ora insolubile, e che vide, ormai diversi anni fa, il nostro Studio Legale partecipare alla class action che portò alla prima storica decisione sul punto della Corte di Giustizia Europea (premere qui per saperne di più, e qui per leggere la decisione).
E’ d’uopo un breve riepilogo.
Dieci anni orsono Edward Snowden rivelò che il governo degli Stati Uniti utilizzava le aziende Big Tech e programmi come “PRISM” o “Upstream” ai sensi della FISA 702 e della EO 12.333 per spiare il resto del mondo senza la necessità di una motivazione specifica o di un’approvazione giudiziaria. E tale attività non si limitava al contrasto alla criminalità o al terrorismo, ma includeva anche lo spionaggio sui “partner” degli Stati Uniti, come gli Stati membri dell’Unione Europea. Peccato però che già dal 1995, i dati personali dei cittadini europei non possono essere inviati al di fuori dell’U.E. a meno che non vi sia una protezione “sostanzialmente equivalente” nel paese di destinazione. Nel 2000 però, una decisione della Commissione europea chiamata “Safe Harbor” dichiarò ufficialmente gli Stati Uniti come “sostanzialmente equivalenti”. Inutile dire che l’industria statunitense (e non solo) fece molto affidamento su tale decisione. Ma nel 2015, a seguito della class action di cui dicevamo poche righe sopra, la Corte di Giustizia dell’Unione Europea annullò la decisione della Commissione nella causa C-362/14 (“Schrems I”), proprio in considerazione della vastità di leggi di sorveglianza statunitensi. Passò però pochissimo tempo e la Commissione europea approvò nuovamente la stessa decisione sui trasferimenti di dati UE-USA, con il nuovo nome di “Privacy Shield”, che fu però invalidata nel 2020 dalla CGUE nella causa C-311/18 (“Schrems II”), in gran parte per gli stessi motivi.
E adesso, il 10 luglio 2023, la Commissione Europea ha emanato questo “Data privacy framework“. Inutile dire come le aziende basate nell’Unione Europea, che hanno legami con le Big Tech in un modo o nell’altro, abbiano tirato un sospiro di sollievo alla notizia, ma, a nostro sommesso avviso, tale sospiro si smorzerà presto. Questa che ben potremmo definire come una nuova versione del “Privacy Shield” (che a sua volta era una nuova versione del “Safe Harbor”) è destinata in realtà ad avere una durata limitata, proprio come le due versioni precedenti. Infatti, il problema fondamentale non è stato superato e dunque permane nei rapporti tra l’U.E. e gli Stati Uniti: la possibilità per le autorità governative americane di agire a proprio arbitrio sui dati dei cittadini degli Stati membri dell’Unione.
È altamente probabile che, in un futuro prossimo, dopo le sentenze della Corte europea conosciute come “Schrems I“ e “Schrems II“, che hanno smontato le precedenti decisioni della Commissione, si verifichi una nuova “Schrems III” che porterà il nuovo testo alla stessa sorte dei due suoi predecessori. E questo causerà inevitabilmente e ancora una volta paura, incertezza e dubbi nell’ecosistema pubblico e privato che si affida alle Big Tech, oltre a rallentare il processo di transizione digitale. Le pubbliche amministrazioni e le aziende continueranno ad operare infatti sotto la minaccia di provvedimenti giudiziari o di autorità nazionali di protezione, che potrebbero scoperchiare le fondamenta e scoprire, usando un’espressione Popperiana, i grattacieli di cristallo su palafitte di legno.
Senza volerci sostituire alle autorità, e lungi da noi dal farlo, ci permettiamo evidenziare alcuni punti alquanto controversi emersi dalla lettura di queste 190 pagine. In particolare a pagina 35 è dato leggere:
U.S. intelligence agencies may seek access to such data for national security purposes (…) under the Foreign Intelligence Surveillance Act (FISA) (…) FISA contains several legal bases that may be used to collect (…) the personal data of Union data subjects transferred under the EU-U.S. DPF (Section 105 FISA222, Section 302 FISA223, Section 402 FISA224, Section 501 FISA225 and Section 702 FISA226)”.
Ebbene, giova ricordare, e sembra incredibile doverlo fare, che fu proprio il FISA (e in particolare la Section 702) ad essere una delle principali ragioni che portarono la Corte di Giustizia europea a invalidare il privacy shield!!
Inoltre, sempre nella stessa pagina, qualche rigo oltre, viene incredibilmente affermato che
U.S. intelligence agencies also have possibilities to collect personal data outside the United States, which may include personal data in transit between the Union and the United States”.
