Le principali novità
Con la firma da parte del Presidente Biden dell’Executive Order (EO) Enhancing Safeguards for United States Signals Intelligence Activities, giunge a un primo traguardo il tentativo di armonizzazione delle politiche inerenti alla protezione dei dati personali di matrice Europea con quelle americane, resosi necessario in seguito alla storica sentenza “Scherms II” a cui si deve l’invalidazione del Privacy Shield.
Tra le novità più rilevanti è possibile evidenziare:
- l’introduzione di limitazioni all’azione investigativa dell’intelligence americana, che potrà accedere ai dati personali solo nel rispetto del principio di proporzionalità e con riguardo a situazioni di necessità relative, ad esempio, alla tutela della sicurezza nazionale;
- la richiesta all’intelligence medesima di aggiornare le proprie procedure e le proprie politiche alla luce della rinnovata politica in materia di protezione dei dati personali;
- la progettazione di un meccanismo di tutela strutturato su più livelli, al fine di garantire il diritto a un risarcimento nel caso di trattamento illecito dei propri dati personali;
- l’invito rivolto al Privacy and Civil Liberties Oversight Board ad allineare le politiche e le procedure adottate dall’Intelligence Community a quanto disposto dall’ordine esecutivo.
La sottoscrizione del documento da parte dell’Ordine Esecutivo è solo il primo passo verso l’effettivo allineamento ai livelli di tutela europei e rappresenta sicuramente un incoraggiante inizio di un percorso volto all’effettiva presa di coscienza, da parte dell’amministrazione americana, dei limiti della legislazione vigente nonché di una sensibilizzazione alla materia della protezione dei dati personali.
Considerato il particolare contesto normativo e sociale in cui tale progetto si inserisce, l’introduzione di termini quali “proporzionalità” e “necessità” all’interno del documento rappresenta, infatti, una significativa evoluzione del sistema, indice della volontà dell’amministrazione statunitense di allinearsi ai principi del GDPR. Tali concetti, che permeano la storia giuridica europea e segnano l’introduzione del Regolamento UE 2016/679 (GDPR), non sembrano, al contrario, compatibili con l’attuale quadro socioculturale americano- caratterizzato da tragici eventi come quello dell’11 settembre 2001- che assegna una rilevanza preponderante della tutela della sicurezza nazionale.
È lecito, pertanto, aspettarsi una certa dose di diffidenza da parte degli Stati Uniti rispetto all’effettivo recepimento di tali novità. Il Presidente Biden appare cosciente delle conseguenze etiche ed economiche di un blocco dei flussi di informazioni tra il vecchio e il nuovo continente. Tuttavia, gli ultimi risvolti fanno ben sperare in una positiva riuscita dell’accordo.
Alcune perplessità sul documento
Vi sono, però, alcuni aspetti che destano perplessità.
Dopo l’avvenuta pubblicazione della notizia, NOYB – European Centre for Digital Rights – l’associazione il cui reclamo ha portato all’invalidazione del cd. Privacy Shield a opera della Corte di Giustizia Europea con la nota sentenza del 16 luglio 2020 – ha esternalizzato il suo scetticismo circa l’effettiva efficacia del provvedimento, dichiarandosi determinata a contestare il nuovo accordo in tribunale.
La NOYB, infatti, ritiene improbabile che la sorveglianza di massa a opera della intelligence americana possa essere attenuata a seguito dell’Ordine esecutivo, dato che in quest’ultimo non si legge nessuna indicazione dettagliata in tal senso; al contrario, per quanto vengano introdotte restrizioni alla raccolta di informazioni, non è, però, vietata la raccolta in massa delle medesime. Inoltre, per quanto il documento disponga che la raccolta <<mirata>> delle informazioni debba avere sempre la priorità, ne ammette in ogni caso una raccolta massiva.
Sempre secondo l’associazione NOYB, sebbene nell’ordine esecutivo siano stati inseriti i concetti di “necessità” e “proporzionalità” dei controlli, ciò non vuol dire che tali termini abbiano lo stesso significato che viene a essi attribuito dalla normativa Europea. Se così fosse, infatti, i sistemi di sorveglianza di massa degli Stati Uniti dovrebbero subire un radicale ridimensionamento.
Un ulteriore motivo di riflessione è la forma stessa utilizzata per regolamentare la questione: un ordine esecutivo e non una legge. Sebbene questa scelta possa esser dovuta alla semplicità e celerità attuativa dell’atto, si ricorda che un Ordine Esecutivo ha solo il potere di fornire un indirizzo, di raccomandare un determinato modus operandi, senza avere l’effettivo potere di incidere in nessun modo sulle leggi americane vigenti, ivi incluse quelle oggetto di contestazione da parte dell’Europa.
Scenari futuri
Con la firma dell’Ordine esecutivo statunitense, si attendono le successive mosse dell’Europa.
Difatti, con l’adozione dell’ordinanza esecutiva e dei relativi regolamenti di accompagnamento, la Commissione può passare alle fasi successive che puntano a un <<EU-U.S. Data Privacy Framework>>, passaggi che includono la proposta di un progetto di decisione di adeguatezza e l’avvio della procedura di adozione.
Va evidenziato che, durante il processo, la Commissione europea dovrà chiedere l’opinione dell’EDPB (European Data Protection Board) e di un comitato composto da rappresentanti degli stati membri (sebbene una eventuale valutazione negativa non sarà vincolante per la Commissione). La procedura non è semplice né di esito scontato, anche alla luce dei requisiti richiesti dall’art. 45 del Regolamento Europeo 2016/679 (GDPR), rappresentando l’inizio di un processo che si preannuncia molto laborioso e i cui sviluppi potrebbero portare a dei risultati inaspettati.