È di pochissimi giorni fa la notizia che è finalmente uscito il documento con cui gli Usa si impegnerebbero a delle protezioni più vicine alle norme del GDPR per il trasferimento automatico dei dati personali dall’Unione Europea verso gli Stati Uniti. In effetti, è la bozza, presentata alla Commissione Europea per iniziare le vere trattative per l’accordo di adeguatezza. Per cui, ancora NO.

---

Da marzo 2022, quando il presidente americano Biden e la presidente della Commissione Europea Von Der Leyen hanno dichiarato congiuntamente di aver trovato un “accordo di principio” per quello che riguarda il trasferimento transfrontaliero, passando per Giugno, con la pubblicazione da parte del servizio di ricerca del Congresso degli Stati Uniti del documento quadro, ed infine ad Ottobre, con la firma dell’ordine esecutivo da parte di Biden per delle direttive più stringenti contro l’invasione della privacy extra statunitense da parte delle agenzie di intelligence, qualche passo, anche se lentamente, è stato fatto. Seppur, citando l’avv. Guido Scorza, facente parte del collegio Garante della privacy italiano, “questa è una nuova pagina di un libro ancora lungo da scrivere.”

Come dicevamo, quindi, è stata presentata la bozza di accordo del EU-U.S. Data Privacy Framework, che ora dovrà passare al vaglio della Commissione Europea e dell’EDPB, la cui valutazione di quest’ultima, anche se non è vincolante, è assolutamente necessaria per capire se si è sulla giusta strada e per scongiurare ricorsi contro l’accordo stesso, già ampiamente ipotizzati dal gruppo NOYBE, con a capo Max Schrems, che dichiarano notevoli criticità rilevate nella bozza.

Le due tematiche più preminenti che il nuovo trattato deve fronteggiare sono quella di porre un freno alle attività invasive delle agenzie di intelligence americane sui dati dei cittadini europei (e, in generale, non statunitensi), facendole rientrare in quelli che sono i limiti di necessità e di proporzionalità regolamentate dal GDPR, e di assicurare, negli USA, una tutela giudiziaria, reale e indipendente (anche contro le agenzie governative) dei cittadini europei, con un sistema simile a quello presente in zona comunitaria.

Andiamo quindi ad analizzare la bozza presentata e le criticità presenti in essa.

Il documento, costituito da ben 215 considerando, 4 articoli e delle disposizioni di linee guida leggermente variate rispetto a quelle redatte per l’accordo decaduto, il cosiddetto Privacy Shield, fa un preciso riferimento a circoscrivere le attività delle agenzie governative solo a quelle che sono strettamente necessarie e proporzionali alla protezione della sicurezza nazionale. Già qui potremmo avere dei problemi nella definizione di necessario e proporzionale, secondo le dichiarazioni di Schrems, in quanto non è possibile definire in modo univoco per entrambe le parti il limite accettato entro cui considerare tali attività come necessarie, appunto, e proporzionali.

L’altro aspetto affrontato dal nuovo accordo è il meccanismo di tutela dei diritti delle persone, definito qui in tre livelli. Un primo livello è la possibilità di presentare reclamo di un’eventuale violazione presso un primo organo, chiamato Civil Liberties Protection Officer, che consiste in un funzionario all’interno delle agenzie stesse predisposto per assicurare il rispetto della privacy e dei diritti fondamentali degli interessati, le cui decisioni sono vincolanti nei confronti degli enti governativi. Anche in questo caso ci si chiede quanto possano essere indipendenti, super partes, dei funzionari interni alla struttura degli organi che devono controllare.

C’è, in più, da tener conto che un reclamo potrà essere presentato solo qualora l’interessato venga a sapere della violazione dei suoi diritti, e anche qui possono sorgere non pochi problemi, dato che molto spesso le aziende sono sottoposte a degli ordini di segretezza imposti dall’esecutivo, quando solo si intravede un problema di sicurezza nazionale. Della serie: se io non posso in alcun modo scoprire che qualcuno ha violato un mio diritto, come faccio a presentare reclamo per quella violazione? Come si dice, “Bella prova!”

Il secondo livello di tutela, nel caso il primo non ci abbia soddisfatto, è un tribunale di revisione, il Data Protection Review Court, che riesanima il giudizio del Civil Liberties Protection Officer, che può anche disporre un risarcimento per danni subiti dall’interessato, e con facoltà di imporre le proprie decisioni sulle agenzie di sicurezza nazionale. Il punto fondamentale della Corte di Revisione è che dovrebbe essere totalmente indipendente dal potere esecutivo, altrimenti non potrà mai essere equiparato agli organi di tutela europei, ma questo si potrà valutare solo al momento della sua attuazione, in quanto per ora non sono ancora definite le modalità di istituzione.

Il terzo, e ultimo, livello di tutela è l’arbitrato, anch’esso vincolante, “EU-U.S. Data Privacy Framework Panel”, che però potrà trattare solo quelle parti residuali non esaminate nei precedenti livelli, o da essi accantonate, e potrà imporre solo misure correttive non monetarie. In questa sede le parti possono scegliere i tre arbitri che formeranno il collegio di giudizio, non sono previsti risarcimenti, e ogni parte deve sostenere le proprie spese legali. La criticità rilevata in questo terzo livello è proprio nel sostegno delle spese, che un comune cittadino generalmente dispone in modo molto ridotto rispetto alle risorse economiche di enti governativi che possono portare avanti una disputa legale ad oltranza, con a disposizione uno stuolo di avvocati.

Se, nonostante i punti identificati come ostacoli, questo accordo diventerà effettivo, le aziende europee potranno di nuovo effettuare trasferimenti di dati personali senza ulteriori misure di protezione verso quelle aziende USA che si muniranno di un certificato di adesione al EU-U.S. Data Privacy Framework, documento che verrà rilasciato dal Dipartimento del Commercio USA per certificare la messa in atto da parte dell’azienda aderente di misure di tutela e sicurezza adeguate alle richieste del GDPR.

Come già detto all’inizio, è una lunga strada ancora da percorrere, considerando che UE ed USA possono rimandare indietro la bozza fintanto che le disposizioni non soddisfino le richieste di entrambe le parti. È anche vero che ognuna è fortemente spinta a concludere l’accordo: il governo americano, pressato dalle Big Tech che rischiano di perdere da un 40 ad un 60% del fatturato mondiale se si bloccassero definitivamente i trasferimenti; la Commissione Europea, pressata dalle aziende comunitarie ancora troppo dipendenti dai servizi statunitensi, essendo lontana la realizzazione di infrastrutture informatiche che possano fornire gli stessi servizi all’altezza di quelle americane. Si stima che possano volerci ancora diversi mesi prima della sua approvazione definitiva; in ogni caso, non prima della tarda primavera 2023.

Si sente, quindi, la volontà di trovare un accordo che possa reggere a livello tecnico, legale e politico, anche se fin qui si intravedono dei punti che potrebbero impedirne la realizzazione, nonostante vi sia un articolo che prevede un controllo incrociato tra gli stati membri dell’UE  e gli Stati Uniti per verificare che siano rispettate le disposizioni, che le agenzie di sicurezza nazionale non superino i limiti disposti dal principio di necessità e proporzionalità del GDPR e che il sistema per la protezione dei dati assicuri un’effettiva tutela giudiziaria secondo la normativa europea.

Se, e quando, l’accordo entrerà in vigore, sarà comunque soggetto a revisione dopo un anno dalla sua approvazione per assicurare la sua effettiva efficacia, che rimarrà sempre il nodo cruciale di qualsiasi reclamo che si possa presentare per tutelare i propri diritti di cittadino non statunitense.