Non possiamo esimerci dal sottolineare la portata di questo assunto. Cioè, non solo le autorità americane potranno accedere ai dati dei cittadini degli Stati membri dell’U.E. presenti nel loro territorio, ma potranno anche raccoglierli all’estero (dove loro non hanno giurisdizione e neanche l’U.E.). Ora, sia chiaro, non è certo una novità che gli U.S.A. abbiano spiato le istituzioni dei Paesi europei (e non solo), e il fatto che possano farlo solo con un ordine esecutivo del Presidente non cambia il fatto che gli Stati membri dell’Unione non abbiano voce in capitolo.
Ed allora, ci permettiamo evidenziare il fatto che, a nostro sommesso avviso, la Commissione U.E. ha semplicemente procrastinato il problema anziché risolverlo, generando così più complicazioni di quante ne abbia eliminate (o tentato di eliminare). L’applicazione del Data Privacy Framework sarà inevitabilmente laboriosa, burocratica e costosa, e non agevolerà in modo alcuno le attività delle aziende e delle istituzioni pubbliche. Inoltre, e forse questo è il punto più preoccupante, tale decisione di adeguatezza va in un certo senso a sancire che fino alla settimana scorsa non era consentito lo scambio di dati con gli Stati Uniti e che, logicamente, chiunque l’abbia fino ad allora fatto ha con ogni probabilità violato la legge.
Ed allora, facendo buon governo dei principi sulla irretroattività delle leggi, le domande ci sorgono spontanee: perché le autorità nazionali di protezione dei dati non hanno mai bloccato tali trasferimenti? E soprattutto, ora che è stata approvata questa decisione, tali autorità avvieranno indagini volte a sanzionare coloro che fino ad oggi hanno utilizzato i servizi delle GAFAM (e di molti altri operatori statunitensi)?
Ma in fin dei conti, qualunque saranno le scelte delle autorità, esse saranno piene di conseguenze negative: se dovessero infatti decidere di indagare, allora saranno costretti a irrogare sanzioni a destra e a manca a causa dell’inerzia politica sia a livello comunitario che nazionale; ma se dovessero scegliere di non indagare, a nostro avviso, potrebbero arrecare un danno irreparabile alla fiducia nel primato della legge, poiché certificheranno che, in nome delle necessità politiche, il diritto deve arretrare.
La Commissione europea ha mostrato, ancora una volta, scarsa attenzione per lo stato di diritto e la privacy dei suoi cittadini. Questo terzo tentativo di far passare in gran parte la stessa decisione illegale solleva anche interrogativi sul ruolo più ampio della Commissione europea come custode dei trattati dell’UE. Invece di sostenere lo “Stato di diritto”, la Commissione si limita ad approvare più volte una decisione non valida, nonostante le chiare sentenze della CGUE. Nonostante la grande indignazione suscitata dalle rivelazioni di Snowden nell’U.E. e i ripetuti inviti del Parlamento europeo (premere qui per vedere l’ultimo) e del Garante Europeo per la protezione dei dati (premere qui per leggere) ad agire, la Commissione sembra dare la priorità alle relazioni diplomatiche con gli Stati Uniti e alle pressioni commerciali su entrambe le sponde dell’Atlantico rispetto ai diritti dei cittadini europei e ai requisiti del diritto dell’UE.
Mai come nel caso della nuova decisione di adeguatezza, quindi, la soluzione proposta è peggiore del problema stesso.
Per approfondire:
- R. Bessi, Il trasferimento dei dati personali verso paesi terzi nel regolamento generale sulla protezione dei dati, in Rivista di diritto dei media, 3/2017, pp. 1-28. - G. Buttarelli, Il trasferimento internazionale dei dati personali tra continuità e innovazione: il regolamento generale sulla protezione dei dati e il protocollo modificativo alla convenzione 108 del Consiglio d'Europa, in Diritto dell'informazione e dell'informatica, 1/2018, pp. 3-24. - P. De Hert, V. Papakonstantinou, The new General Data Protection Regulation: Still a sound system for the protection of individuals?, in Computer Law & Security Review, 2016, vol. 32, n. 2, pp. 179-194. - F. Fabbrini, Schrems II: A watershed moment for data privacy?, in European Law Review, 2020, vol. 45, n. 6, pp. 769-789. - G. Finocchiaro, G. Resta, Il trasferimento internazionale dei dati personali tra diritto europeo e diritto interno: profili sostanziali e processuali, in Giurisprudenza italiana, 2019, vol. 167, n. 11-12, pp. 2615-2624.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024